On-call Crisis
At your service 24/7
dga
On-call Crisis
At your service 24/7

Cyberattaque : quand le courtier en assurance devient partenaire de crise, le regard de Gaëlle Baldet Ladan

Date 13 May 2026
Type Articles

Chaque mois, nous partons à la rencontre de professionnels dont le parcours et l’expertise permettent d’éclairer la crise sous un angle singulier. Avec Gaëlle Baldet Ladan, dirigeante de Geodesk, cabinet de courtage spécialisé. Depuis une position unique, à la jonction entre la prévention, la gestion de crise et l’indemnisation, elle dresse un constat lucide, parfois surprenant, sur la façon dont les organisations font face, ou ne font pas face, à la menace informatique.

Un samedi après-midi, une organisation est frappée par une cyberattaque. Les systèmes se bloquent et les données deviennent inaccessibles. Le bon réflexe serait d’appeler immédiatement le numéro d’urgence prévu dans son assurance : celui qui donne accès, à toute heure, aux experts capables de limiter les dégâts dès les premières minutes. Sauf que ce numéro, le responsable ne l’a pas sous la main. Il est en week-end et le document est resté au bureau. Il appelle alors Gaëlle Baldet Ladan qui le retrouve et lui transmet. Deux, peut-être trois heures se sont écoulées.

Cette scène, banale en apparence, dit l’essentiel. L’organisation n’était pas mal protégée sur le papier : l’assurance était en place, une équipe de crise avait été désignée, des procédures avaient été rédigées. Pourtant, un simple détail négligé a suffi à fragiliser l’ensemble du dispositif. C’est souvent ainsi que les crises révèlent leurs failles : non pas dans les grandes lacunes, mais dans les détails qu’on croyait accessoires. Et c’est précisément dans ces instants-là qu’avoir à ses côtés un interlocuteur qui connaît le dossier, et qui décroche le téléphone un samedi après-midi, change véritablement la donne.

Une spécialiste des risques que personne ne veut voir arriver

Docteure en droit international, Gaëlle Baldet Ladan a racheté Geodesk il y a une dizaine d’années pour une raison simple : « Ce qui m’intéressait, c’était d’aller dans un secteur où il n’y avait pas beaucoup d’acteurs, pour proposer des services qu’on n’a pas souvent sur le marché. » Geodesk travaille à l’international, auprès d’ONG, de fondations et d’entreprises opérant dans des zones de crise ou de conflit. En développant en parallèle une expertise sur les enlèvements et sur les cyberattaques, Gaëlle Baldet Ladan a compris que ces deux types de crise obéissent à la même logique : même urgence, même chaîne de décision, même nécessité d’avoir tout préparé avant que rien ne se passe. Anticiper, accompagner, indemniser : trois piliers valables quel que soit le risque couvert.

L’illusion d’être protégé

Sur le terrain de la cybermenace, Gaëlle Baldet Ladan fait le même constat depuis des années : beaucoup d’organisations savent qu’elles sont exposées, mais trop peu agissent en conséquence. Le raisonnement qu’elle entend le plus souvent ressemble à ceci : « Je suis trop petit pour intéresser les hackers. Mon secteur d’activité n’est pas une cible. J’ai un responsable informatique, j’ai un antivirus, je suis couvert. » Ce sentiment de protection, elle le décrit sans détour comme la première et la plus grande des vulnérabilités : non pas parce qu’il est absurde, il a une certaine logique apparente, mais parce qu’il empêche de passer de la prise de conscience à l’action concrète.

Or la réalité est sans nuance : « La question, ce n’est pas “est-ce que je vais être attaquée”. C’est “quand”. » Les exemples ne manquent pas. Des hôpitaux paralysés pendant des semaines. Des communes dont les services sont bloqués. Des sites de vente en ligne frappés en pleine période de soldes. Des cabinets, des agences, des associations de taille modeste, dont les données ont été volées sans que personne ne s’y soit attendu. Personne n’est hors de portée.

Ce décalage est particulièrement marqué dans deux types de structures. Les petites et moyennes entreprises, d’abord, qui restent souvent démunies face à ce type de crise. Les ONG et fondations, ensuite. Une organisation humanitaire qui collecte des dons en ligne détient des informations personnelles sur ses donateurs, parfois liées à des causes sensibles ou à des zones géographiques à risque. Pour certains acteurs malveillants, ces données ont une valeur réelle. Beaucoup d’ONG n’ont pas encore pleinement intégré cette réalité.

Prévenir, gérer, indemniser : la nouvelle promesse de l’assurance

Il y a encore une quinzaine d’années, le risque cyber n’était qu’une ligne accessoire dans les contrats d’assurance classiques. Progressivement exclu de ceux-ci, il fait aujourd’hui l’objet de contrats entièrement dédiés, signe d’un changement plus profond : ce qu’on attend d’une assurance n’est plus simplement d’être remboursé après un sinistre. Les contrats que Gaëlle Baldet Ladan négocie pour ses clients, qu’il s’agisse de couvrir une cyberattaque ou un enlèvement, reposent tous sur la même architecture en trois temps.

D’abord, la prévention. Avant même qu’une crise survienne, il s’agit d’aider l’organisation à mieux se préparer. Pour le risque cyber, cela passe par la sensibilisation des équipes, la formation aux bons réflexes face aux tentatives de piratage, parfois via des outils de formation en ligne intégrés directement aux contrats. Pour les risques liés aux déplacements en zones sensibles, cela passe par des formations aux comportements à adopter dans des environnements hostiles.

Ensuite, l’accompagnement au moment de la crise. Dès qu’un incident survient, l’organisation dispose d’un numéro d’urgence joignable vingt-quatre heures sur vingt-quatre, sept jours sur sept. Ce sont des experts dont c’est le métier qui répondent : spécialistes techniques en cas d’attaque informatique, gestionnaires de crise spécialisés en cas d’enlèvement. Leur rôle est de guider l’organisation dans les premières décisions : celles qui conditionnent la suite, et qui doivent être prises vite.

Enfin, la prise en charge des coûts. Une crise génère des frais que beaucoup sous-estiment : intervention des experts, honoraires d’avocats, frais de communication, notamment pour informer les clients dont les données ont été exposées, et parfois le montant d’une rançon, que ce soit pour récupérer des données chiffrées ou pour libérer un collaborateur retenu en otage. Ces frais peuvent être couverts par le contrat, dans les limites définies.

Ce que cette approche révèle, c’est une vision de l’assurance comme partenaire de bout en bout, et non plus comme simple filet financier qu’on active après la catastrophe.

Ce qui se joue dans les premières heures

Au-delà du numéro introuvable évoqué en ouverture, ce que Gaëlle Baldet Ladan pointe, c’est une question plus large : qui, dans l’organisation, sait quoi faire, et avec qui ? En théorie, la chaîne est claire. L’organisation appelle le numéro d’urgence, les experts prennent la main, l’assureur et le courtier sont informés en parallèle. En pratique, cette chaîne ne fonctionne que si elle a été préparée, répétée, et si les personnes impliquées se connaissent avant que la crise n’éclate. « L’idée, c’est de pouvoir en amont organiser des échanges entre l’assureur, le gestionnaire de crise et le client, avant même qu’il y ait la crise, de manière à ce qu’ils se connaissent, qu’ils sachent mettre un visage sur un nom. »

Et la communication dans tout ça ? Elle ne vient pas après. Elle fait partie de ces premières décisions. Qui prévient les clients ? Que dit-on en interne avant de s’exprimer vers l’extérieur ? Gaëlle Baldet Ladan en est convaincue : ces arbitrages-là doivent être anticipés au même titre que les gestes techniques. Dans les contrats qu’elle négocie, elle veille à ce que les frais liés à la communication de crise soient inclus dans la couverture, y compris la possibilité de faire appel au cabinet avec lequel l’organisation travaille déjà plutôt qu’à celui que l’assureur recommande par défaut. En pleine crise, on ne change pas d’interlocuteur de confiance.

Ce qu’on apprend après, et pourquoi ça compte autant

Gaëlle Baldet Ladan accompagne systématiquement ses clients dans ce qu’on appelle le retour d’expérience : un bilan structuré mené après chaque incident pour comprendre ce qui a fonctionné et ce qui a failli. Les bons numéros étaient-ils disponibles ? L’information a-t-elle circulé au bon moment ? Le contrat a-t-il vraiment couvert ce qu’il était censé couvrir ?

Ce bilan a aussi une portée contractuelle que beaucoup ignorent. Après une crise, l’assureur peut formuler des recommandations : former les équipes, mettre à jour certaines procédures, changer des habitudes numériques risquées. Si elles ne sont pas suivies et qu’une nouvelle attaque survient, il sera en droit de revoir les conditions du contrat, voire d’en rendre le renouvellement économiquement intenable. Ce n’est pas une sanction : c’est une logique qui aligne les intérêts dans le bon sens, le client a tout intérêt à ne pas subir une deuxième crise, et l’assureur à ce que son client soit mieux protégé.

Ce que l’assurance ne peut pas réparer : la confiance

Il existe pourtant un domaine où même les contrats les plus complets atteignent leurs limites : la confiance. Quand une organisation est victime d’une cyberattaque, elle ne fait pas seulement face à un problème technique : elle traverse aussi une crise de réputation. Ses clients, ses partenaires ou ses donateurs apprennent que leurs données ont peut-être été exposées. On peut évaluer une perte de chiffre d’affaires, chiffrer un arrêt d’activité, mais on ne peut pas mettre un prix sur la confiance perdue.

C’est pourtant là que se joue souvent l’impact le plus durable d’une cyberattaque. Gaëlle Baldet Ladan est directe : « Mieux vous allez communiquer, plus vous allez avoir d’actions de communication mises en place pour rassurer vos clients, moins vous allez avoir de perte de confiance. » La communication n’est pas un vernis qu’on applique après la crise. C’est un levier opérationnel à part entière, avec ses propres règles : parler en interne avant de parler à l’extérieur, choisir avec soin qui prend la parole, à qui et dans quel ordre. Ces choix peuvent transformer une crise en démonstration de sérieux. Mal faits, ils aggravent une situation déjà difficile.

Pour conclure : faire de l’assurance un réflexe de crise

Ce que le regard de Gaëlle Baldet Ladan invite à comprendre, c’est que la cybermenace n’est pas d’abord un problème informatique. C’est un problème de préparation humaine et organisationnelle, et à ce titre, elle obéit aux mêmes règles que n’importe quelle autre crise.

Pour les organisations qui travaillent à se préparer, l’enjeu est donc de ne pas traiter l’assurance cyber comme une formalité administrative réglée une fois pour toutes. C’est un dispositif vivant, qui suppose des relations construites en amont, des procédures testées, des équipes formées, et une communication pensée avant même que la crise n’éclate.

À rebours d’une vision encore trop répandue qui délègue la question à la direction informatique et s’arrête là, Gaëlle Baldet Ladan rappelle qu’une organisation ne traverse une crise cyber qu’à travers des individus qui doivent décider vite, coordonner des acteurs multiples et maintenir la confiance de ceux qui les regardent faire. Aucun contrat, aussi bien rédigé soit-il, ne peut remplacer cette préparation-là.

E&HA
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.