Une cyberattaque détectée à 9h12 un mardi matin. À 9h13, les premières secondes du chronomètre démarrent. Selon les données publiées par Cybermalveillance.gouv.fr, le coût et la gravité d’un incident cyber dépendent davantage de la qualité de la réponse dans les 5 premières heures que des moyens techniques déployés ensuite. Trop d’entreprises perdent un temps précieux à comprendre ce qui se passe — pendant que l’attaquant continue de chiffrer, exfiltrer ou pivoter sur le réseau. Cet article passe en revue, heure par heure, ce que vous devez faire et comment votre assurance cyber s’active concrètement à chaque étape. Decaux Assurances, courtier indépendant immatriculé à l’ORIAS et basé à Neuilly-sur-Seine, accompagne dirigeants et DSI dans la souscription comme dans la gestion de crise auprès des partenaires assureurs.
Heure 0 à 1 — Détecter, qualifier et isoler l’incident
La première heure est celle de la découverte. Les signaux faibles deviennent un faisceau d’indices : un message de rançon sur un poste, des fichiers renommés en masse, une console d’administration injoignable, un afflux anormal de connexions depuis l’étranger. Cette phase doit être pilotée par une personne désignée, pas improvisée.
Reconnaître les signaux d’une cyberattaque en cours
Plusieurs typologies dominent en 2026 selon les rapports annuels de l’ANSSI / CERT-FR : rançongiciels (Lockbit, Akira, Black Basta…), compromission de messagerie professionnelle (Business Email Compromise), vol de données par exfiltration silencieuse, fraude au président et attaques sur la chaîne d’approvisionnement (supply chain). Les signaux à connaître : alertes EDR/antivirus inhabituelles, dégradation soudaine des performances, modification massive d’extensions de fichiers, déconnexions répétées des comptes administrateurs, virements demandés en urgence par un soi-disant dirigeant.
Isoler immédiatement les systèmes compromis
Le réflexe à acquérir : débrancher le câble réseau ou couper le Wi-Fi des postes touchés, sans éteindre la machine (pour ne pas effacer la mémoire vive nécessaire à l’analyse forensique). Mettre en quarantaine les serveurs concernés, geler les sauvegardes encore saines, et désactiver les comptes administrateurs douteux. Ces gestes ne relèvent pas de la cybersécurité avancée : ils relèvent de la procédure interne, et doivent être documentés en amont dans le plan de réponse à incident. Les contrats d’assurance cyber les plus complets prévoient d’ailleurs un audit préventif de ce plan à la souscription.
Decaux Assurances structure votre assurance cyber avec hotline 24/7, équipe de remédiation et garantie pertes d’exploitation.
Découvrir l’assurance cyber →Heure 1 à 2 — Activer votre assurance cyber et la cellule de crise
À ce stade, l’attaque est qualifiée. Le réflexe naturel — appeler son DSI ou son prestataire informatique — n’est pas suffisant. Le bon réflexe est simultané : activer l’assurance et constituer la cellule de crise.
Appeler la hotline cyber 24/7 de votre assureur
Tout contrat cyber moderne intègre une hotline d’urgence 24/7 qui vous met en relation, en quelques minutes, avec un incident response team spécialisé : analyste forensique, juriste, communicant de crise. Le numéro figure sur l’attestation et dans le mémo annuel. Cet appel déclenche l’ouverture du sinistre auprès de votre assureur et libère les premiers moyens (heures d’expertise, prise en charge des prestataires agréés). Important : n’engagez pas de prestataire avant d’avoir contacté votre assureur, sous peine de voir certaines factures non remboursées. Decaux Assurances tient à jour pour chaque client une fiche réflexe avec coordonnées hotline, numéros internes et liste des contacts RCMS et RC Pro en cas de mise en cause complémentaire.
Mobiliser la cellule de crise interne
La cellule type comprend : direction générale, DSI/RSSI, DPO, direction juridique, communication, et un référent assurance (votre courtier). Une main courante horodatée est ouverte dès la première minute — elle servira pour la déclaration CNIL, la plainte, et l’expertise. Sur les petites structures sans DSI interne, c’est souvent le dirigeant lui-même qui pilote, ce qui rend l’assurance RCMS particulièrement utile pour couvrir sa responsabilité personnelle si une plainte d’actionnaire ou de tiers émerge ensuite. La multirisque professionnelle (MRP) peut aussi intervenir sur les pertes d’exploitation matérielles, mais c’est bien la cyber qui couvre les pertes d’exploitation immatérielles, qui sont massives en cas de ransomware.
Heure 2 à 3 — Notifier les autorités et sécuriser le terrain juridique
Cette phase est juridique. Les délais légaux courent à partir de la connaissance de l’incident, pas de sa résolution. Les manquer expose à des sanctions parfois plus lourdes que le coût de l’attaque elle-même.
Notifier la CNIL sous 72 heures si données personnelles
Le RGPD impose une notification à la CNIL sous 72 heures dès qu’il existe une violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. La notification se fait via le téléservice CNIL et exige une description précise : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises ou envisagées. Une notification incomplète peut être complétée a posteriori. Si le risque est élevé, la notification individuelle aux personnes touchées devient également obligatoire — et c’est là que la garantie « frais de notification et de communication » de votre cyber entre en jeu.
Plainte au parquet et signalement ANSSI / cybermalveillance
Le dépôt de plainte auprès du commissariat ou de la gendarmerie (idéalement section cyber, plateforme PHAROS pour les contenus illicites) ouvre l’enquête pénale et conditionne l’indemnisation des cyberrançons, désormais soumise depuis la loi LOPMI du 24 janvier 2023 (article L12-10-1 du code des assurances) au dépôt d’une plainte sous 72 heures. Pour les opérateurs essentiels et importants couverts par la directive NIS 2, un signalement à l’ANSSI dans les 24h est exigé. Une déclaration sur cybermalveillance.gouv.fr permet par ailleurs d’orienter rapidement vers des prestataires labellisés ExpertCyber.
Heure 3 à 4 — Investigation forensique et préservation des preuves
L’enjeu de cette phase est double : comprendre comment l’attaque a réussi (pour la stopper et empêcher qu’elle recommence) et conserver les preuves nécessaires à l’enquête, à l’expertise d’assurance et à un éventuel contentieux.
Faire intervenir des experts en cybersécurité
Les incident responders mandatés par votre assureur arrivent à distance dans l’heure (et physiquement en quelques heures pour les sites critiques). Ils prennent une image disque des machines compromises, analysent les logs (firewall, AD, EDR, proxy), identifient le vecteur initial (phishing, RDP exposé, vulnérabilité non patchée…), tracent le mouvement latéral et listent les données potentiellement exfiltrées. Cette analyse alimentera la déclaration CNIL et la plainte, et conditionne aussi la prise en charge par votre assureur des frais de remédiation et de reconstruction du système d’information.
Préserver la chaîne de preuves
Tout ce qui est écrit, supprimé, modifié pendant les premières heures peut devenir une preuve. Règle d’or : ne pas redémarrer les machines, ne pas formater, ne pas restaurer tant que les images forensiques ne sont pas faites. Les emails de menace, captures d’écran de la note de rançon, échanges sur les portails Tor de l’attaquant doivent être conservés. Sur le plan assurantiel, chaque facture de prestataire (forensic, juridique, communication, restauration) doit être centralisée par le référent assurance — c’est le dossier qui sera transmis à votre assureur pour l’indemnisation finale. Les contrats cyber couvrent typiquement ces frais sans avance de trésorerie via le réseau de prestataires agréés.
Heure 4 à 5 — Communication de crise et continuité d’activité
Une cyberattaque n’est pas qu’un sinistre technique : c’est aussi un sinistre réputationnel et financier. Mal gérée, la communication transforme un incident maîtrisé en crise durable.
Communication clients, salariés, partenaires et médias
L’uniformité du message est cruciale. Une équipe communication dédiée (interne ou externe via votre assureur) prépare en parallèle : un message aux salariés (ce qu’ils peuvent dire et ne pas dire), aux clients impactés (factuel, rassurant, avec contact dédié), aux partenaires bancaires et fournisseurs, et — si nécessaire — aux médias. La jurisprudence récente du Conseil d’État et de la CNIL valorise les entreprises qui communiquent vite et précisément. Si votre activité dépend de tiers (clients grands comptes, marketplaces), une défaillance technique mal expliquée peut déclencher des résiliations de contrats — avec un effet domino sur votre assurance-crédit si vos propres factures clients deviennent à risque.
Reprise d’activité, sauvegardes et plan de continuité
La restauration ne démarre que lorsque le forensic a confirmé l’éradication. Les sauvegardes offline (déconnectées du SI) ou immutables sont la dernière ligne de défense face au ransomware. Le plan de continuité (PCA/PRA) testé en amont permet de redémarrer les fonctions critiques sur des environnements sains. La garantie pertes d’exploitation cyber indemnise le manque à gagner pendant cette période, généralement après une franchise temporelle de 6 à 24 heures et dans la limite d’une période d’indemnisation contractuelle.
FAQ — Cyberattaque et assurance cyber : 5 questions clés
Une assurance cyber rembourse-t-elle la rançon en cas de ransomware ?
Depuis la loi LOPMI du 24 janvier 2023, l’indemnisation d’une cyberrançon par un assureur est légalement possible, à condition que la victime ait déposé plainte sous 72 heures. Cela dit, le paiement de la rançon n’est jamais une recommandation : il ne garantit pas la récupération des données, finance la criminalité organisée, et expose à de nouvelles attaques. Les contrats sérieux privilégient l’investissement dans la remédiation, la reconstruction du SI et la défense juridique plutôt que le paiement.
Quelle différence entre assurance cyber et RC Pro pour un sinistre informatique ?
L’assurance cyber couvre vos dommages : pertes d’exploitation, frais de remédiation, notifications, restauration, fraude. L’assurance RC Pro couvre les dommages causés à des tiers par votre faute professionnelle (par exemple, fuite de données clients liée à une faute de conseil). Les deux sont complémentaires : la cyber prend en charge le sinistre interne, la RC Pro défend l’entreprise contre les actions des tiers victimes.
Quel délai pour notifier une violation de données à la CNIL ?
Le RGPD impose 72 heures à partir de la connaissance de la violation. La notification est obligatoire dès qu’il y a un risque pour les droits et libertés des personnes. Si le risque est élevé, une notification individuelle aux personnes concernées est en plus exigée. Le non-respect peut entraîner des sanctions financières lourdes, jusqu’à 2 % du chiffre d’affaires mondial.
Une PME doit-elle se faire accompagner par un courtier pour son assurance cyber ?
L’accompagnement par un courtier indépendant comme Decaux Assurances présente trois avantages : une mise en concurrence des partenaires assureurs sans biais commercial, une lecture experte des exclusions (notamment les conditions de sécurité minimales — MFA, sauvegardes, patching), et un appui en gestion de sinistre. À Neuilly-sur-Seine et au-delà, l’enjeu n’est pas le tarif affiché, mais la qualité du déclenchement en heure de crise.
Une cyberattaque peut-elle engager la responsabilité personnelle du dirigeant ?
Oui. Une faute de gestion (absence de plan de sauvegarde, défaut d’investissement raisonnable en cybersécurité, négligence sur le RGPD) peut engager la responsabilité personnelle du dirigeant, en particulier à l’égard des actionnaires ou en cas de procédure collective. C’est précisément l’objet de l’assurance RCMS / D&O, à articuler avec la cyber.
Decaux Assurances, courtier indépendant à Neuilly-sur-Seine, compare votre contrat actuel et propose le scénario le plus adapté à votre exposition.
Demander l’audit cyber →
Decaux Assurances
N’hésitez pas à solliciter Decaux Assurances pour une étude personnalisée sans frais. Decaux Assurances, courtier indépendant immatriculé à l’ORIAS et basé à Neuilly-sur-Seine, vous propose du sur-mesure en adaptant les garanties de votre assurance cyber en fonction de votre exposition réelle (taille, secteur, dépendance au SI, traitement de données sensibles). Nous structurons aussi vos couvertures complémentaires : RC Pro pour la responsabilité envers vos clients, RCMS / D&O pour la responsabilité du dirigeant, MRP pour les dommages aux biens, et assurance-crédit face à la défaillance des clients. L’objectif : une chaîne de garanties cohérente, sans trou ni double couverture.
Nous publions régulièrement des actualités de l’assurance et de l’immobilier sous forme d’articles ou de brèves classées par thématiques. Assurance Emprunteur, Dommages, Santé ou Produits.
De plus, nous essayons de participer autant que possible à des événements et expositions. D’ailleurs, nous apprécions particulièrement l’art. Certains événements culturels ont suscités notre intérêt. Nous les partageons avec vous sous la thématique Event.
Nous publions régulièrement des actualités de l’assurance et de l’immobilier sous forme d’articles ou de brèves classées par thématiques. Assurance Emprunteur, Dommages, Santé ou Produits.
De plus, nous essayons de participer autant que possible à des événements et expositions. D’ailleurs, nous apprécions particulièrement l’art. Certains événements culturels ont suscités notre intérêt. Nous les partageons avec vous sous la thématique Event.
- All
- Actualités assurance
- Assurance décennale
- Assurance emprunteur
- Audit énergétique
- Dommages
- Dommages-Ouvrage
- Éditorial
- Event
- Expat
- Fiscalité
- Le Morning Café
- Particuliers
- Produits
- Professionnels
- Qualité de l'air
- RC Pro
- Santé
Vidéo. Assurance RC Professionnelle pour les consultants : une protection indispensable ?
Le Morning Café de Decaux Assurances · Édition n°11 · Revue de presse assurance
Enfin, retrouvez sur notre chaîne YouTube l’actualité de Decaux Assurances, courtier en assurances spécialiste de solutions dédiées aux professionnels et particuliers.
D’ici là, n’hésitez pas à vous abonner . Vous pouvez nous suivre sur les différents réseaux sociaux Twitter, Instagram, Facebook, LinkedIn, Reddit et TikTok.
Assurance Audit énergétique
Notons que nous proposons de l’assurance audit énergétique (RCP – RCE – RCD – RC Pro) réglementaire pour les diagnostiqueurs immobilier ou bureau d’étude voulant exercer une activité de conseil en Audit énergétique (Qualification OPQIBI 1911 / Qualification OPQIBI 1905 / Qualification QUALIBAT 8731 / LNE / AFNOR / Certibat). Certaines formations vous permettront d’obtenir le label RGE (Reconnu garant de l’environnement). Notez qu’il est possible de faire apparaitre la mention « audit énergétique » sur nos attestations d’assurance. Certains organismes de formations en audit énergétique et conseil en rénovation vous demanderont cette mention.
La responsabilité civile exploitation (RCE) est inclue avec la responsabilité civile professionnelle (RC Pro). Par ailleurs, vous avez la possibilité également d’ajouter une responsabilité civile décennale (RC Décennale).
Au préalable, avant de choisir son assurance en tant qu’auditeur énergétique, il est nécessaire de s’assurer que son activité relève du conseil et ne dépasse le cadre de la Responsabilité Civile Professionnelle. Autrement, il faudra s’orienter vers une décennale si l’auditeur énergétique participe à l’acte de construire.
Enfin, sachez que si vous réalisez des audits énergétiques ou envisagez de vous lancer dans cette activité. Depuis l’arrêté du 24 novembre 2014, votre qualification pour la conduite d’audit énergétique selon la norme NF EN 16247 est obligatoire. Les auditeurs externes devront satisfaire à la norme NF X 50-091. Les organismes de formation sont accrédités par le COFRAC (Comité Français d’Accréditation).


