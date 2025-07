Combined or not combined – les pièges à éviter. Assurez votre bilan. Préservez vos clients.

juillet 2025 par Howden France

Depuis quelques années, les entreprises sont de plus en plus incitées à souscrire à une assurance cyber. Longtemps perçue comme un produit accessoire ou trop technique, elle s’impose désormais comme un levier stratégique de résilience. Face aux risques critiques du 21e siècle - interruption d’activité, perte de données, gestion de crise numérique - l’assurance Cyber joue un rôle clé dans la protection non seulement du bilan, mais aussi de la réputation et de la relation client.

L’arrivée de nouveaux acteurs spécialisés sur le marché français, tels que Stoïk, Dattak ou Coalition, reflète une maturation croissante du secteur et un intérêt renforcé des entreprises pour des solutions adaptées.

L’enjeu est désormais clair : il ne s’agit plus seulement de protéger ses actifs, mais aussi de préserver la confiance de ses clients.

Le risque cyber est aujourd’hui qualifié par de nombreuses institutions – dont l’ENISA en Europe ou le World Economic Forum – comme l’un des risques majeurs pesant sur les entreprises, tous secteurs confondus. explique Jean-Guibert Ciavaldini, Directeur du secteur Tech

Un risque systémique, reconnu et redouté.

Pour les entreprises du numérique, une cyberattaque ne se limite pas à un préjudice interne (first party) : elle peut aussi entraîner des réclamations de tiers (third party), notamment lorsqu’elle affecte des clients ou utilisateurs via l’indisponibilité de services SaaS, de plateformes ou d’API critiques.

Ce préjudice client représente une réelle exposition en Responsabilité Civile Professionnelle (RCP). Or, la plupart des polices RCP classiques excluent - ou ne couvrent que très partiellement - les conséquences d’un sinistre d’origine cyber.

Deux polices ou une seule combinée ? Une question clé face aux risques RCP et Cyber.

Dirigeants et Directions juridiques s’interrogent régulièrement : vaut-il mieux deux contrats distincts (RCP et Cyber), ou une seule police combinée auprès d’un assureur unique ?

Voici les limites d’une couverture dissociée :

– Les polices Cyber standalone sont souvent en périls dénommés. Seuls les événements explicitement listés au sein de la police sont garantis.

– Les polices RCP sont généralement rédigées en tous risques sauf mais excluent les événements cyber ou ne les couvrent que de façon résiduelle.

– Le chevauchement ou l’absence de garantie claire dans la zone grise “Cyber + RCP” peut générer des zones d’exclusion implicites.

Opter pour une police combinée reste l’une des solutions les plus efficaces.

Pour bénéficier d’une véritable couverture "tous risques sauf" face aux sinistres cyber ayant un impact client, opter pour une police combinée reste l’une des solutions les plus efficaces.

Ce type de contrat permet une articulation cohérente entre les garanties de pertes d’exploitation, gestion de crise, responsabilité civile, et assistance technique. Surtout, il couvre explicitement les réclamations émanant des clients à la suite d’une attaque informatique subie par l’assuré : indisponibilité de services, fuite de données ou défaut de performance contractuelle.

Face à ce besoin croissant, de nombreux assureurs traditionnels - en particulier anglo-saxons comme AIG, CHUBB ou HISCOX - proposent aujourd’hui des polices combinées adaptées aux entreprises du numérique.

Toutefois, cette solution nécessite un changement de perspective sur le transfert de risque, notamment en matière de capacité assurantielle. La plupart des polices combinées RCP / Cyber offrent une seule capacité, qui englobe à la fois les garanties Cyber et RCP. Cela peut pousser l’assuré à augmenter mécaniquement ses limites de garanties générales.

Or, l’expérience démontre qu’un sinistre cyber mobilise à la fois les garanties cyber (pertes financières subies par l’assuré) et les garanties RCP (réclamations clients ou tierces). Il est donc essentiel, lors de la détermination des limites, de mener une double analyse :

– des engagements contractuels pris auprès des clients majeurs de l’assuré

– des pertes financières potentielles que l’assuré pourrait subir en cas d’incident

Faute de quoi, l’assuré risque de se retrouver sous-assuré en pleine crise.

La police combinée offre, par conséquent, une couverture plus étendue pour les entreprises du numérique, à condition qu’elle s’accompagne d’une réflexion approfondie sur les capacités à allouer face aux menaces pesant sur les systèmes d’information.

Et la fraude, dans tout ça ?

Parmi les dérives fréquentes d’une cyberattaque figure le détournement de fonds : compromission de boîte mail, faux ordre de virement, usurpation d’identité...

Ces fraudes, souvent orchestrées par ingénierie sociale, prennent aujourd’hui une nouvelle ampleur avec l’essor de l’intelligence artificielle.

En 2025, les cas de fraude assistée par IA explosent, mettant à rude épreuve les systèmes de sécurité des entreprises et les capacités d’adaptation des assureurs. Longtemps perçue comme un levier d’innovation, l’IA devient une arme redoutable entre les mains des cybercriminels.

Selon le dernier rapport de l’Entrust Cybersecurity Institute, les attaques par deepfake (vidéos ou audios falsifiés d’un réalisme saisissant) se multiplient à un rythme effréné, avec une tentative toutes les cinq minutes. Ces contenus permettent d’usurper l’identité d’un dirigeant pour ordonner des virements frauduleux ou manipuler un collaborateur.

Les PME, moins bien outillées que les grands groupes, deviennent des cibles de choix. Les fraudeurs utilisent désormais des plateformes d’IA en libre accès pour créer de façon automatique des faux documents ou générer des conversations crédibles avec des employés.

A noter : ces sinistres ne relèvent pas d’une assurance cyber classique, mais d’une garantie fraude dédiée.

Une confusion fréquente de la part des assurés : les garanties dites "Cyber-Fraude" couvrent généralement des cas très ciblés - comme la surconsommation téléphonique post-attaque ou le détournement de fonds consécutif à un accès non autorisé au système informatique par un tiers.

So…combined or not combined ?

Face à des attaques toujours plus sophistiquées et à une responsabilité qui dépasse largement le seul périmètre IT, la police combinée, quand elle est possible, s’impose comme la solution la plus cohérente pour sécuriser à la fois votre activité et vos clients.

Mais encore faut-il savoir l’adapter, la calibrer, l’expliquer. C’est là que l’expertise d’un courtier spécialisé dans les risques des entreprises tech fait toute la différence : analyse des engagements, construction des limites, lecture fine des clauses...

Une couverture pertinente commence toujours par un bon accompagnement.