Pentest · PASSI ANSSI · RSSI externalisé · DORA · NIS2 · Plafond 2-5M€ · dès 21€/mois
"Service ultra rapide et efficace ! Une RC pro réglée en à peine 20 minutes, sans prise de tête. Et pour la mutuelle familiale, les remboursements sont vraiment au top ! Je recommande les yeux fermés."
Réponse personnalisée sous 24h — gratuit et sans engagement
Mon besoin principal :

Sans mandat écrit explicite, un pentest = accès frauduleux à un STAD (art. 323-1 CP : 3 ans + 100 000€, jusqu'à 7 ans + 300 000€ pour un système d'État). Aucune RC Pro ne couvre l'absence de mandat. Le mandat écrit n'est pas optionnel — c'est votre seule protection pénale.
L'expert cybersécurité — pentester, auditeur de sécurité, RSSI externalisé, consultant DORA/NIS2, analyste SOC — exerce un métier qui touche au cœur de l'infrastructure et des données de ses clients. Aucun diplôme requis, aucune obligation légale d'assurance, mais un cadre juridique extrêmement contraignant car votre activité empiète constamment sur le terrain pénal.
Le risque numéro 1 est juridique avant d'être technique : sans mandat écrit explicite du propriétaire du système avant toute intervention offensive, vous commettez un accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal : 3 ans d'emprisonnement et 100 000€ d'amende, portés à 5 ans + 150 000€ en cas de modification de données, et 7 ans + 300 000€ pour un système de l'État). La jurisprudence est unanime : peu importe votre intention bienveillante, l'absence d'autorisation explicite engage votre responsabilité pénale. L'article 323-3-1 protège la possession d'outils d'attaque uniquement si vous justifiez d'une raison légitime (mandat).
La RC Pro classique « consultant IT » ne suffit PAS pour la cybersécurité offensive. Il faut une extension « atteinte volontaire au système d'information autorisée par mandat » qui couvre les perturbations causées intentionnellement pendant le pentest (dégradation de service, suppression de fichiers test, modification de logs, scans agressifs déclenchant des alertes SOC). Sans cette extension, votre RC Pro se retournera contre vous en disant que vous avez « volontairement » attaqué le système.
Côté réglementaire, deux textes européens transforment radicalement le marché depuis 2025. DORA (règlement UE 2022/2554 applicable depuis le 17 janvier 2025) impose aux entités financières des audits de résilience opérationnelle et des tests d'intrusion réguliers — votre RC Pro doit couvrir cette spécialité. NIS2 (directive UE 2022/2555) étend les obligations cybersécurité à tous les secteurs critiques. Pour les missions sur opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OSE), la qualification PASSI ANSSI est de plus en plus contractuellement exigée.
Le mandat écrit : checklist minimale
Tout mandat de pentest doit préciser : (1) le périmètre exact (IP, domaines, applications, sous-domaines, IPs cloud, infrastructure tiers) — tout ce qui n'est pas autorisé explicitement est INTERDIT ; (2) les techniques autorisées (scan, exploitation, post-exploitation, ingénierie sociale, phishing) ; (3) la fenêtre temporelle ; (4) les contacts d'urgence H24 ; (5) la procédure en cas de découverte critique (zero-day, données sensibles) ; (6) les clauses de limitation de responsabilité réciproques. Notre rôle de courtier : valider que votre RC Pro couvre l'ensemble de ce périmètre contractuel.
Trois catégories à connaître selon votre type d'intervention. La différence entre un contrat consultant IT classique (350€/an) et une RC Pro cybersécurité adaptée (800€/an) se joue sur les extensions critiques : atteinte volontaire autorisée, conformité réglementaire, plafond renforcé.
Couvertes uniquement si mentionnées sur votre attestation.
Pas de mandat = accès frauduleux = pénal + RC inopérante.
Les trois angles morts majeurs du métier
Trois failles juridiques qui peuvent transformer un pentest légitime en infraction pénale, et trois clauses contractuelles que votre RC Pro doit absolument couvrir. Le mandat écrit est votre première ligne de défense — l'assurance est la seconde.
Sans mandat écrit explicite, un test d'intrusion = accès frauduleux (art. 323-1 CP : 3-7 ans + 100-300K€). Le mandat doit être SIGNÉ avant tout scan, avec scope précis, techniques autorisées, fenêtre temporelle, contacts d'urgence. Un email d'autorisation simple suffit en cas d'urgence — mais un contrat structuré est la norme professionnelle.
→ Mandat écrit OBLIGATOIRE avant chaque mission
Tout ce qui n'est pas autorisé explicitement est INTERDIT. Le scope doit lister précisément : IP, domaines, sous-domaines, IPs cloud, infrastructure tiers, applications, dépendances. Un asset hors scope touché par votre scan = risque pénal même avec mandat principal. Mise à jour formelle du mandat à chaque évolution.
→ Whitelisting strict + validation à chaque évolution
La RC Pro consultant IT classique exclut souvent les « atteintes volontaires au SI ». Or un pentest en provoque forcément (scans agressifs, exploitation, dégradation contrôlée). L'extension « atteinte volontaire autorisée par mandat » couvre ces perturbations légitimes. Sans elle, votre RC Pro retourne contre vous l'argument du caractère volontaire.
→ Extension explicite sur l'attestation
Sinistres types en cybersécurité
Les sinistres en cybersécurité combinent risques civils (audit incomplet, dépassement scope, fuite pendant pentest) et risques pénaux (accès sans mandat). L'indemnisation civile moyenne dépasse 80 000€ et peut atteindre plusieurs millions pour les missions sur infrastructure critique ou secteur réglementé.

Audit incomplet — vulnérabilité publique manquée
Audit cybersécurité conduit 6 mois avant une attaque par injection SQL exploitant une CVE publique référencée. Vulnérabilité non détectée par l'audit. Sanction CNIL au client (180K€) + procédure en responsabilité contre l'auditeur pour défaut de moyens et perte de chance.
Pentest — dégradation de production
Pentest applicatif sur une plateforme e-commerce avec scan agressif déclenchant un comportement non documenté (boucle infinie côté backend). Indisponibilité production 4h en plein pic d'activité. Mise en cause au titre de l'atteinte volontaire au SI mal calibrée.
Fuite de données client pendant pentest
Capture de logs et screenshots contenant des données personnelles patients pendant un pentest sur plateforme santé HDS. Stockage temporaire des preuves non chiffrées sur un cloud personnel. Notification CNIL obligatoire + action récursoire du client + sanction RGPD article 28.
Dépassement de scope (NON COUVERT)
Pentester scannant accidentellement une IP hors scope (sous-domaine non listé dans le mandat) appartenant à un tiers (CDN partagé). Plainte du tiers pour accès frauduleux art. 323-1 CP — 3 ans + 100K€. Le mandat principal ne couvre PAS l'asset tiers, exclusion absolue de la RC Pro.
Fourchettes indicatives 2026. Trois critères principaux : votre périmètre (audit basique vs pentest offensif vs secteur réglementé), votre qualification (certifications individuelles OSCP/CEH vs qualification PASSI ANSSI), et le plafond exigé contractuellement (1M€ à 5M€+).
Consultant cyber junior
Audit basique · plafond 1M€ · TPE/PME
à partir de 21€
par mois
soit 253,78€/an
Pentester / RSSI externalisé
PME/ETI · plafond 2M€ · atteinte SI inclus
42€ – 67€
par mois
soit 504€ – 804€/an
PASSI / DORA / NIS2
OIV, OSE, banque · plafond 3-5M€
67€ – 125€
par mois
soit 804€ – 1500€/an
Ces tarifs varient selon vos spécialités (red team / pentest physique = +30-40%, IoT/SCADA = +25%, OSINT avancé = +15%), votre qualification (PASSI = tarif préférentiel -15 à -25%, sinon certifications individuelles documentées), votre typologie client (CAC 40 / banque DORA = +20-30%, défense = +30%). Comparé à votre TJM (700-1 100€/jour), la RC Pro représente < 1% du CA.
À ne pas confondre : le tarif RC Pro ci-dessus couvre votre responsabilité civile professionnelle (dommages au client). Pour vos propres incidents (vol de votre poste contenant des données clients/exploits, ransomware sur votre infra), il faut une cyber-assurance dédiée séparée. Pour le secteur réglementé, prévoyez aussi une protection juridique étendue couvrant les procédures CNIL, ANSSI, autorités sectorielles.
Les plateformes en ligne refusent quasi systématiquement les profils cybersécurité offensifs ou plafonds élevés. En tant que courtier indépendant, nous accédons à des compagnies spécialisées experts cyber qui maintiennent une couverture appropriée.
Une mise en cause client (dégradation production pendant pentest, dépassement scope involontaire, audit contesté) a entraîné votre résiliation. Vous figurez au fichier AGIRA. Des compagnies spécialisées acceptent les dossiers documentés (procédures internes, certifications, mandat-type renforcé), avec majoration mais en préservant un plafond suffisant pour vos donneurs d'ordre.
→ Solution sur mesure
Vous proposez du red team avec composante physique (intrusion sociale, lockpicking autorisé, drop USB), de l'OSINT avancé sur cibles privées, ou du phishing simulé à grande échelle ? Ces activités sortent du contrat pentester standard et nécessitent un plafond 5M€+ avec extensions spécifiques (atteinte aux personnes, intrusion physique).
→ Pentest avancé / red team
Vous intervenez sur opérateurs d'importance vitale, entités financières DORA, opérateurs services essentiels NIS2, hébergeurs santé HDS, ou défense ? Plafond renforcé 3-5M€ + conformité réglementaire déclarée + qualification PASSI valorisée + extension cybersécurité étendue.
→ Secteurs réglementés
Statut juridique (AE, EURL, SASU, ESN), code APE (6202A conseil systèmes informatiques ou 7022Z conseil pour les affaires), spécialités (audit, pentest applicatif/infra, red team, RSSI externalisé, forensic), qualifications (OSCP, OSWE, CEH, GPEN, CISSP, PASSI), typologie clients (PME, ETI, OIV, OSE, secteur public), modalité (forfait, régie), antécédents.
Nous interrogeons les compagnies spécialisées experts cybersécurité. Nous vérifions explicitement la mention « pentest et atteinte volontaire au SI autorisée par mandat », le plafond aligné aux exigences contractuelles de vos donneurs d'ordre, la conformité DORA/NIS2/HDS si applicable, et l'extension protection juridique pour procédures CNIL/ANSSI.
Attestation RC Pro envoyée par email avec effet immédiat à la signature. Conforme aux exigences des grands donneurs d'ordre (CAC 40, banques DORA, OIV, ANSSI, secteur public, défense) avec mention explicite du plafond, de la couverture pentest, et de l'extension atteinte volontaire. Renouvellement annuel automatique.
Exemple de sinistre — Cas représentatif
« Audit cybersécurité conduit 6 mois avant une attaque par injection SQL exploitant une CVE publique référencée depuis 8 mois. Vulnérabilité non détectée par l'audit (méthodologie incomplète, périmètre mal défini). Sanction CNIL au responsable de traitement : 180 000€. Action récursoire du client contre l'auditeur pour défaut de moyens et perte de chance. Sans plafond suffisant (2M€ minimum) et clause PINC, l'expert cybersécurité aurait dû payer les 142 800€ d'indemnisation et frais de défense de sa poche. »
Les vraies questions que nous posent les experts cybersécurité et pentesters en Moselle
Légalement non — la cybersécurité n'est pas une profession réglementée en France. EN PRATIQUE, elle est non négociable. Pour le pentest spécifiquement, la RC Pro avec extension « atteinte volontaire au système d'information autorisée par mandat » est devenue le prérequis commercial absolu : aucun donneur d'ordre sérieux ne contractualise sans cette attestation. Pour les audits cybersécurité qualifiés ANSSI (PASSI), le plafond minimum exigé est de 2 millions d'euros par sinistre. Pour les missions DORA (banque/finance) ou NIS2 (secteurs critiques), le plafond peut monter à 5M€. Sans RC Pro adaptée, vous êtes exclu de facto des appels d'offres.
C'est LA condition juridique vitale. Sans mandat écrit préalable du propriétaire du système, un test d'intrusion constitue un accès frauduleux au sens de l'article 323-1 du Code pénal — 3 ans d'emprisonnement et 100 000€ d'amende (5 ans + 150 000€ si modification de données, 7 ans + 300 000€ pour un système d'État). Peu importe votre intention bienveillante : la jurisprudence est claire, l'absence d'autorisation explicite engage la responsabilité PÉNALE du pentester. Le mandat doit préciser : le scope exact (IP, domaines, applications), les techniques autorisées, la fenêtre temporelle, les contacts d'urgence, la procédure en cas de découverte critique. L'article 323-3-1 protège la possession d'outils d'attaque uniquement si vous justifiez d'une raison légitime (mandat).
PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est la qualification délivrée par l'ANSSI aux prestataires qui réalisent des audits de cybersécurité exigeants pour les opérateurs d'importance vitale (OIV), opérateurs de services essentiels (OSE NIS2), et entités financières (DORA). PASSI atteste d'un haut niveau d'expertise, de méthodologie et de confidentialité. Pour les missions critiques (secteur public, défense, OIV, OSE), la qualification PASSI est de plus en plus contractuellement exigée. Côté assurance, les prestataires PASSI bénéficient souvent de plafonds renforcés négociés (3-5M€) et de tarifs préférentiels. Alternative : certifications individuelles OSCP, OSWE, GPEN, CISSP qui rassurent les compagnies à défaut de PASSI organisationnelle.
Quatre risques majeurs sortent du contrat consultant IT standard. 1) Atteinte volontaire au SI autorisée par mandat : la simulation d'attaque pendant un pentest cause forcément des perturbations (dégradations, indisponibilités, alertes SOC) — extension « atteinte volontaire autorisée » indispensable. 2) Faille critique manquée par l'audit : vulnérabilité connue (CVE référencée) non détectée par votre audit, exploitée 6 mois plus tard — préjudice immatériel + perte de chance. 3) Fuite accidentelle de données client pendant le pentest (capture de logs, screenshots) — RGPD article 28 sous-traitant. 4) Dépassement de scope involontaire : un asset hors périmètre touché par votre scan — risque d'accès frauduleux involontaire malgré le mandat principal.
Trois adaptations contractuelles critiques. 1) DORA (règlement UE 2022/2554, applicable depuis le 17 janvier 2025) : si vous intervenez chez une entité financière (banque, assurance, paiement), votre RC Pro doit couvrir explicitement la conformité DORA — sanctions jusqu'à 2% du CA mondial ou 10M€ pour l'entité, action récursoire possible contre le prestataire. 2) NIS2 (directive UE 2022/2555) : secteurs critiques (énergie, transport, eau, santé, services numériques) — plafond renforcé + extension cybersécurité étendue. 3) HDS (Hébergement de Données de Santé) : extension RGPD données particulières + plafond minimum 3M€. Pour ces trois cas, la qualification PASSI ou les certifications individuelles documentées sont des prérequis contractuels.
Quatre profils types. 1) Consultant cybersécurité junior, missions audit basique TPE/PME (audit de configuration, sensibilisation) : plafond 1M€. 2) Pentester / expert audit pour PME/ETI (pentest applicatif, audit organisationnel, RSSI externalisé) : plafond 2M€ minimum avec extension « atteinte volontaire autorisée par mandat ». 3) PASSI / expert pour OIV, OSE NIS2, entités DORA, secteur public : plafond 3-5M€ + extension cybersécurité étendue + conformité réglementaire. 4) Red team / pentest physique / ingénierie sociale / OSINT avancé : plafond 5M€+ + extensions spécifiques (atteinte aux personnes, intrusion physique autorisée, dépassement involontaire de scope). Notre rôle : aligner le plafond sur l'exigence contractuelle de votre donneur d'ordre.
Tarifs 2026 selon profil. Consultant cyber junior (AE, audit basique PME, plafond 1M€) : 350 à 500€/an. Pentester / expert établi (PME/ETI, plafond 2M€, mandat + atteinte volontaire) : 500 à 800€/an. PASSI / expert secteur réglementé (OIV, NIS2, DORA, plafond 3-5M€) : 800 à 1 500€/an. Red team / pentest physique / OSINT (plafond 5M€+, extensions multiples) : 1 200 à 2 500€/an. Les profils qualifiés PASSI bénéficient de tarifs préférentiels négociés (-15 à -25% vs non qualifiés). Comparé à un TJM pentester (700-1 100€/jour), la RC Pro représente moins d'1% du CA — investissement marginal vs le risque couvert (pénal + civil).
Nous accompagnons les experts cybersécurité, pentesters et RSSI externalisés dans tout le département (et au-delà, le métier étant majoritairement remote)
5,0 / 5
Dylan A.
Client vérifié
"Service ultra rapide et efficace ! Une RC pro réglée en à peine 20 minutes, sans prise de tête. Et pour la mutuelle familiale, les remboursements sont vraiment au top ! Je recommande les yeux fermés."