Votre MRH classique couvre rarement les dommages purement numériques (piratage, ransomware, vol d'identité). Une garantie cyber-assistance dédiée prend en charge l'intervention experts, la restauration des appareils, l'indemnisation des achats frauduleux et la défense juridique numérique. Plafonds : 3 000 à 50 000 € selon contrat. Coût : 30 à 120 €/an en option à votre MRH. Prévention indispensable : MFA, mises à jour, segmentation Wi-Fi.
Smart home : 60 % des foyers français équipés en 2026
La maison connectée n'est plus un marché de niche. Selon les baromètres successifs publiés par l'ARCEP et l'INSEE, près de 60 % des foyers français disposent en 2026 d'au moins trois objets connectés au-delà du smartphone et de l'ordinateur. Les box internet récentes intègrent en standard la domotique, et les assistants vocaux (Alexa, Google Home, HomePod) sont devenus aussi courants que la cafetière.
L'inventaire typique d'un foyer urbain connecté comprend : une box internet, un assistant vocal, un ou plusieurs hauts-parleurs connectés, deux à quatre caméras de surveillance (intérieur/extérieur), une serrure connectée, un thermostat intelligent, des ampoules connectées, une alarme à transmission IP, parfois un robot aspirateur, un sex toy ou un jouet connecté pour enfants, des équipements de fitness (montre, balance, vélo). La surface d'attaque numérique d'un domicile moderne est désormais plus large que celle d'une PME il y a dix ans.
Cette densité technologique fait du logement une cible mécaniquement plus exposée. Les rapports de l'ANSSI et de Cybermalveillance.gouv.fr documentent une hausse continue des attaques visant les particuliers : phishing bancaire, ransomware sur NAS familial, prise de contrôle de caméras, usurpation d'identité pour ouvrir des crédits, piratage de comptes Amazon ou Cdiscount pour des achats frauduleux. Le préjudice annuel moyen reporté par les victimes oscille entre 800 € et 4 500 €.
Risques cyber spécifiques au domicile
Les risques cyber visant un particulier se distinguent fondamentalement de ceux qui visent une entreprise. La logique d'attaque, les motivations et la chaîne de préjudice sont distinctes. Quatre familles dominent.
Caméras et vie privée
Les caméras IP grand public, particulièrement les modèles d'entrée de gamme à mot de passe par défaut, sont massivement scannées par des outils comme Shodan. Une caméra dont l'identifiant reste "admin/admin" peut être consultée à distance par n'importe quel internaute. Au-delà de l'atteinte à la vie privée (article 9 du Code civil, article 226-1 du Code pénal), un attaquant peut surveiller les habitudes du foyer pour préparer un cambriolage.
Serrures et alarmes connectées
Une serrure connectée piratée donne un accès physique au domicile sans effraction visible. Le cambriolage par voie numérique ne laisse aucune trace d'effraction, ce qui complique l'indemnisation par la MRH : la garantie vol classique exige la preuve d'effraction sauf clauses étendues. Un cambriolage par serrure piratée peut donc être refusé d'indemnisation à défaut de garantie spécifique.
Ransomware domestique
Le ransomware (rançongiciel) chiffrant les photos familiales, les documents administratifs et les sauvegardes locales est devenu un risque concret. La rançon demandée (300 à 1 500 € en moyenne) est largement inférieure à ce qu'un particulier accepterait de payer pour récupérer ses souvenirs. L'article 312-1 du Code pénal qualifie l'extorsion ; la loi française interdit en pratique le paiement direct par l'assureur (qui peut indemniser les coûts de remédiation et restauration).
Usurpation d'identité et fraude bancaire
Phase la plus rentable pour les attaquants : récupérer assez de données personnelles (date de naissance, n° de sécu, RIB, identifiants impôts) pour souscrire des crédits à la consommation au nom de la victime. L'article 226-4-1 du Code pénal qualifie l'usurpation d'identité (1 an d'emprisonnement et 15 000 € d'amende). Les procédures de désinscription des fichiers bancaires (FICP, FCC) peuvent prendre de longs mois.
MRH classique : exclusion généralisée des dommages numériques
La doctrine assurantielle française a longtemps considéré les dommages numériques comme des dommages immatériels non consécutifs, traditionnellement exclus des contrats MRH grand public. Les conditions générales contiennent quasi-systématiquement une formulation du type :
« Sont exclus les dommages immatériels non consécutifs à un dommage matériel garanti, notamment les pertes de données, l'altération de fichiers numériques, les dommages résultant d'une intrusion informatique, d'un virus, d'un déni de service, d'une attaque cyber. »
Cette exclusion n'est pas illégale : l'article L. 113-1 du Code des assurances autorise les exclusions claires, précises et limitées (Cour de cassation, 2e chambre civile, 26 novembre 2020, n° 19-16.435). Elle prive néanmoins la quasi-totalité des MRH standard de toute prise en charge cyber.
Trois nuances permettent toutefois de récupérer une couverture partielle.
- Dommage matériel consécutif. Si l'intrusion informatique provoque un dommage matériel (par exemple, surchauffe d'un disque dur ayant détruit un PC), la garantie dommages électriques peut intervenir pour la partie matérielle.
- RC vie privée. Si vos objets connectés piratés servent à causer un préjudice à un tiers (DDoS, harcèlement), votre RC vie privée incluse dans la MRH peut prendre en charge la défense.
- Avenant cyber. Depuis 2020, la majorité des grands assureurs (Maaf, Macif, Crédit Agricole, Generali, AXA, Matmut, Aviva) proposent un avenant cyber-assistance habitation. Coût indicatif : 30 à 120 €/an.
Garantie cyber-assistance : qu'est-ce qui est couvert ?
La garantie cyber-assistance habitation se décline sur deux niveaux : l'assistance (intervention, support) et l'indemnisation (préjudice financier). Voici le tableau type des prestations offertes par les contrats du marché français début 2026.
| Garantie | Couverture type | Plafond moyen |
|---|---|---|
| Hotline 24/7 | Diagnostic et accompagnement post-incident | Illimitée |
| Intervention à distance | Désinfection PC, smartphone, NAS | 3-5 interventions/an |
| Restauration de données | Récupération fichiers, photos | 500-3 000 € |
| Achats frauduleux en ligne | Remboursement transactions non autorisées | 2 000-15 000 € |
| Vol d'identité | Frais de restauration, justificatifs, courriers | 5 000-20 000 € |
| Cyber-harcèlement | Défense juridique, frais d'avocat | 10 000-30 000 € |
| E-réputation | Suppression de contenus diffamatoires, droit à l'oubli | 3 000-10 000 € |
| Rançongiciel | Frais de remédiation, restauration sauvegarde | 3 000-15 000 € |
| RC cyber numérique | Responsabilité tiers liée à un compromis Wi-Fi | 100 000-500 000 € |
Vol d'identité et indemnisation (CB, comptes en ligne)
Le vol d'identité est probablement le risque cyber le plus dommageable pour un particulier, et le plus mal couvert par les MRH classiques. Voici comment la chaîne d'indemnisation se construit aujourd'hui.
Remboursement bancaire
L'article L. 133-18 du Code monétaire et financier impose à la banque de rembourser toute opération non autorisée par le titulaire de la CB, sauf négligence grave de ce dernier. Le délai de contestation est de 13 mois pour une opération SEPA et de 70 jours pour une opération hors UE. Cette obligation est d'ordre public et la banque ne peut s'y soustraire par clause contractuelle.
Frais annexes
La garantie cyber assume ce que la banque ne rembourse pas : frais de notaire pour récupérer des documents officiels, frais d'avocat pour faire annuler un crédit souscrit frauduleusement, frais administratifs (timbres fiscaux, copies certifiées), perte de revenus en cas de procédure prolongée.
Préjudice moral
Devant le tribunal civil, la victime d'usurpation peut réclamer une réparation morale fondée sur l'article 1240 du Code civil. Les sommes accordées varient de 500 € à 5 000 € selon la durée et l'intensité du préjudice. La garantie cyber prend en charge les frais de procédure (loi Macron du 6 août 2015 sur les actions de groupe).
Action CNIL et RGPD
Lorsque le vol d'identité résulte d'une fuite de données chez un tiers (commerçant en ligne, application piratée), la victime peut saisir la CNIL gratuitement et demander à l'entreprise négligente une réparation civile sur le fondement de l'article 82 du RGPD (règlement UE 2016/679). La directive NIS2 de 2022 renforce ces obligations pour les opérateurs essentiels et importants.
Cas pratique : piratage Alexa + cambriolage déclenché
Septembre 2025, pavillon de banlieue parisienne, foyer équipé d'une smart home complète (Alexa, 4 caméras Ring, serrure connectée Yale, alarme Verisure). Le propriétaire utilise le même mot de passe sur son compte Amazon, son compte Ring et sa boîte mail principale. Une fuite de données sur un site marchand tiers révèle ce mot de passe en clair.
L'attaquant procède en trois étapes coordonnées :
- Phase reconnaissance. Connexion au compte Alexa pour cartographier les pièces et les habitudes (commandes vocales horodatées indiquant les présences).
- Phase observation. Connexion aux caméras Ring pour vérifier que le foyer est absent (vacances scolaires).
- Phase action. Désactivation à distance de l'alarme via le compte Verisure compromise par le même mot de passe ; cambriolage par voie d'entrée principale en utilisant la serrure connectée Yale ; effacement des images Ring après cambriolage.
Bilan : 38 000 € de biens dérobés (montres, bijoux, cash, ordinateurs), aucune trace d'effraction physique, mots de passe modifiés sur les comptes du propriétaire.
Le traitement assurantiel s'est déroulé comme suit :
- Refus initial MRH. L'assureur invoque l'absence de traces d'effraction pour refuser la garantie vol classique.
- Recours grâce à la garantie cyber. Le propriétaire avait souscrit en 2024 un avenant cyber 79 €/an plafonné 25 000 €. Cet avenant inclut explicitement « cambriolage par compromission d'objet connecté ».
- Indemnisation. 25 000 € versés en garantie cyber, complétés par 8 000 € sur la garantie vol étendue (option de l'avenant cyber).
- Refonte du système. L'avenant inclut une intervention d'expert cybersécurité financée à 100 % : audit du réseau, refonte des mots de passe avec gestionnaire, séparation Wi-Fi invité / IoT / personnel, mise à jour des firmwares.
Total indemnisé : 33 000 € sur 38 000 € de préjudice. Sans l'avenant cyber, le propriétaire aurait perdu l'intégralité du sinistre. La leçon majeure : l'usage du même mot de passe partout est l'erreur centrale qui a tout permis.
Prévention : VPN, MFA, mises à jour, segmentation Wi-Fi
L'assurance ne dispense jamais de la prévention. Voici les bonnes pratiques recommandées par l'ANSSI et Cybermalveillance.gouv.fr, à adopter dans tout foyer connecté.
Mots de passe et authentification
- Un mot de passe unique par compte, généré par un gestionnaire (Bitwarden, 1Password, KeePass).
- Authentification multifacteur (MFA ou 2FA) activée partout où c'est possible, prioritairement par application (Authenticator, Aegis) plutôt que par SMS.
- Modification immédiate de tous les mots de passe par défaut sur les objets connectés à l'installation.
Réseau Wi-Fi
- Segmentation Wi-Fi : un réseau distinct pour les invités, un autre pour les objets connectés (IoT), un autre pour les appareils sensibles (PC, téléphones). La plupart des box récentes (Freebox Pop, Livebox 7) permettent cette segmentation.
- Chiffrement WPA3 activé ; à défaut WPA2-AES (jamais WEP ni WPA).
- Désactivation du WPS, fonctionnalité historique présentant des vulnérabilités structurelles.
Mises à jour
- Activer les mises à jour automatiques sur tous les appareils : box, routeurs, caméras, serrures, smartphones, ordinateurs.
- Vérifier mensuellement la disponibilité de firmware pour les objets sans mise à jour OTA.
- Remplacer tout objet connecté qui n'est plus supporté par son fabricant (fin de support = vulnérabilités permanentes).
VPN et navigation
- Utiliser un VPN de confiance (NordVPN, ProtonVPN, Mullvad) sur Wi-Fi public ou pour traverser des juridictions à risque.
- Privilégier les navigateurs avec protection contre le pistage (Firefox, Brave) et bloqueur de scripts (uBlock Origin).
- Désactiver le micro et la caméra des assistants vocaux quand ils ne sont pas utilisés.
Sauvegardes
- Règle du 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site.
- Sauvegarde mensuelle sur un disque externe déconnecté (immunisé contre les ransomwares).
- Sauvegarde chiffrée en cloud (Proton Drive, iCloud avec protection avancée, BackBlaze).
Foire aux questions
Ma MRH classique couvre-t-elle un piratage de mes objets connectés ?
Non, la grande majorité des contrats MRH standard excluent les dommages purement numériques (vol de données, ransomware, usurpation d'identité). Les conditions générales mentionnent souvent une exclusion « risques cyber » ou « dommages immatériels non consécutifs ». Seule une option ou un avenant cyber-assistance étend la garantie aux conséquences d'un piratage domestique.
Que couvre une garantie cyber-assistance habitation ?
Une garantie cyber-assistance typique couvre l'assistance technique en cas d'intrusion (intervention experts), la restauration des données et appareils, le blocage des comptes bancaires piratés, le rachat de domaine usurpé, les frais de défense en cas de cyber-harcèlement, et l'indemnisation des achats frauduleux (sous plafond, souvent 5 000 à 15 000 €). Le périmètre exact varie fortement entre assureurs.
En cas de vol d'identité, comment être indemnisé ?
Le vol d'identité (article 226-4-1 du Code pénal, peine jusqu'à 1 an et 15 000 € d'amende) ouvre droit à plusieurs niveaux d'indemnisation. La banque rembourse les opérations frauduleuses non autorisées (articles L. 133-18 et suivants du Code monétaire et financier). La garantie cyber prend en charge les frais de restauration de l'identité (justificatifs, courriers, démarches administratives). Le préjudice moral peut être réclamé devant le tribunal civil. Voir notre analyse de Sami Hami.
Une caméra Wi-Fi piratée engage-t-elle ma responsabilité ?
Oui potentiellement, sur le double plan du RGPD (UE 2016/679) si la caméra filme des tiers, et de la responsabilité civile si l'intrusion sert à un cambriolage ou à du chantage. La CNIL peut prononcer des sanctions, et la responsabilité civile du propriétaire peut être engagée pour faute de sécurisation (article 1240 du Code civil). Une garantie cyber-RC numérique couvre ces frais de défense et indemnités.
Quelle différence entre cyber-assistance et cyber-assurance ?
La cyber-assistance est un service d'aide (hotline, intervention à distance, support technique) sans indemnisation monétaire significative. La cyber-assurance ajoute une indemnisation financière des préjudices (frais de défense, sommes extorquées, perte d'usage, restauration de données). Les contrats premium combinent les deux. Vérifier les plafonds : 3 000 € en entrée de gamme, 50 000 € en haut de gamme.
Le RGPD protège-t-il les particuliers victimes de piratage ?
Le RGPD (règlement UE 2016/679) impose aux responsables de traitement de notifier toute violation de données à la CNIL sous 72h (article 33) et aux personnes concernées si le risque est élevé (article 34). Un particulier victime d'une fuite de données peut saisir la CNIL (gratuit) et demander réparation civile à l'entreprise négligente (article 82 RGPD). La directive NIS2 de 2022 renforce les obligations des opérateurs essentiels et importants. Voir notre guide qu'est-ce que l'assurance habitation.
Faut-il déclarer ses objets connectés à son assureur ?
Pas par leur nature numérique, mais leur valeur entre dans le capital mobilier déclaré. Un foyer avec smart home complète (caméras, serrures connectées, hub, écrans, alarme) peut atteindre 5 000 à 15 000 € de valeur. Au-delà du plafond mobilier de la MRH, une déclaration spécifique et une garantie objet de valeur s'imposent. Voir aussi notre FAQ 120 questions et notre guide prix de l'assurance habitation.