Ransomware chez un hébergeur mutualisé : anatomie d'une crise à 380 000 €
À 3 h 17 du matin, le superviseur du NOC reçoit la première alerte. Quatorze jours plus tard, la facture totale dépasse l'EBITDA annuel. Reconstitution d'un sinistre type et de sa prise en charge assurance.
- Un ransomware ciblant un hébergeur mutualisé de taille moyenne (240 clients PME) génère en moyenne entre 300 000 et 600 000 € de coût total, dont 60 % en pertes indirectes (pénalités SLA, churn, défense).
- Les premières 72 heures concentrent les décisions critiques : confinement, notification CNIL article 33 RGPD, communication clients, choix paiement de rançon (déconseillé, parfois illégal).
- La garantie Cyber couvre les frais de réponse (forensic, restauration, juridique), la perte d'exploitation, la défense RGPD et les réclamations clients en cascade ; elle ne couvre généralement pas la rançon elle-même en France.
- Sans Cyber dédiée, l'hébergeur supporte seul l'intégralité du coût indirect — ce qui se solde dans 40 % des cas par une cessation d'activité dans les 18 mois.
Le sinistre type : portrait d'un hébergeur français de taille moyenne
Pour rendre les chiffres tangibles, partons d'un cas reconstitué à partir des sinistres documentés par l'ANSSI et le rapport annuel cybermalveillance.gouv.fr. L'hébergeur fictif que nous suivrons :
- Effectif : 8 personnes (3 ops, 2 support, 2 dev, 1 dirigeant) ;
- Chiffre d'affaires annuel : 1,4 M€ ;
- EBITDA : 240 000 € ;
- Parc : 14 hyperviseurs, 380 VPS, 240 clients PME en mutualisé et VPS ;
- SLA contractuel : 99,9 % de disponibilité mensuelle, pénalités de 10 % du forfait par tranche de 30 minutes d'indisponibilité au-delà du seuil.
Le scénario qui suit est une compilation d'incidents réels observés en France entre 2022 et 2025. Les montants sont des ordres de grandeur réalistes, validés par les retours d'expérience des prestataires de réponse à incident (PRIS) référencés ANSSI.
J0 — 3 h 17 : la première alerte
L'astreinte est réveillée par un déclenchement Prometheus : le taux d'I/O disque s'effondre sur trois nœuds NFS simultanément. À 3 h 24, deux clients ouvrent un ticket pour signaler un site qui retourne une note README_DECRYPT.txt. À 3 h 31, le dirigeant est appelé. À 3 h 42, l'équipe coupe l'accès Internet du pool concerné — décision qui sera saluée par les forensics : sans confinement immédiat, le ransomware aurait probablement atteint les sauvegardes en ligne.
Premier réflexe à intégrer dans tout plan de réponse :
- Confinement — isoler le réseau touché, couper les VPN admin, suspendre les sauvegardes pour éviter l'écrasement de versions saines ;
- Photographie — snapshot des disques affectés pour conserver les preuves (le ransomware sera analysé par un PRIS) ;
- Activation de la cellule de crise — dirigeant, RSSI/responsable technique, juridique, communication, assureur Cyber.
À 4 h 10, l'hébergeur appelle le numéro 24/7 de son assureur Cyber. C'est la décision la plus rentable de la nuit : le déclenchement immédiat de la cellule fournie par l'assureur évite les erreurs des premières heures (paiement de rançon précipité, communication maladroite, oubli de notification réglementaire).
J0 à J3 — La spirale des décisions critiques
Les 72 premières heures concentrent six décisions à fort enjeu :
1. Faut-il payer la rançon ?
En l'espèce, 14 BTC sont demandés (environ 850 000 € au cours du jour). La réponse est non, pour trois raisons :
- la loi française via l'article 113-2 du Code des assurances depuis le 24 janvier 2023 (loi LOPMI) interdit le remboursement d'une rançon par l'assureur en l'absence de dépôt de plainte préalable sous 72 heures ;
- l'OFAC américain peut considérer le paiement à certains groupes (Conti, LockBit après sanctions) comme un financement du terrorisme, exposant à des sanctions secondaires ;
- moins de 60 % des entreprises ayant payé récupèrent l'ensemble de leurs données (chiffres Sophos State of Ransomware 2024).
2. Notification CNIL : 72 heures, pas une de plus
L'article 33 du RGPD impose à tout responsable de traitement (et au sous-traitant qu'est l'hébergeur, vis-à-vis de ses clients responsables) de notifier la CNIL dans les 72 heures après en avoir pris connaissance. La notification doit décrire :
- la nature de la violation et les catégories de données concernées ;
- les conséquences probables ;
- les mesures prises ou envisagées.
3. Communication clients
L'hébergeur doit informer ses 240 clients sans délai au titre de l'article 28-3-f du RGPD. La cellule de crise rédige un communiqué technique factuel, sans minimiser : un mensonge initial coûte plus cher qu'une faille assumée.
J3 à J14 — La restauration et la cascade des réclamations
Le forensic identifie le vecteur d'entrée : un compte d'administration WHMCS dont le mot de passe avait fuité dans la brèche d'un fournisseur tiers en 2023. Le rebond a permis l'accès à un serveur de sauvegarde NFS et le déploiement de LockBit 3.0 via PsExec.
Phase de restauration :
- 240 clients à restaurer depuis des sauvegardes off-site (Wasabi + bande LTO) ;
- 72 clients ont perdu entre 6 et 18 heures de données (sauvegardes incrémentales toutes les 6 heures, dernière saine antérieure à l'infection) ;
- 4 clients exigent une expertise judiciaire indépendante avant de reprendre l'activité ;
- 11 clients résilient immédiatement leur contrat pour migrer chez la concurrence.
À J+14, l'hébergeur a annoncé un retour à la normale. La facture, elle, court encore.
La facture détaillée : 380 000 € en 14 mois
| Poste | Coût | Pris en charge Cyber |
|---|---|---|
| Réponse à incident (PRIS, forensic, 14 jours) | 78 000 € | Oui (100 %) |
| Restauration et reconstruction d'infrastructure | 42 000 € | Oui (100 %) |
| Frais juridiques (avocats RGPD + droit pénal) | 34 000 € | Oui (100 %) |
| Notification CNIL + 240 notifications individuelles aux clients | 18 000 € | Oui (100 %) |
| Cellule de communication de crise (agence externe) | 22 000 € | Oui (sublimite 30 000 €) |
| Pénalités SLA versées aux clients (14 jours dégradés) | 62 000 € | Oui — dommages immatériels RC Pro / Cyber |
| Réclamations clients (perte d'exploitation indirecte) | 74 000 € | Oui (sublimite 150 000 €) |
| Perte d'exploitation propre (CA en moins, churn) | 38 000 € | Oui (sublimite 60 000 €) |
| Sanction CNIL (procédure simplifiée, manquement Article 32) | 12 000 € | Non (sanction administrative) |
| Total | 380 000 € | ≈ 360 000 € indemnisés |
Sans garantie Cyber dédiée, l'hébergeur aurait absorbé 380 000 € sur un EBITDA annuel de 240 000 €. Mathématiquement : une année et demie de résultat brut effacée, une situation financière proche de la cessation de paiement.
Les exclusions qui font mal — et comment les anticiper
Une police Cyber n'est pas un parapluie magique. Les exclusions classiques chez les assureurs français en 2026 :
- la rançon elle-même n'est en pratique jamais remboursée sans dépôt de plainte préalable (article L. 12-10-1 Code des assurances, loi LOPMI) ;
- les sanctions administratives (CNIL, DSA) sont exclues par nature — l'assureur ne peut indemniser une sanction punitive ;
- les actes de guerre cyber (cyberwar exclusion) sont une zone grise : depuis l'incident NotPetya, les assureurs invoquent parfois cette exclusion ;
- les vulnérabilités connues non patchées au-delà d'un délai contractuel (souvent 30 jours après CVE critique) peuvent réduire l'indemnité.
Insurio négocie ces clauses point par point selon votre stack technique : un hébergeur cPanel à jour n'a pas le même profil de risque qu'un hébergeur custom multi-tenants ; les exclusions doivent refléter cette réalité, pas un template générique.
Questions fréquentes
Vous le pouvez, sous conditions strictes. Depuis la loi LOPMI du 24 janvier 2023, l'article L. 12-10-1 du Code des assurances exige un dépôt de plainte préalable dans les 72 heures suivant la connaissance de l'infraction pour que l'assureur puisse rembourser le versement. Sans plainte, pas de remboursement. Et même avec plainte, l'OFAC peut sanctionner le paiement à certains groupes listés.
L'article 33 RGPD prévoit une sanction de 10 millions d'euros ou 2 % du chiffre d'affaires mondial (le plus élevé) pour le manquement à l'obligation de notification. En pratique, pour un hébergeur français de taille moyenne, la CNIL prononce des amendes entre 5 000 et 50 000 € en procédure simplifiée. Surtout, l'oubli fragilise votre défense face aux réclamations clients.
Oui, lorsqu'elles découlent d'un événement Cyber couvert. Les pénalités SLA sont des dommages immatériels contractuels, couverts soit au titre de la RC Pro, soit au titre de la garantie Cyber selon la rédaction. Vérifiez la clause « pénalités contractuelles » dans votre contrat : certaines polices les sous-limitent à 50 000 € ou les excluent par défaut.
Oui, pleinement. Vous restez le responsable contractuel vis-à-vis de vos clients, même si l'infrastructure sous-jacente appartient à un tiers. Un sinistre sur l'infrastructure tierce vous expose à des pénalités SLA et à des actions clients, et vous devrez engager votre propre cellule de crise. L'assureur de l'infrastructure tierce n'indemnise pas vos clients : c'est votre Cyber qui le fait.
L'activation se fait par appel au numéro d'urgence 24/7 de l'assureur, généralement intégré au contrat dès la souscription. La cellule de crise est mobilisable en moins de 2 heures pour un sinistre majeur. Insurio fournit ce numéro à la signature et organise un test à blanc dans les 60 jours pour valider votre processus d'alerte interne.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de Hébergeur de sites web — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Hébergeur de sites web →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.