Les particuliers sont-ils concernés par la règle des 72h de la loi LOPMI ?

Non. L'article L. 12-10-1 du Code des assurances s'applique uniquement aux personnes morales et aux personnes physiques agissant dans le cadre de leur activité professionnelle . Les particuliers victimes d'une cyberattaque à titre personnel ne sont pas soumis à cette obligation de dépôt de plainte sous 72 heures [2][5].

Que se passe-t-il si je n'ai pas déposé plainte dans les 72 heures après l'attaque ?

Le non-respect de ce délai entraîne une déchéance de garantie . Concrètement, votre assureur peut refuser légalement toute indemnisation, que ce soit pour la rançon, la perte d'exploitation ou les frais de remédiation. Il est donc crucial de réagir immédiatement dès la découverte de l'attaque [2][3].

L'ANSSI recommande-t-elle de payer la rançon ?

Non. L'ANSSI est officiellement opposée au paiement des rançons , estimant que cela encourage les attaquants et finance des organisations criminelles. Toutefois, la loi française n'interdit pas le paiement, et certains contrats d'assurance prévoient sa prise en charge sous conditions [4].

Mon contrat de responsabilité civile professionnelle couvre-t-il une attaque ransomware ?

En règle générale, non . Les contrats de RC Pro standard excluent les risques cyber spécifiques comme le ransomware, la violation de données ou l'interruption d'activité liée à une cyberattaque. Pour être couvert, il est indispensable de souscrire un contrat d'assurance cyber dédié . Pour comparer l'ensemble des garanties cyber disponibles sur le marché français et choisir le contrat adapté à votre entreprise, consultez notre guide complet sur l'assurance cyber .

Attaque par ransomware : l'assurance rembourse-t-elle la rançon et la perte d'exploitation ?

L'assurance cyber peut couvrir la rançon et la perte d'exploitation, mais sous conditions strictes.
La loi LOPMI impose un dépôt de plainte sous 72h après connaissance de l'attaque, sous peine de déchéance de garantie.
Les exclusions (cyber-guerre, non-conformité MFA/sauvegardes) peuvent entraîner un refus d'indemnisation.
Une RC Pro classique ne couvre pas le ransomware : un contrat cyber dédié est indispensable.

Ransomware en France : une menace qui coûte en moyenne 58 600 € par attaque

En 2024, l'ANSSI a recensé 144 compromissions par rançongiciel portées à sa connaissance, un niveau stable par rapport à 2023 mais en hausse de 31 % par rapport à 2022 [1]. Plus inquiétant encore : 74 % des entreprises françaises déclarent avoir été touchées par un ransomware en 2024, soit le taux le plus élevé d'Europe.

Le coût moyen d'une attaque par ransomware réussie est estimé à 58 600 € selon le cabinet Asterès : 25 600 € de frais de réponse, 7 300 € liés à l'interruption d'activité et 25 700 € de rançon en moyenne. Pour les PME, la facture oscille entre 20 000 et 300 000 € selon la gravité de l'incident. À l'échelle nationale, les cyberattaques réussies auraient coûté 2 milliards d'euros en 2022.

Le risque n'est plus réservé aux grandes entreprises : les TPE, PME et ETI représentent 61,7 % des cibles au deuxième trimestre 2024 [1]. Face à cette réalité, la question se pose avec acuité : l'assurance rembourse-t-elle la rançon et la perte d'exploitation en cas d'attaque par ransomware ?

Oui, l'assurance peut rembourser la rançon et la perte d'exploitation, mais sous conditions strictes

La réponse directe est oui, à condition de remplir deux prérequis essentiels :

Avoir souscrit un contrat d'assurance cyber dédié : une assurance responsabilité civile professionnelle (RC Pro) classique ne couvre pas les risques liés au ransomware. Seul un contrat cyber spécifique intègre les garanties nécessaires.
Avoir déposé plainte dans les 72 heures suivant la connaissance de l'attaque, conformément à la loi LOPMI (article L. 12-10-1 du Code des assurances), en vigueur depuis le 24 avril 2023 [2][3].

Concernant la perte d'exploitation, elle est couverte par la majorité des contrats cyber du marché français. Chez AXA, cette garantie est incluse (perte de marge brute et frais supplémentaires). Chez Allianz, elle est proposée en option. Chez Hiscox, la couverture de l'interruption d'activité est disponible sur demande.

Pour le remboursement de la rançon, la situation est plus nuancée. Hiscox inclut une garantie cyber-extorsion dans ses contrats, avec un montant variable selon la police souscrite. En revanche, AXA France a suspendu la couverture du paiement de rançon depuis 2021. Chez Allianz, les frais pour « stopper une cyber-extorsion » sont mentionnés dans la garantie « Frais engagés et pertes subies ». Dans tous les cas, l'autorisation préalable de l'assureur est généralement requise avant tout paiement.

Il est important de noter que la loi LOPMI ne mentionne pas explicitement le mot « rançon » : elle vise les « pertes et dommages » causés par une atteinte à un système de traitement automatisé de données. L'assurabilité des rançons reste donc contractuelle et doit être vérifiée police par police [2][4].

Ce que couvre concrètement votre assurance cyber en cas de ransomware

Les contrats d'assurance cyber disponibles en France proposent plusieurs modules de garantie. Voici un comparatif des principales couvertures chez trois assureurs majeurs :

Garantie	Allianz	AXA	Hiscox
Perte d'exploitation / interruption d'activité	Optionnel (perte de marge brute)	Inclus (marge brute + frais supplémentaires)	Sur demande
Frais de remédiation et restauration du SI	Inclus (nettoyage maliciels, reconstitution données)	Inclus (remise en état du système)	Inclus (via assistance)
Cyber-extorsion / rançon	Inclus (frais pour stopper une cyber-extorsion)	Suspendu depuis 2021	Inclus (montant variable)
Responsabilité civile cyber	Inclus (atteinte données, réclamations tiers)	Optionnel (dommages immatériels aux tiers)	Inclus (frais de défense, dommages et intérêts)
Gestion de crise	Inclus (experts informatiques)	Inclus (communication, plateforme téléphonique)	Inclus (assistance, enquêtes)
Notification CNIL / frais juridiques	Inclus	Inclus	Inclus (enquêtes et sanctions)

Source : données produits AssurancesLabs, actualisées 2025.

À noter : le produit Chubb référencé dans notre base couvre principalement les arnaques en ligne et achats frauduleux, ce qui le rend moins adapté à la couverture d'un ransomware professionnel.

La règle des 72h (loi LOPMI) : la condition légale que vous ne pouvez pas ignorer

La loi LOPMI n° 2023-22 du 24 janvier 2023, entrée en vigueur le 24 avril 2023, a créé l'article L. 12-10-1 du Code des assurances. Ce texte pose une condition sine qua non pour toute indemnisation liée à une cyberattaque [2][3][5] :

« Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime. »

Ce qu'il faut retenir de cette disposition

Qui est concerné ? Les personnes morales et les personnes physiques agissant dans le cadre de leur activité professionnelle (entreprises, artisans, professions libérales). Les particuliers hors activité professionnelle ne sont pas soumis à cette obligation [2][5].
Quel est le point de départ du délai ? Les 72 heures courent à partir de la connaissance de l'atteinte par la victime, et non de la survenance de l'attaque elle-même. Il est donc essentiel de documenter précisément l'heure de découverte (logs, captures d'écran, e-mails internes) [3][5].
Quelle sanction en cas de non-respect ? L'absence de dépôt de plainte dans le délai imparti entraîne une déchéance de garantie : l'assureur peut légalement refuser toute indemnisation, même si le contrat cyber est parfaitement valide [2][3].
Comment procéder ? Déposez une pré-plainte en ligne sur pre-plainte-en-ligne.gouv.fr ou rendez-vous au commissariat ou à la gendarmerie avec les preuves disponibles (logs système, capture de la demande de rançon, horodatage de la découverte). Informez simultanément votre assureur [5].

Ce délai de 72 heures est identique à celui imposé par le RGPD pour la notification à la CNIL en cas de violation de données personnelles, ce qui permet de mener les deux démarches en parallèle [4][5].

Les exclusions qui peuvent faire échouer votre indemnisation

Même avec un contrat cyber en bonne et due forme et un dépôt de plainte dans les temps, plusieurs exclusions contractuelles peuvent conduire à un refus d'indemnisation :

Attaques étatiques et cyber-guerre

Depuis 2023, sous l'impulsion de Lloyd's of London, la plupart des grands assureurs excluent les cyberattaques attribuées à un État, y compris en temps de paix [6]. Le problème : la frontière entre cybercriminalité ordinaire et attaque étatique est souvent floue, et aucune définition légale précise n'existe en droit français. En cas de litige, l'attribution peut être contestée.

Non-conformité aux prérequis de cybersécurité

Les assureurs exigent de plus en plus des mesures de sécurité minimales : authentification multifacteur (MFA), sauvegardes régulières et testées, pare-feu à jour, formation des employés aux risques cyber. L'absence de ces dispositifs peut entraîner un refus d'indemnisation. Des cas de PME dont la demande a été rejetée pour non-conformité ont été documentés.

Événements systémiques

Une attaque massive touchant simultanément de nombreuses entreprises (par exemple via un fournisseur cloud commun) peut déclencher des plafonds agrégés limitant l'indemnisation de chaque assuré.

RC Pro classique : une fausse protection

Un contrat de responsabilité civile professionnelle standard exclut systématiquement les risques cyber spécifiques. Ne confondez pas RC Pro et assurance cyber : seul un contrat dédié offre une couverture adaptée au ransomware.

Conclusion

L'assurance cyber peut effectivement rembourser la rançon et couvrir la perte d'exploitation en cas d'attaque par ransomware, mais cette protection est soumise à des conditions strictes. Le dépôt de plainte sous 72 heures imposé par la loi LOPMI est un impératif absolu, sous peine de perdre tout droit à indemnisation. Les garanties varient considérablement d'un assureur à l'autre : certains incluent la cyber-extorsion, d'autres l'ont suspendue. Les exclusions (cyber-guerre, non-conformité, événements systémiques) constituent autant de pièges à anticiper.

Chez AssurancesLabs, nous aidons les professionnels à comprendre, comparer et choisir les contrats d'assurance les mieux adaptés à leurs besoins. Nos guides et comparatifs sont conçus pour vous offrir un contenu pédagogique et transparent, afin de prendre les meilleures décisions en matière de couverture cyber. Ne laissez pas votre entreprise sans protection face à un risque qui touche désormais trois entreprises françaises sur quatre.

Références

ANSSI / CERT-FR, Panorama de la cybermenace 2024, https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-003.pdf
Neotech Assurances, Garanties d'assurance cyber, code des assureurs et loi LOPMI, https://www.neotech-assurances.fr/assurance-cyber-ransomware-assurabilite-loi-lopmi-risque-cyber-silent-cover-code-des-assurances-article-344-2/
Fidal, Assurance et cyberattaques : porter plainte sous 72h pour être indemnisé, https://www.fidal.com/actualites/assurance-et-cyberattaques-porter-plainte-sous-72h-pour-etre-indemnise
Squire Patton Boggs, Assurance des risques de cyberattaques : il faut porter plainte dans les 72 heures, https://larevue.squirepattonboggs.com/assurance-des-risques-de-cyberattaques-il-faut-porter-plainte-dans-les-72-heures.html
Banque des Territoires / Localtis, Le dépôt de plainte sous 72h en cas de cyberattaque désormais obligatoire, https://www.banquedesterritoires.fr/le-depot-de-plainte-sous-72h-en-cas-de-cyberattaque-desormais-obligatoire
My Business Future, Assurance cyber pour les PME : ce qui est réellement couvert, https://mybusinessfuture.com/fr/assurance-cyber-pour-les-pme-ce-qui-est-reellement-couvert/