Quels délais respecter pour éviter le refus de son assureur après un sinistre ?
Sommaire
Un refus de votre assureur après une cyberattaque n’est pas une fatalité. Entre réclamation amiable, médiation et recours judiciaire, vous disposez d’un parcours de contestation… à condition d’agir vite, de respecter les délais et de documenter chaque échange.
1) Vérifier immédiatement les motifs du refus
Commencez par relire le contrat (conditions particulières et générales) et la lettre de refus. Les raisons courantes invoquées par les assureurs :
- Exclusion prévue au contrat (ex. guerre/cyberguerre, actes internes malveillants, dommages matériels).
- Délais non respectés (déclaration souvent 2 à 5 jours ; plainte dans les 72 h après découverte de l’attaque – condition liée à la loi LOPMI).
- Déclaration inexacte lors de la souscription ou à l’avenant.
- Aggravation du risque non déclarée (ex. changement d’infrastructure).
- Manquements de sécurité (mises à jour, sauvegardes, formation).
À faire tout de suite : notez précisément chaque clause citée par l’assureur et l’article du contrat correspondant.
2) Constituer un dossier étayé
Rassemblez toutes les preuves :
- Rapports techniques (forensic, SOC, EDR), journaux, captures d’écran.
- Courriels/courriers avec l’assureur et le prestataire IT.
- Preuves de respect des délais (déclaration initiale, dépôt de plainte).
- Éléments de conformité sécurité : politiques, preuve des mises à jour, journal des sauvegardes, attestations de formation anti-phishing, traitement des vulnérabilités signalées, etc.
Plus votre chronologie est précise, plus votre position est crédible.
3) Envoyer une réclamation formelle (LRAR)
Adressez une réclamation motivée ou une mise en demeure :
- Rappelez le sinistre, la date, le numéro de police.
- Contestez point par point les motifs du refus, contrat en main.
- Joignez les pièces (preuves techniques, preuves de délais, conformité sécurité).
- Fixez un délai de réponse (par ex. 15 jours).
Mini-modèle (extrait)
« Madame, Monsieur,
Je conteste votre refus du [date] relatif au sinistre cyber déclaré le [date] (police n°…). Contrairement à ce qui est indiqué, le sinistre entre dans le périmètre garanti (art. …) et les obligations ont été respectées (déclaration sous … jours, plainte déposée sous 72 h, sauvegardes et correctifs attestés). Vous trouverez en pièces jointes [liste]. Je vous mets en demeure de réexaminer le dossier et d’indemniser les postes prévus (restauration, pertes d’exploitation, RC) sous 15 jours. À défaut, je saisirai le Médiateur de l’assurance, puis la juridiction compétente. »
4) Saisir le Médiateur de l’assurance (gratuit)
Si l’assureur maintient son refus, saisissez le médiateur compétent. C’est rapide, sans frais et souvent efficace pour débloquer une interprétation contractuelle avant d’aller en justice. Conservez la preuve de cette saisine.
5) Aller en justice en dernier recours
En cas d’échec de la médiation, saisissez le tribunal compétent (souvent tribunal judiciaire / de proximité selon le montant).
Recommandé : un avocat en droit des assurances et, côté technique, un expert cyber pour consolider la preuve (chaîne de compromission, mesures de sécurité raisonnables, lien de causalité).
6) Respecter le délai d’action
Vous disposez en principe de 2 ans (à compter du refus ou de la date du sinistre, selon les cas) pour agir contre l’assureur. Ne laissez pas courir.
Quand la garantie cyber est « opposable » (donc mobilisable)
La garantie a vocation à jouer lorsque :
- Déclaration dans les délais (contrat + plainte sous 72 h si exigée).
- Obligations de sécurité respectées : mises à jour, sauvegardes fiables, formations, contrôles d’accès, correctifs appliqués sur failles connues.
- Sinistre relevant d’actes de malveillance informatique (ransomware, hacking, compromission).
- Périmètres couverts expressément : restauration des données, pertes d’exploitation, responsabilité civile vis-à-vis de tiers, coûts de remédiation (selon contrat), accompagnement de crise.
Les exclusions fréquentes (et comment les prévenir)
| Exclusion fréquente | Exemples | Parades concrètes |
| Négligence grave | OS non patché, solutions fin de support | Gestion de vulnérabilités, patching priorisé, inventaire IT à jour |
| Absence de sauvegardes | Pas de backup hors-ligne/testé | 3-2-1 (3 copies, 2 supports, 1 hors-ligne), tests de restauration |
| Phishing / ingénierie sociale | Virement frauduleux après usurpation | Formations régulières, procédures de double validation |
| Failles connues non corrigés | Correctif éditeur ignoré | Patching accéléré, preuves de déploiement |
| Actes internes malveillants | Employé qui exfiltre des données | Principe du moindre privilège, journaux, séparation des tâches |
| Guerre / cyberattaques étatiques | Campagnes liés à un état | Clauses spécifiques si proposées, plan de continuité |
| Sanctions pénales/amendes | Amendes RGPD | Sous-garanties dédiés quand disponibles et licites, conformité |
Astuce : demandez à votre courtier/assureur une attestation des prérequis sécurité attendus et gardez la preuve de leur respect dans le temps.
Focus : « garantie de sanctions réglementaires »
Certaines polices incluent une garantie de sanctions réglementaires (amendes, pénalités, injonctions de mise en conformité, frais de défense, selon légalité et rédaction). Vérifiez le périmètre exact :
- Souvent exclues : sanctions pénales, actes intentionnels, fraudes internes, sanctions antérieures à la souscription, manquements contractuels.
- Public ciblé : toute organisation exposée (PME, ETI, grandes entreprises, associations, établissements publics), notamment secteurs réglementés.
- Coût : variable selon taille/secteur/exposition ; comparez plusieurs offres et niveaux de franchise.
Check-list express en cas de refus
- Chronologie du sinistre et preuve des délais (déclaration, plainte < 72 h si exigée).
- Cartographie des obligations du contrat vs actions menées.
- Dossier technique : forensic, journaux, IOC, backups testés, patching.
- Réclamation LRAR argumentée + pièces.
- Médiateur saisi si refus maintenu.
- Action en justice < 2 ans avec avocat + expert.
Questionnement fréquent :
La rançon est-elle remboursée ?
Cela dépend strictement du contrat et de la politique de l’assureur ; beaucoup la découragent et l’encadrent fortement.
Et si l’attaque vient d’un État ?
De nombreuses polices excluent la cyberguerre. Lisez la clause dédiée.
La franchise peut-elle vider la garantie de son sens ?
Oui : niveaux de franchise élevés peuvent neutraliser l’intérêt pour des sinistres moyens. Négociez plafond/franchise.
Modèle de plan d’amélioration (pour éviter un prochain refus)
- Gouvernance : politique sécurité approuvée, DPO/RSSI identifiés, revues trimestrielles.
- Technique : EDR/MFA partout, patching priorisé, sauvegardes 3-2-1 testées, segmentation réseau.
- Humain : formations anti-phishing continues, exercices de réponse à incident.
- Juridique/assurance : cartographie des clauses et exclusions, preuves de conformité conservées (journalisées).
- Crise : playbook d’incident, dépôt de plainte prêt (modèle), contacts CERT/assureur/avocat.
Un refus de garantie n’est jamais agréable, mais un dossier bien préparé, une réclamation argumentée, puis la médiation offrent de réelles chances de renverser la décision. Et si nécessaire, le juge tranche.
La clé reste la discipline opérationnelle : délais respectés, preuves conservées, sécurité démontrable… et un contrat compris ligne par ligne.
