PME : le vrai coût d'une cyberattaque (et comment s'en protéger)

Qu’est-ce qu’une perte d’exploitation après une cyberattaque ?

La perte d’exploitation correspond à la baisse de marge brute subie lorsqu’une entreprise ne peut plus fonctionner normalement après un sinistre. Dans le cas d’une cyberattaque, l’activité peut être totalement interrompue ou simplement ralentie : impossibilité de vendre, de produire, de livrer ou de facturer.

Concrètement, la perte d’exploitation inclut :

• La perte de marge brute (chiffre d’affaires moins charges variables) liée à l’arrêt ou à la réduction d’activité,

• Les frais supplémentaires engagés pour limiter les pertes (solutions de secours, prestataires externes).

C’est souvent cette perte financière qui impacte les plus petites entreprises et qui peut aller jusqu'à une remise en cause de leur existence. 

Quelle est la différence entre garantie cyber dommages et garantie pertes d’exploitation ?

Les contrats d’assurance cyber reposent sur deux garanties complémentaires :

La garantie cyber dommages couvre les préjudices directs causés par l’attaque informatique :

• Restauration des données et des systèmes,
• Frais d’expertise forensique,
• Gestion de crise,
• Remise en état des infrastructures informatiques.

La garantie pertes d’exploitation, elle, indemnise les conséquences économiques de l’attaque :

• Perte de marge brute,
• Frais supplémentaires d’exploitation engagés pour maintenir l’activité.

Autrement dit, la première remet l’outil de travail en état, la seconde protège la trésorerie pendant la période d’interruption.

La multirisque professionnelle couvre-t-elle les pertes de CA liées au cyber ?

C’est l’un des points de confusion les plus fréquents chez les entrepreneurs.

La garantie pertes d’exploitation incluse dans une multirisque professionnelle classique couvre essentiellement les sinistres matériels : incendie, dégât des eaux, tempête, vol ou vandalisme, par exemple. Elle indemnise la perte de marge brute lorsque l’activité est interrompue pour ce type de raisons.

En revanche, les cyberattaques sont en règle générale exclues. Sans extension cyber spécifique, une multirisque professionnelle ne couvre pas les pertes de chiffre d’affaires liées à une cyberattaque (ex : un ransomware, un piratage ou une attaque DDoS).

Pour être indemnisé après une cyberattaque, il faut :

• Soit une extension Cyber rattachée à la Multirisque Pro ou à la Responsabilité Civile professionnelle.
• Soit une assurance Cyber risque dédiée.

Comment est calculée la perte de marge brute indemnisée ?

Le calcul repose sur une comparaison entre l’activité normale et l’activité réellement réalisée.

Exemple chiffré :

• Chiffre d’affaires théorique : 200 000 €
• Chiffre d’affaires réel : 120 000 €
• Taux de marge brute : 60 %

Perte de marge brute indemnisable = (200 000 – 120 000) × 0,60 = 48 000 €

Ce montant est ensuite limité par le plafond de garantie prévu au contrat.

Quels risques cyber peuvent entraîner une perte d’exploitation ?

Selon les secteurs, les scénarios les plus courants sont :

• Ransomware bloquant les systèmes informatiques,
• Attaques DDoS rendant un site ou une plateforme inaccessible,
• Vol ou destruction de données essentielles,
• Compromission des outils de production ou de gestion,
• Phishing ciblé entraînant une paralysie opérationnelle.

Les secteurs les plus exposés restent l’e-commerce, la santé, l’industrie, les services numériques, la formation et les activités financières.

Franchises et plafonds : à quoi s’attendre en cyberassurance ?

Franchises observées

La franchise correspond au reste à charge de l’entreprise. Elle est souvent fixée à partir de 1 000 €, mais peut être :

• Fixe (ex. 1 000 €),
• Proportionnelle au montant du sinistre,
• Liée au chiffre d’affaires.

Plafonds de garantie d'un contrat cyber par taille d'entreprise

Micro-entreprises (CA < 900 000 €, < 10 salariés)
Plafonds courants : 50 000 € à 100 000 €.

Petites entreprises (CA < 15 M €, < 50 salariés)
Plafonds typiques : 500 000 € à 1 500 000 €.

Moyennes entreprises (CA < 50 M €, < 250 salariés)
Plafonds courants : 1 500 000 € à 3 000 000 €.

Grandes entreprises
Plafonds pouvant atteindre plusieurs millions d’euros.

Faut-il choisir une franchise élevée ou basse ?

Une franchise élevée permet de réduire la prime annuelle, mais augmente le reste à charge en cas de sinistre. Elle est adaptée aux entreprises disposant d’une trésorerie solide et d’un faible historique de sinistres.

À l’inverse, une franchise plus basse protège la trésorerie mais augmente le coût de l’assurance. Elle est souvent préférée par les TPE, freelances et entreprises très dépendantes du numérique.

Le bon équilibre dépend de :

• La capacité financière à absorber un sinistre,
• La fréquence et la gravité des risques cyber,
• Le budget assurance disponible.

FAQ : Assurance cyber et perte de chiffre d’affaires

• Quelle assurance couvre la perte de chiffre d’affaires après une cyberattaque ?
  Une assurance cyber risque dédiée ou une extension cyber incluant la garantie pertes d’exploitation.
• La multirisque professionnelle suffit-elle ?
  Non, sauf si une extension cyber spécifique est ajoutée. La MRP classique exclut généralement les cyberattaques.
• La perte de marge brute est-elle toujours incluse ?
  Non. La garantie pertes d’exploitation est souvent optionnelle et doit être explicitement mentionnée au contrat. Chez Hiscox, elle est incluse par défaut dès la formule de base "L'Essentiel" de l'offre Multirisque Professionnelle, et dans l’offre CyberClear Premium.
• Quels montants peuvent être indemnisés ?
  De 5 000 € à plus d’un million d’euros selon la taille de l’entreprise, le secteur et le plafond souscrit.
• La franchise est-elle obligatoire ?
  Oui. Elle est généralement comprise entre quelques centaines et plusieurs milliers d’euros.
• Une négligence peut-elle annuler l’indemnisation ?
  Oui. Les actes intentionnels ou une négligence avérée de la direction sont systématiquement exclus.