/
/
Protégez votre activité freelance contre les cyberattaques. Menaces, assurance cyber, tarifs, bonnes pratiques et procédure d'urgence. Guide expert.
Les freelances digitaux concentrent trois vulnérabilités majeures : accès à des données clients sensibles, budget sécurité limité et expertise cybersécurité insuffisante. Selon le baromètre Cybermalveillance.gouv.fr publié en octobre 2025, 43 % des TPE et indépendants ont subi une tentative de phishing, contre 24 % l'année précédente. Le coût moyen d'une cyberattaque pour une petite structure atteint 14 720 euros (source : CESIN 2025), et 60 % des entreprises victimes cessent leur activité dans les 18 mois suivant l'incident. Ce guide détaille les menaces réelles, la différence entre RC Pro et assurance cyber, les tarifs constatés, les bonnes pratiques de prévention et la procédure d'urgence en cas d'attaque.
À retenir :
- 43 % des TPE et freelances ont été ciblés par du phishing en 2025 (Cybermalveillance.gouv.fr)
- Le coût moyen d'un incident cyber pour un indépendant se situe entre 5 000 et 25 000 euros selon la gravité
- La RC Pro classique ne couvre pas vos propres pertes : seule une assurance cyber dédiée protège vos données, votre chiffre d'affaires et vos obligations RGPD
- Le coût réel net d'une assurance cyber freelance démarre à 95 euros par an après déduction fiscale
- 8 entreprises sur 10 ne se sentent pas préparées face à une cyberattaque (Cybermalveillance.gouv.fr, 2025)
Les freelances constituent des cibles privilégiées pour les cybercriminels. L'ANSSI a traité 1 366 incidents en 2025, un chiffre en hausse constante depuis 2022 où 831 incidents avaient été recensés (source : Panorama de la cybermenace ANSSI, mars 2026). Les TPE et PME représentent 77 % des cyberattaques et 40 % des attaques par rançongiciel traitées par l'agence.
Le phishing reste le vecteur d'attaque dominant : 60 % des cyberattaques recensées en France débutent par une tentative d'hameçonnage (source : ANSSI, Panorama 2025). Pour un freelance, les attaques prennent la forme de faux emails de clients, de notifications GitHub ou GitLab piégées, ou de factures frauduleuses. En 2025, plus de 300 packages malveillants ont été découverts sur GitHub, déguisés en outils légitimes et ciblant spécifiquement les développeurs (source : GitGuardian, State of Secrets Sprawl 2025).
Conséquences concrètes : vol d'identifiants professionnels, accès frauduleux aux comptes clients, compromission de clés API et de tokens d'authentification.
Les rançongiciels chiffrent l'intégralité de vos fichiers et exigent une rançon pour les restituer. En 2025, l'ANSSI a confirmé 128 cas de ransomware, avec les souches Qilin (21 % des cas), Akira (9 %) et LockBit 3.0 (5 %) comme les plus actives. Le coût moyen d'un ransomware pour un indépendant oscille entre 15 000 et 30 000 euros en comptant l'expertise forensique, la reconstruction des données et la perte d'exploitation.
La CNIL a reçu 5 629 notifications de violations de données en 2025, soit une hausse de 20 % par rapport à 2023. Les sanctions financières ont explosé : 486,8 millions d'euros d'amendes prononcées en 2025, contre 55,2 millions en 2024 (source : bilan CNIL 2025). Pour un freelance manipulant des données clients, une violation RGPD entraîne une obligation de notification sous 72 heures et des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
| Niveau de violation | Amende potentielle | Délai de notification CNIL | Notification des personnes |
|---|---|---|---|
| Mineure | Avertissement | 72 heures | Non obligatoire |
| Moyenne | 10 000 à 100 000 euros | 72 heures | Obligatoire si risque pour les droits |
| Grave | Jusqu'à 20 millions d'euros | 72 heures | Immédiate et obligatoire |
Si vous hébergez des services pour vos clients (API, sites web, applications SaaS), une attaque par déni de service distribué peut rendre vos prestations inaccessibles pendant plusieurs heures, voire plusieurs jours. Les conséquences incluent la violation de vos engagements contractuels (SLA), une perte d'exploitation client indemnisable et des coûts de mitigation d'urgence.
Les bibliothèques npm, les plugins WordPress et les API tierces constituent autant de points d'entrée potentiels. Selon GitGuardian, près de 29 millions de secrets (clés API, tokens, mots de passe) ont été détectés sur les dépôts publics GitHub en 2025. Une faille dans une seule dépendance peut compromettre l'ensemble de vos projets clients.
L'installation discrète de logiciels de minage de cryptomonnaie sur vos machines ou serveurs clients consomme des ressources et de l'électricité sans votre consentement. Les conséquences se manifestent par un ralentissement extrême de vos machines, des factures cloud AWS ou Azure qui explosent si vos serveurs clients sont impactés, et des dommages matériels liés à la surchauffe des processeurs.
L'interception des communications entre vous et vos clients (emails, accès FTP/SSH, connexions API) permet de voler des données sensibles. Les vecteurs principaux sont les réseaux WiFi publics non sécurisés (espaces de coworking, cafés, aéroports), les réseaux domestiques compromis et les faux points d'accès WiFi.
Comparez les RC Pro adaptées à votre activité
La confusion entre RC Pro et assurance cyber reste fréquente chez les freelances. Ces deux couvertures répondent à des besoins distincts et complémentaires. Pour approfondir la RC Pro, consultez notre guide complet de la RC Pro pour auto entrepreneurs.
Votre assurance RC Professionnelle couvre les dommages que vous causez à vos clients dans le cadre de votre activité. Pour les cyber risques, la RC Pro prend en charge les dommages causés à un client via votre négligence (virus transmis, accès non autorisé via votre système compromis), la responsabilité civile pour une violation de données client dont vous êtes responsable, et les frais de défense juridique si un client vous poursuit.
Ce que la RC Pro ne couvre pas : vos propres pertes de données, les frais de reconstruction de vos fichiers, votre perte d'exploitation pendant l'arrêt d'activité, la rançon exigée par un ransomware, l'expertise forensique pour identifier la faille, les frais de notification RGPD et les coûts de communication de crise.
L'assurance cyber est une garantie complémentaire qui protège vos propres pertes et frais consécutifs à une attaque informatique.
| Garantie | Périmètre couvert | Plafond typique freelance |
|---|---|---|
| Expertise forensique | Investigation technique pour identifier la cause et l'étendue | 10 000 à 50 000 euros |
| Reconstruction de données | Récupération et restauration des fichiers perdus ou chiffrés | 5 000 à 25 000 euros |
| Perte d'exploitation | Indemnisation du chiffre d'affaires perdu pendant l'arrêt | 50 à 200 euros par jour |
| Notification RGPD | Frais d'avocat, notification CNIL et personnes concernées | 5 000 à 20 000 euros |
| Communication de crise | Gestion de l'atteinte réputationnelle | 5 000 à 15 000 euros |
| Responsabilité civile cyber | Dommages causés aux tiers (complément RC Pro) | 100 000 à 1 million d'euros |
| Frais juridiques | Avocat spécialisé en droit du numérique et RGPD | 10 000 à 30 000 euros |
| Scénario d'incident | RC Pro | Assurance cyber |
|---|---|---|
| Ransomware chiffrant vos données | Non couvert | Couvert (reconstruction + perte d'exploitation) |
| Ordinateur volé avec données clients | Non couvert (vos pertes) | Couvert (notification RGPD + forensique) |
| Virus transmis à un client via votre système | Couvert (dommages au client) | Couvert (complément + vos propres frais) |
| DDoS rendant votre service client indisponible | Couvert (perte du client) | Couvert (vos frais de mitigation) |
| Violation RGPD nécessitant une notification | Non couvert | Couvert (frais de notification complets) |
Synthèse : la RC Pro couvre les dommages chez le client, l'assurance cyber couvre les dommages chez vous ainsi que les obligations réglementaires. Pour une protection complète, les deux sont nécessaires. Découvrez notre guide complet de l'assurance freelance digital pour une vision d'ensemble.
L'assurance cyber pour freelance se souscrit généralement en complément de la RC Pro, avec une surprime de 30 % à 50 % sur la prime de base. Les tarifs varient selon le chiffre d'affaires, le volume de données manipulées et les mesures de sécurité déjà en place.
| RC Pro de base (mensuel) | Supplément cyber | Total mensuel RC Pro + Cyber |
|---|---|---|
| 15 euros | + 7 euros (+ 30 %) | 22 euros (264 euros par an) |
| 21 euros | + 10 euros (+ 48 %) | 31 euros (372 euros par an) |
| 35 euros | + 15 euros (+ 43 %) | 50 euros (600 euros par an) |
| Profil freelance | Chiffre d'affaires annuel | Prime mensuelle | Plafonds principaux |
|---|---|---|---|
| Débutant | Moins de 50 000 euros | 15 à 25 euros | Reconstruction 10 000 euros, exploitation 50 euros/jour |
| Intermédiaire | 50 000 à 150 000 euros | 30 à 50 euros | Reconstruction 25 000 euros, exploitation 150 euros/jour |
| Confirmé | Plus de 150 000 euros | 60 à 100 euros | Reconstruction 50 000 euros, exploitation 300 euros/jour |
Éléments aggravants (+ 20 % à + 100 % sur la prime) : l'accès à des données sensibles clients (données de santé, financières, RGPD critiques), l'hébergement de services clients (serveurs, API, SaaS), l'absence de mesures de sécurité de base (pas de double authentification, pas de VPN, pas de sauvegardes), un historique d'incidents cyber dans les trois dernières années, et l'exercice dans un secteur à risque élevé (fintech, healthtech, data analytics).
Éléments bonifiants (moins 5 % à moins 20 %) : les certifications de sécurité (ISO 27001, formations cybersécurité validées), les mesures robustes documentées (VPN systématique, double authentification partout, sauvegardes 3/2/1), le chiffrement intégral des appareils et une surveillance proactive (antivirus professionnel, monitoring, audits réguliers).
Les primes d'assurance cyber sont 100 % déductibles du résultat imposable en BNC ou BIC. Pour un freelance soumis au régime TNS avec un taux marginal global de 47,2 %, le coût réel se réduit significativement.
| Prime annuelle cyber | Déduction fiscale (47,2 %) | Coût réel net annuel |
|---|---|---|
| 180 euros | 85 euros | 95 euros (7,90 euros par mois) |
| 360 euros | 170 euros | 190 euros (15,80 euros par mois) |
| 600 euros | 283 euros | 317 euros (26,40 euros par mois) |
À retenir : 190 euros par an de coût réel (après déduction) pour vous protéger contre un sinistre moyen de 14 720 euros représente un retour sur investissement considérable dès le premier incident évité.
L'assurance cyber protège votre trésorerie, mais la prévention reste votre première ligne de défense. Le baromètre Cybermalveillance.gouv.fr 2025 révèle que 65 % des TPE et PME n'ont aucune procédure de réponse aux incidents. Chacune des mesures ci dessous réduit concrètement votre exposition et, dans la plupart des cas, allège votre prime d'assurance.
1. Double authentification (2FA) sur tous vos comptes professionnels. GitHub, GitLab, services cloud (AWS, Google Cloud, Azure), messagerie professionnelle, gestionnaire de mots de passe et comptes bancaires. Impact estimé sur votre prime : moins 10 %.
2. Chiffrement intégral de vos appareils. FileVault sur Mac, BitLocker sur Windows, LUKS sur Linux pour les ordinateurs portables. Chiffrement natif activé sur smartphone. VeraCrypt pour les disques externes. Impact estimé : moins 10 %.
3. Sauvegarde selon la règle 3/2/1. Trois copies de vos données, sur deux supports différents (ordinateur + disque externe + cloud), dont une copie hors site (cloud chiffré ou disque physique chez un proche). Automatisation recommandée avec Time Machine, Backblaze ou Duplicati. Impact estimé : moins 15 %.
4. VPN systématique sur les réseaux publics. Café, espace de coworking, aéroport, hôtel : le VPN est obligatoire pour chiffrer vos communications. Impact estimé : moins 5 %.
5. Mises à jour automatiques activées. Système d'exploitation, navigateurs, antivirus en mise à jour automatique. Audit régulier des dépendances projets avec npm audit, composer audit ou pip audit.
6. Antivirus et anti malware professionnels. Les solutions gratuites sont insuffisantes pour un usage professionnel. Investissement annuel de 50 à 100 euros, intégralement déductible fiscalement.
7. Gestionnaire de mots de passe dédié. 1Password, Bitwarden ou Dashlane pour générer et stocker des mots de passe uniques et robustes. La réutilisation de mots de passe reste l'une des failles les plus exploitées. Impact estimé : moins 5 %.
8. Formation continue en cybersécurité. Les MOOC gratuits de l'ANSSI et les formations en ligne permettent de maintenir un niveau de vigilance adapté. Si votre budget le permet, les certifications Security+ ou CEH renforcent votre crédibilité et réduisent votre prime de 5 % à 10 %.
9. Séparation stricte entre environnements professionnel et personnel. Ordinateur professionnel distinct de l'ordinateur personnel, réseau WiFi invités séparé du réseau de travail, machines virtuelles pour tester des logiciels suspects.
10. Clauses cyber dans vos contrats clients. Clause de limitation de responsabilité en cas de cyberattaque subie, clause de partage de responsabilité si l'incident provient de l'infrastructure du client, exigences de sécurité minimales réciproques. Un avocat spécialisé RGPD peut rédiger ces clauses pour 500 à 1 000 euros (déductibles), un investissement ponctuel qui sécurise durablement votre activité.
Responsabilité civile, cyber-risques, protection juridique : comparez les garanties et tarifs des meilleures RC Pro.
Comparer les RC ProLa réactivité dans les premières heures détermine l'ampleur des dégâts. Voici le protocole à suivre si vous êtes victime d'un incident de sécurité. Pour les freelances couverts par une assurance prévoyance TNS, la perte d'exploitation peut également être partiellement compensée par les indemnités journalières.
Déconnectez immédiatement la machine infectée du réseau (WiFi et câble Ethernet). Ne l'éteignez pas : les traces forensiques présentes en mémoire vive sont essentielles pour l'investigation. Photographiez les écrans de rançon ou les messages d'erreur. Listez les systèmes potentiellement compromis (services cloud, serveurs clients, comptes tiers). Contactez votre assurance cyber sans délai : le numéro d'urgence figure sur votre attestation.
Si des données personnelles sont compromises, le RGPD impose une notification à la CNIL dans un délai de 72 heures. Si le risque pour les droits et libertés des personnes est élevé, la notification aux personnes concernées doit intervenir sans délai. Votre assureur cyber prend en charge l'avocat RGPD spécialisé, la rédaction de la notification conforme, la communication avec les personnes concernées et la gestion de la relation avec la CNIL.
| Délai | Action obligatoire | Sanction en cas de manquement |
|---|---|---|
| 72 heures | Notification à la CNIL si risque pour les droits | Amende jusqu'à 10 millions d'euros ou 2 % du CA |
| Sans délai | Notification aux personnes concernées si risque élevé | Amende jusqu'à 20 millions d'euros ou 4 % du CA |
L'assureur mandate un expert forensique pour identifier le point d'entrée et mesurer l'étendue de la compromission, une société de récupération de données, et un testeur d'intrusion pour sécuriser vos systèmes et prévenir toute réinfection. Vous devez coopérer pleinement avec les experts, fournir tous les journaux de connexion et historiques, identifier les données potentiellement exfiltrées et informer vos clients impactés avec l'aide de votre assureur.
Reconstruction des données depuis les sauvegardes, changement de l'ensemble des mots de passe, réinstallation complète du système d'exploitation (formatage des disques), audit de sécurité complet avec correction des failles identifiées, et mise en place de mesures préventives renforcées pour éviter toute récidive.
La directive européenne NIS 2, en cours de transposition en France (loi adoptée au Sénat le 12 mars 2025, examen à l'Assemblée nationale en cours), élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité : de moins de 300 entités régulées sous NIS 1, la France passe à plus de 10 000 à 15 000 entités concernées (source : ANSSI, MonEspaceNIS2).
Impact pour les freelances : si vos clients sont des entités régulées par NIS 2 (secteurs essentiels ou importants), ils exigeront de leurs prestataires, y compris les freelances, des mesures de cybersécurité documentées et une assurance cyber adaptée. Cette évolution réglementaire renforce l'intérêt de souscrire une couverture cyber avant que vos clients ne l'imposent contractuellement.
Nos courtiers spécialisés analysent votre activité et identifient les garanties RC Pro indispensables.
Être rappelé sous 6hNon. La RC Pro couvre uniquement les dommages causés à vos clients via votre négligence. Vos propres pertes (données, chiffre d'affaires, frais de notification RGPD) ne sont pas couvertes. L'assurance cyber dédiée est le complément indispensable pour protéger votre propre activité.
En extension de votre RC Pro, comptez une surprime de 30 % à 50 %, soit 7 à 15 euros par mois supplémentaires. En formule dédiée, les tarifs vont de 15 à 100 euros par mois selon votre profil et votre chiffre d'affaires. Après déduction fiscale (régime TNS), le coût net annuel démarre à 95 euros.
Certaines polices couvrent le paiement de rançon, d'autres l'excluent explicitement. La loi LOPMI (Loi d'Orientation et de Programmation du Ministère de l'Intérieur) adoptée en janvier 2023 conditionne le remboursement de la rançon au dépôt d'une plainte dans les 72 heures suivant le paiement. Cette couverture reste controversée et son inclusion varie selon les contrats.
Vous devez notifier la CNIL dans les 72 heures si la violation présente un risque pour les droits et libertés des personnes concernées. Si le risque est élevé, vous devez également informer directement les personnes affectées, sans délai. Le non respect de ces obligations expose à des amendes pouvant atteindre 20 millions d'euros (source : CNIL, bilan 2025).
Oui. Les primes d'assurance cyber sont intégralement déductibles de votre résultat imposable, que vous soyez en BNC (bénéfices non commerciaux) ou en BIC (bénéfices industriels et commerciaux). Pour un freelance au régime réel, la déduction réduit le coût effectif de près de moitié.
L'extension cyber convient aux freelances débutants avec un chiffre d'affaires inférieur à 50 000 euros et une exposition limitée aux données sensibles. L'assurance cyber dédiée est recommandée pour les profils intermédiaires et confirmés qui manipulent des données clients sensibles, hébergent des services ou ont un chiffre d'affaires supérieur à 100 000 euros.
France Épargne intègre la protection cyber dans votre stratégie globale de sécurisation professionnelle et patrimoniale. Nos experts analysent votre activité freelance, identifient vos risques cyber spécifiques et vous orientent vers la couverture la mieux adaptée parmi les contrats de nos assureurs partenaires.
Notre accompagnement couvre l'évaluation de vos risques cyber selon votre métier (développement, design, data, marketing digital), la comparaison des offres d'assurance cyber et RC Pro de nos partenaires, l'optimisation du coût global de votre protection professionnelle, l'intégration de la couverture cyber dans votre stratégie patrimoniale, et l'assistance en cas de sinistre cyber (procédures, relation assureur, notification CNIL).
Utilisez nos simulateurs en ligne pour estimer le coût de votre protection complète en quelques minutes.
La cybersécurité constitue le risque professionnel majeur des freelances digitaux. Avec 43 % des indépendants visés par du phishing en 2025, un coût moyen d'incident de 14 720 euros et des obligations RGPD de plus en plus strictes (486,8 millions d'euros de sanctions CNIL en 2025), la question n'est plus de savoir si vous serez ciblé, mais quand. La combinaison RC Pro et assurance cyber, associée aux dix bonnes pratiques de prévention, offre une protection complète pour un coût net inférieur à 200 euros par an. La directive NIS 2, en cours de transposition, va renforcer les exigences de cybersécurité imposées aux prestataires informatiques : anticiper cette obligation constitue un avantage concurrentiel pour votre activité freelance.
À lire également :
Sources :
Responsabilité civile, cyber-risques, protection juridique : comparez les garanties et tarifs des meilleures RC Pro du marché.