Réponse rapide : La plupart des polices de cyber-assurance pour PME rédigées avant 2024 contiennent des clauses d'exclusion et des lacunes de couverture qui les rendent fonctionnellement inutiles contre les attaques basées sur l'IA – en particulier la fraude par deepfake, le rançongiciel autonome et l'ingénierie sociale pilotée par l'IA. Vous devez auditer votre police dès maintenant, avant votre prochain cycle de renouvellement, en utilisant les cinq critères décrits ci-dessous.
Votre assureur ne vous l'a probablement pas dit. La police qui se trouve dans votre classeur – celle que vous avez renouvelée en avril dernier sans la lire – a presque certainement été conçue pour couvrir l'environnement de menaces de 2019. Les e-mails de phishing de princes nigérians. Les rançongiciels de script-kiddies. Un employé mécontent qui part avec une clé USB.
Ce monde a disparu.
Ce qui l'a remplacé est structurellement différent. Les cyberattaques basées sur l'IA opèrent désormais à la vitesse de la machine, avec une persuasion sociale de niveau humain, contre des cibles de toutes tailles. Et la vérité inconfortable pour les propriétaires de PME est la suivante : votre police de cyber-assurance pourrait être votre plus chère illusion de sécurité.
Faisons le tri.
Pourquoi la cyber-assurance traditionnelle n'a jamais été conçue pour les menaces de l'IA
La cyber-assurance en tant que catégorie de produits a mûri entre 2012 et 2020. Les souscripteurs ont construit leurs modèles actuariels autour de vecteurs d'attaque connus : violations de données, rançongiciels avec des demandes de déchiffrement fixes, et compromissions d'e-mails professionnels (BEC) impliquant un attaquant humain élaborant manuellement des demandes de virement frauduleux.
Les calculs fonctionnaient. Les pertes étaient quelque peu prévisibles. Le langage des polices a été rédigé en conséquence.
Puis la surface d'attaque a changé de trois manières fondamentales :
- Vitesse : Les campagnes de rançongiciels pilotées par l'IA, comme celles utilisant des outils de mouvement latéral autonomes, peuvent compromettre un réseau PME entier en moins de quatre minutes, plus rapidement que n'importe quelle équipe humaine d'intervention en cas d'incident ne peut se mobiliser.
- Échelle : Les attaquants utilisent désormais des grands modèles de langage pour générer des milliers de messages de phishing hyper-personnalisés simultanément. Un acteur de la menace. Des millions de cibles. Aucun coût marginal.
- Crédibilité : La fraude audio et vidéo par deepfake (un directeur financier recevant un appel vidéo en temps réel de quelqu'un qui ressemble et sonne exactement comme son PDG) déjoue les contrôles de "rappel pour vérifier" que les assureurs exigent comme condition préalable à la couverture.
Ce dernier point est celui qui devrait vous empêcher de dormir la nuit.
Les cinq clauses de police qui rejetteront votre demande d'indemnisation pour attaque par l'IA
Sortez votre police tout de suite. Recherchez chacune de ces clauses :
1. L'exclusion du "transfert volontaire"
Si un employé a été victime d'ingénierie sociale – même par une voix synthétique ou un deepfake généré par l'IA – l'incitant à autoriser un paiement, de nombreux assureurs classent cela comme un transfert de fonds volontaire. La couverture est refusée. Cette exclusion a été confirmée dans plusieurs affaires judiciaires au Royaume-Uni et aux États-Unis depuis 2022.
2. La clause "technologie non éprouvée" ou "vecteur d'attaque nouveau"
Certaines polices excluent explicitement les pertes attribuables à des méthodes d'attaque qui n'étaient pas des catégories reconnues au moment de l'émission de la police. Les attaques autonomes par IA sont de plus en plus testées sous cette clause.
3. Exclusions de guerre et d'État-nation hostile
Le litige historique de Merck de 1,4 milliard de dollars avec ses assureurs concernant l'attaque NotPetya a créé un précédent. De nombreux outils d'attaque basés sur l'IA sont parrainés par l'État ou liés à l'État. Si un assureur peut soutenir que l'attaque provient d'un appareil d'État-nation hostile, il le fera.
4. Manquement aux "contrôles de sécurité raisonnables"
C'est là que les attaques par l'IA créent un cercle vicieux brutal. Votre police exige des contrôles de sécurité "raisonnables" – MFA, protection des terminaux, correctifs réguliers. Mais les attaques basées sur l'IA déjouent spécifiquement ces contrôles. Une IA qui contourne le MFA via une attaque proxy en temps réel de type "adversarial-in-the-middle" ne se soucie pas que vous ayez activé l'authentification à deux facteurs. Votre assureur pourrait soutenir que le contrôle a "échoué", impliquant que votre implémentation n'était pas raisonnable.
5. Sous-limites sur l'ingénierie sociale et la fraude
Même les polices qui couvrent nominalement la fraude BEC et l'ingénierie sociale plafonnent fréquemment ces paiements à 25 000 £ – 50 000 £ – une sous-limite distincte, beaucoup plus basse, enfouie dans une annexe d'avenant. La limite principale de la police de 1 million de livres sterling est fonctionnellement non pertinente pour le type d'attaque le plus courant basé sur l'IA.
À quoi ressemblent réellement les attaques basées sur l'IA en 2026
Comprendre la mécanique des menaces vous aide à poser de meilleures questions lors de la renégociation de la couverture.
Rançongiciels autonomes en tant que service (RaaS) : Des groupes comme les successeurs de LockBit proposent désormais des modules d'IA qui scannent automatiquement les réseaux pour trouver les données les plus précieuses, choisissent le moment d'encryptage optimal (3h du matin, semaine de paie) et génèrent automatiquement des notes de rançon calibrées en fonction de la taille financière de la victime en utilisant des données publiques récupérées.