Le paiement d'une rançon est-il légal en France et l'assurance peut-elle le rembourser ?

Le paiement d'une rançon n'est pas interdit en droit français. La victime est qualifiée de victime d'extorsion (article 312-1 du Code pénal) [5]. L'assurance peut rembourser la rançon, mais sous des conditions très strictes : dépôt de plainte en 72h, vérification des listes de sanctions, analyse blockchain, diligences anti-blanchiment et accord préalable de l'assureur. L'ANSSI et les forces de l'ordre déconseillent néanmoins fortement le paiement, car il ne garantit pas la récupération des données et finance la cybercriminalité [1][5].

Que se passe-t-il si je ne dépose pas plainte dans les 72h après une attaque ransomware ?

Depuis la loi LOPMI 2023, le non-respect du délai de 72 heures autorise l'assureur à refuser légalement l'indemnisation de l'ensemble des pertes et dommages liés à la cyberattaque, y compris la rançon, les frais de remédiation et la perte d'exploitation [3][4]. Ce délai court à compter du moment où l'entreprise a connaissance de l'attaque.

La couverture rançongiciel est-elle incluse dans tous les contrats de cyberassurance ?

Non. Comme le montre notre comparatif, les garanties liées au ransomware (cyber-extorsion, remédiation, perte d'exploitation) peuvent être incluses, optionnelles ou absentes selon les assureurs et les formules. Chez Allianz, la cyber-extorsion est incluse d'office. Chez Hiscox, les dommages subis et l'interruption d'activité sont en option sur demande. Il est indispensable de vérifier chaque poste de garantie avant de souscrire.

Quelles exclusions peuvent empêcher l'indemnisation après un ransomware ?

Les exclusions les plus fréquentes sont : la négligence caractérisée (absence de mises à jour, pas de sauvegardes), la clause de guerre (attaques attribuées à un État dans le cadre d'un conflit armé), le non-respect du délai de plainte de 72h , et le dépassement des sous-limites contractuelles . Les couvertures cyber implicites dans des contrats non dédiés représentent également un risque d'ambiguïté signalé par l'ACPR [6].

Couverture rançongiciel : ce que couvre vraiment votre assurance cyber

[1] La couverture rançongiciel est un volet d'une police cyberassurance : assistance 24/7, remédiation, perte d'exploitation et cyber-extorsion.
[2] La loi LOPMI 2023 impose un dépôt de plainte sous 72h pour être indemnisé, sous peine de refus légal.
[3] Les garanties varient selon l'assureur : Allianz, AXA et Hiscox n'incluent pas les mêmes postes d'office.
[4] Budget : dès 350 €/an pour une TPE, face à un coût moyen de cyberattaque de 50 000 à 466 000 €.

Qu'est-ce que la couverture rançongiciel dans une assurance cyber ?

Un rançongiciel (ou ransomware) est un logiciel malveillant qui chiffre les données d'une entreprise et exige le paiement d'une rançon, généralement en cryptomonnaie, pour rétablir l'accès aux fichiers [1]. En 2024, l'ANSSI a recensé 144 compromissions par ransomware, dont 37 % touchaient des TPE, PME et ETI [2]. Le parquet de Paris a ouvert 546 enquêtes liées aux rançongiciels en 2023, soit une hausse de 30 % par rapport à 2022.

La couverture rançongiciel n'est pas un produit autonome : c'est un volet spécifique intégré dans une police de cyberassurance globale. Pour une vue d'ensemble des risques cyber et des garanties disponibles, consultez notre guide complet sur la cyberassurance [2]. Concrètement, cette couverture protège l'entreprise contre les conséquences opérationnelles, financières et juridiques d'une attaque par ransomware. Les garanties typiques incluent :

Assistance d'urgence 24h/24, 7j/7 : cellule de crise, experts techniques et juridiques mandatés immédiatement
Remédiation technique : restauration des systèmes et données, expertise forensique (cybercriminalistique)
Perte d'exploitation : indemnisation du chiffre d'affaires perdu pendant l'arrêt d'activité
Cyber-extorsion : prise en charge des frais de négociation et, sous conditions strictes, du paiement de la rançon
Responsabilité civile cyber (RC Cyber) : dommages causés à des tiers (clients, partenaires), frais juridiques
Conformité RGPD/CNIL : frais de notification, communication de crise, frais supplémentaires d'exploitation pour maintenir une activité minimale

Ce que remboursent réellement Allianz, AXA, Hiscox et Chubb en cas de ransomware

Les garanties varient considérablement d'un assureur à l'autre. Voici un comparatif basé sur les données produits réels disponibles sur AssurancesLabs.

Garantie	Allianz	AXA	Hiscox	Chubb
Frais de remédiation (nettoyage, reconstitution données, experts IT)	Inclus	Inclus	En option (sur demande)	Non spécifié
Cyber-extorsion (frais de négociation, rançon sous conditions)	Inclus	Non spécifié	Inclus (variable)	Non spécifié
Perte d'exploitation	En option	Inclus	En option (sur demande)	Non spécifié
RC Cyber (dommages aux tiers)	Inclus	En option	Inclus	Non spécifié
Gestion de crise (communication, plateforme téléphonique)	Inclus	Inclus	Inclus	Non spécifié
Notification CNIL/RGPD	Inclus	Inclus	Inclus	Non spécifié
Cyber-fraude	Non spécifié	Inclus (détournement de fonds)	En option (plafond 250 000 €)	Inclus (arnaque en ligne, achats frauduleux)

Points clés à retenir : chez Allianz, les frais de remédiation et la cyber-extorsion sont inclus d'office, mais la perte d'exploitation reste optionnelle. Chez AXA, l'atteinte au système et aux données (reconstitution, remise en état) ainsi que les pertes d'exploitation sont incluses, tandis que la RC cyber est en option. Hiscox inclut la cyber-extorsion et l'assistance, mais les dommages subis et l'interruption d'activité nécessitent une souscription complémentaire sur demande. Quant à Chubb, l'offre se concentre davantage sur le remboursement des pertes financières liées aux arnaques en ligne et achats frauduleux, avec une couverture plus limitée sur le ransomware pur [2].

Conseil pratique : vérifiez systématiquement les sous-limites et plafonds par type de garantie. Un contrat affichant un plafond global de 500 000 € peut limiter la cyber-extorsion à 50 000 € ou exclure totalement le remboursement de la rançon.

Loi LOPMI 2023 : l'obligation de déposer plainte en 72h pour être indemnisé

Depuis l'entrée en vigueur de la loi LOPMI (Loi d'orientation et de programmation du ministère de l'Intérieur) en 2023, un nouvel article L.12-10-1 du Code des assurances impose une condition sine qua non pour toute indemnisation assurantielle en cas de cyberattaque : le dépôt de plainte dans un délai de 72 heures à compter de la connaissance de l'attaque [3][4].

À qui s'applique cette obligation ?

Cette exigence concerne exclusivement les professionnels (entreprises, associations, collectivités). Les particuliers, bien qu'ils puissent souscrire une cyberassurance, ne sont pas soumis à ce délai [3].

Conséquence directe

Sans dépôt de plainte dans les délais, l'assureur peut légalement refuser toute indemnisation, y compris le remboursement de la rançon. Il ne s'agit pas d'une simple recommandation mais d'une obligation légale.

Les 5 conditions cumulatives pour le remboursement d'une rançon

En droit français, le paiement d'une rançon n'est pas interdit en soi [5]. La victime d'un ransomware est qualifiée de victime d'extorsion au sens de l'article 312-1 du Code pénal [5]. Toutefois, le remboursement par l'assureur est soumis à des conditions très strictes :

Dépôt de plainte dans les 72h (obligation LOPMI)
Contrôle des listes de sanctions internationales : ne pas payer un groupe sanctionné (OFAC, UE)
Analyse blockchain des flux de cryptomonnaies pour tracer les fonds
Diligences LCB-FT (lutte contre le blanchiment) : l'assureur intègre le sinistre dans sa cartographie des risques et peut déclarer à Tracfin
Accord préalable de l'assureur avant tout paiement

Si l'assureur rembourse une rançon sans ces précautions, il s'expose au risque d'être considéré comme facilitant le blanchiment de capitaux [4].

Exclusions légales à connaître

L'article L.121-8 du Code des assurances exclut les dommages résultant d'un conflit armé ou d'une guerre informatique. Ce point reste très débattu depuis l'affaire NotPetya (2017), où des assureurs ont invoqué la clause de guerre pour refuser l'indemnisation. Par ailleurs, l'ACPR (Autorité de contrôle prudentiel et de résolution) a enjoint les assureurs à clarifier les clauses cyber implicites dans les contrats non entièrement dédiés au cyber, afin d'éliminer toute ambiguïté pour les assurés [6].

Combien coûte une assurance cyber avec garantie ransomware ?

Le budget varie fortement selon la taille de l'entreprise, le secteur d'activité et le niveau de garanties choisi.

Profil d'entreprise	Prime annuelle indicative	Plafond de garantie
TPE / micro-entreprise (<10 salariés)	350 € à 1 500 €/an	50 000 € à 100 000 €
PME (<250 salariés)	1 000 € à 5 000 €/an	500 000 € à 1,5 M€
E-commerce	~44 €/mois (~528 €/an)	Variable
Restauration	~60 €/mois (~720 €/an)	Variable
Cabinet juridique (CA 300-400 k€)	~630 €/an	Variable

En règle générale, la prime représente 0,5 % à 5 % du montant total des garanties souscrites.

Mise en perspective : le coût moyen d'une cyberattaque pour une PME se situe entre 50 000 € (médiane Asterès) et 466 000 € selon les estimations de l'ANSSI [7][8]. Selon les données couramment citées, 60 % des PME victimes d'une cyberattaque majeure ferment dans les 18 mois suivants [2][7]. Face à ces chiffres, une prime annuelle de quelques centaines à quelques milliers d'euros représente un investissement de protection proportionné.

5 points de vigilance avant de souscrire une couverture rançongiciel

Vérifiez si le remboursement de la rançon est explicitement inclus ou exclu. Certains contrats couvrent uniquement les frais de négociation, pas le paiement lui-même. Lisez attentivement les conditions particulières.
Contrôlez les exclusions pour négligence caractérisée. L'absence de mises à jour de sécurité, l'absence de sauvegardes hors ligne (offline) ou le défaut de formation des collaborateurs peuvent invalider la garantie.
Identifiez les clauses de guerre et leur périmètre exact. Le débat post-NotPetya reste d'actualité : certains assureurs excluent largement les attaques attribuées à un État, d'autres limitent l'exclusion aux conflits armés déclarés.
Méfiez-vous des couvertures cyber implicites. L'ACPR alerte sur les contrats non dédiés au cyber (multirisque professionnelle, RC générale) qui contiennent des garanties cyber ambiguës, souvent insuffisantes en cas de sinistre réel [6].
Exigez une plateforme de gestion de crise 24/7 avec des experts techniques ET juridiques mandatés directement par l'assureur. La réactivité dans les premières heures est déterminante pour limiter les dégâts.

Bonne pratique complémentaire : combinez assurance et prévention. Un contrat de cyberassurance ne remplace pas un dispositif de sécurité solide : EDR (Endpoint Detection and Response), sauvegardes offline régulières, formations anti-phishing pour les collaborateurs et plan de réponse à incident testé au moins une fois par an [1].

Conclusion

La couverture rançongiciel constitue un volet essentiel de toute police de cyberassurance pour les entreprises françaises, quelle que soit leur taille. Trois points méritent une attention particulière : la vérification précise des garanties incluses et optionnelles (chaque assureur structure différemment son offre), le respect impératif du délai de plainte de 72 heures imposé par la loi LOPMI, et la combinaison indispensable entre assurance et mesures de prévention technique.

Chez AssurancesLabs, nous aidons les particuliers et professionnels à comprendre, comparer et choisir leurs assurances en France. Nos guides complets, comparatifs et conseils d'experts sont conçus pour vous permettre de naviguer dans le monde de l'assurance avec un contenu pédagogique et transparent, afin de prendre les meilleures décisions en matière de couverture.

Références

Pour aller plus loin

Guide complet - Cyber

Cyber-risques

Guides du même thème

Cyber TPE / PME

Pages connexes

Sujets voisins

RC Pro - responsabilité civile professionnelle

Questions fréquentes

Le paiement d'une rançon est-il légal en France et l'assurance peut-elle le rembourser ?: Le paiement d'une rançon n'est pas interdit en droit français. La victime est qualifiée de victime d'extorsion (article 312-1 du Code pénal) [5]. L'assurance peut rembourser la rançon, mais sous des conditions très strictes : dépôt de plainte en 72h, vérification des listes de sanctions, analyse blockchain, diligences anti-blanchiment et accord préalable de l'assureur. L'ANSSI et les forces de l'ordre déconseillent néanmoins fortement le paiement, car il ne garantit pas la récupération des données et finance la cybercriminalité [1][5].
Que se passe-t-il si je ne dépose pas plainte dans les 72h après une attaque ransomware ?: Depuis la loi LOPMI 2023, le non-respect du délai de 72 heures autorise l'assureur à refuser légalement l'indemnisation de l'ensemble des pertes et dommages liés à la cyberattaque, y compris la rançon, les frais de remédiation et la perte d'exploitation [3][4]. Ce délai court à compter du moment où l'entreprise a connaissance de l'attaque.
La couverture rançongiciel est-elle incluse dans tous les contrats de cyberassurance ?: Non. Comme le montre notre comparatif, les garanties liées au ransomware (cyber-extorsion, remédiation, perte d'exploitation) peuvent être incluses, optionnelles ou absentes selon les assureurs et les formules. Chez Allianz, la cyber-extorsion est incluse d'office. Chez Hiscox, les dommages subis et l'interruption d'activité sont en option sur demande. Il est indispensable de vérifier chaque poste de garantie avant de souscrire.
Quelles exclusions peuvent empêcher l'indemnisation après un ransomware ?: Les exclusions les plus fréquentes sont : la négligence caractérisée (absence de mises à jour, pas de sauvegardes), la clause de guerre (attaques attribuées à un État dans le cadre d'un conflit armé), le non-respect du délai de plainte de 72h , et le dépassement des sous-limites contractuelles . Les couvertures cyber implicites dans des contrats non dédiés représentent également un risque d'ambiguïté signalé par l'ACPR [6].

Données vérifiéesMis à jour le 18/01/2026

Méthode et sources

Méthodologie éditoriale AssurancesLabs : pas de promesse de taux sans devis ; priorité aux sources vérifiables (documents contractuels, conditions générales, autorités).

Sources

Documents contractuels lorsque disponibles, documentation AssurancesLabs, sites institutionnels.

Version

Documents et données 2026

Relecture

Rédaction AssurancesLabs

Voir les sources Lire la méthodologie Qui sommes-nous

Rédaction

Rodrigue Menegaux

Fondateur, AssurancesLabs

Rodrigue Menegaux est le fondateur d'AssurancesLabs (ORIAS n°26003306), plateforme française d'analyse et de comparaison d'assurances couvrant 18 verticales et plus de 170 contrats analysés. Diplômé de l'ESCP Business School à Paris et titulaire d'un MBA de la Wharton School (University of Pennsylvania), il a débuté sa carrière en 2009 chez Bain & Company sur des missions de conseil en stratégie pour le secteur des services financiers (banque, assurance), avant de travailler chez eBay Classifieds dans la Silicon Valley en 2013. De retour en France, il a co-fondé en 2016 Climb.fr, plateforme d'investissement et de gestion de patrimoine ayant levé 10 M€, qu'il a quittée en 2024. Il a lancé AssurancesLabs en 2025, dont la méthodologie repose sur la lecture des Documents d'Information sur le Produit d'Assurance (IPID) et le croisement avec les sources publiques (France Assureurs, ACPR, AERAS, CCSF). Le modèle économique du site est financé par une commission versée par les assureurs partenaires uniquement à la souscription, sans impact sur les analyses éditoriales.

Profil LinkedIn

Voir la fiche auteur

Avertissement : certains chiffres présentés sur cette page sont des ordres de grandeur utilisés à des fins pédagogiques. Ils peuvent être inexacts. Pour obtenir une estimation fiable, faites une simulation ou demandez un devis auprès d'un assureur.

Lancer le questionnaire