Combined or not combined - les pièges à éviter

Un risque systémique, reconnu et redouté.

Pour les entreprises du numérique, une cyberattaque ne se limite pas à un préjudice interne (first party)  : elle peut aussi entraîner des réclamations de tiers (third party) , notamment lorsqu'elle affecte des clients ou utilisateurs via l’indisponibilité de services SaaS, de plateformes ou d’API critiques.

Ce préjudice client représente une réelle exposition en Responsabilité Civile Professionnelle (RCP). Or,  la plupart des polices RCP classiques excluent - ou ne couvrent que très partiellement - les conséquences d’un sinistre d’origine cyber.

Opter pour une police combinée reste l'une des solutions les plus efficaces.

Pour bénéficier d'une véritable couverture "tous risques sauf" face aux sinistres cyber ayant un impact client, opter pour une police combinée reste l'une des solutions les plus efficaces.

Ce type de contrat permet une articulation cohérente entre les garanties de pertes d'exploitation, gestion de crise, responsabilité civile, et assistance technique. Surtout, il couvre explicitement les réclamations émanant des clients à la suite d'une attaque informatique subie par l'assuré : indisponibilité de services, fuite de données ou défaut de performance contractuelle.

Face à ce besoin croissant, de nombreux assureurs traditionnels - en particulier anglo-saxons comme AIG, CHUBB ou HISCOX - proposent aujourd'hui des polices combinées adaptées aux entreprises du numérique.

Toutefois, cette solution nécessite un changement de perspective sur le transfert de risque, notamment en matière de capacité assurantielle. La plupart des polices combinées RCP / Cyber offrent une seule capacité,  qui englobe à la fois les garanties Cyber et RCP. Cela peut pousser l'assuré à augmenter mécaniquement ses limites de garanties générales.

Or, l'expérience démontre qu'un sinistre cyber mobilise à la fois les garanties cyber (pertes financières subies par l'assuré) et les garanties RCP (réclamations clients ou tierces). Il est donc essentiel, lors de la détermination des limites, de mener une double analyse :

• des engagements contractuels pris auprès des clients majeurs de l'assuré
• des pertes financières potentielles que l'assuré pourrait subir en cas d'incident

 Faute de quoi, l'assuré risque de se retrouver sous-assuré en pleine crise.

Et la fraude, dans tout ça ?

Parmi les dérives fréquentes d'une cyberattaque figure le détournement de fonds : compromission de boîte mail, faux ordre de virement, usurpation d'identité...
Ces fraudes, souvent orchestrées par ingénierie sociale, prennent aujourd'hui une nouvelle ampleur avec l'essor de l'intelligence artificielle.
En 2025, les cas de fraude assistée par IA explosent, mettant à rude épreuve les systèmes de sécurité des entreprises et les capacités d’adaptation des assureurs. Longtemps perçue comme un levier d'innovation, l'IA devient une arme redoutable entre les mains des cybercriminels. 

Selon le dernier rapport de l’Entrust Cybersecurity Institute, les attaques par deepfake (vidéos ou audios falsifiés d’un réalisme saisissant) se multiplient à un rythme effréné, avec une tentative toutes les cinq minutes. Ces contenus permettent d’usurper l’identité d'un dirigeant pour ordonner des virements frauduleux ou manipuler un collaborateur.

Les PME, moins bien outillées que les grands groupes, deviennent des cibles de choix. Les fraudeurs utilisent désormais des plateformes d’IA en libre accès pour créer de façon automatique des faux documents ou générer des conversations crédibles avec des employés.

A noter : ces sinistres ne relèvent pas d'une assurance cyber classique, mais d'une garantie fraude dédiée.
Une confusion fréquente de la part des assurés : les garanties dites "Cyber-Fraude" couvrent généralement des cas très ciblés - comme la surconsommation téléphonique post-attaque ou le détournement de fonds consécutif à un accès non autorisé au système informatique par un tiers.