Pentester · consultant cybersécurité · travailleur non salarié (TNS)

Assurance pentester : RC pro, cyber et prévoyance

Tester l'intrusion d'un système, c'est manipuler le SI d'un client : une coupure, un service qui tombe, des données exposées, et votre responsabilité est engagée. La priorité d'un pentester, ce n'est pas la RC pro de droit commun seule — c'est une RC pro doublée d'une garantie cyber qui couvre les dommages immatériels. Nous comparons les assureurs spécialisés des métiers de la tech — RC pro, cyber, prévoyance, mutuelle et retraite.

Comparer mes devis Voir les garanties

La RC pro n'est pas imposée par la loi, mais elle est presque toujours exigée par vos donneurs d'ordre avant de signer une mission.

Courtier en assurancesRéponse sous 24hSans engagementÉligible loi Madelin
L'essentiel à retenir
  1. La RC pro + cyber est le contrat décisifUn test d'intrusion peut endommager le SI testé, l'interrompre ou exposer des données : la RC seule ne suffit pas, il faut la garantie cyber.
  2. Vos revenus n'ont aucun filetEn arrêt, les IJ de la SSI sont plafonnées, faibles et limitées dans le temps : très loin de votre TJM réel.
  3. Vos cotisations réduisent votre impôtPrévoyance, mutuelle et retraite sont déductibles loi Madelin (art. 154 bis du CGI).
Le vrai enjeu

Pourquoi le pentester a besoin de bien plus que la RC

Votre métier consiste à attaquer, légalement, le système d'un client — et c'est exactement ce qui crée votre exposition. Un test d'intrusion peut faire tomber un serveur en production, interrompre un service, déclencher une fuite ou une exfiltration de données, ou déborder du périmètre autorisé. Le dommage est le plus souvent immatériel (perte d'exploitation du client, données compromises), et c'est précisément ce qu'une RC pro de droit commun exclut souvent : il faut une extension ou un contrat cyber dédié.

S'ajoute un risque juridique propre au pentest : sans mandat écrit, un test d'intrusion devient un accès frauduleux au sens de l'article 323-1 du Code pénal. En tant qu'indépendant, vous n'avez ni la RC d'un employeur ni la prévoyance d'un salarié. Votre protection se construit garantie par garantie — suivez le guide.

1
Garantie 01 · Responsabilité civile & cyber Essentielle

La RC pro et la garantie cyber du pentester

C'est le contrat central du pentester. La RC pro couvre les dommages causés au client pendant la mission ; la garantie cyber prend en charge le risque le plus probable de votre métier : un dommage immatériel au système d'information testé — interruption de service, données exposées, exfiltration ou perte de données.

Mandat écrit indispensable

Sans autorisation écrite, le pentest est un délit

Un test d'intrusion sans mandat écrit du propriétaire du système (convention de pentest ou lettre de mission) constitue un accès frauduleux au sens de l'article 323-1 du Code pénal : jusqu'à 3 ans d'emprisonnement et 100 000 € d'amende, indépendamment de votre intention. La convention doit fixer le périmètre exact, les techniques admises, les dates et les contacts d'urgence.

En pratique, trois scénarios reviennent. Le dommage au SI testé : un scan ou un exploit qui fait tomber un service en production et génère une perte d'exploitation chez le client. La fuite ou l'exfiltration de données : des fichiers sensibles copiés pendant l'audit (logs, bases, identifiants) perdus ou compromis. Le dépassement de périmètre : un système voisin atteint involontairement faute de délimitation réseau claire, qui engage votre responsabilité vis-à-vis d'un tiers au contrat.

Inclus
  • Dommages immatériels causés au SI du client (interruption, perte d'exploitation)
  • Fuite, exfiltration ou perte de données pendant l'audit (y compris RGPD)
  • Faille non signalée ou erreur d'appréciation reprochée
  • Atteinte involontaire à un système tiers (dépassement de périmètre)
  • Frais de défense (protection juridique associée)
Exclusions courantes
  • Test mené sans mandat écrit du client
  • Action menée hors du périmètre convenu
  • Faute intentionnelle ou usage malveillant des accès
  • Activité non déclarée à l'assureur
Bon à savoir

La détention d'outils d'attaque (scanners, frameworks d'exploitation) est licite pour un motif professionnel légitime (art. 323-3-1 du Code pénal). C'est le mandat écrit, pas l'outillage, qui fait la frontière entre l'audit et le délit : conservez chaque convention de mission.

Le conseil de notre expert

Ne vous contentez pas d'une RC pro « informatique » standard : exigez que les dommages immatériels non consécutifs et l'interruption du SI testé soient explicitement couverts, et vérifiez le plafond cyber au regard de la taille de vos clients. Un grand compte peut chiffrer une heure d'interruption bien au-delà d'un plafond de base.

Comparer les RC pro & cyber pentester
2
Garantie 02 · Maintien de revenu Essentielle

Prévoyance : couvrir l'arrêt de travail

Indépendant, votre revenu s'arrête le jour où vous ne pouvez plus travailler. La prévoyance couvre les « 3 risques » : arrêt de travail (indemnités journalières), invalidité (rente) et décès (capital pour vos proches).

Affilié à la SSI (régime des indépendants), vous touchez des indemnités journalières — mais seulement après 3 jours de carence (versement dès le 4ᵉ jour), avec un montant calculé sur environ 1/730 de votre revenu annuel, plafonné et faible, et pour une durée limitée (de l'ordre de 360 jours sur 3 ans). Pour un consultant qui facture à la journée, c'est très loin de votre TJM réel et ne couvre ni vos charges ni votre niveau de vie.

Sur un arrêt de travail, ce que verse la SSI
Indépendant affilié à la SSI — des IJ plafonnées et faibles, sans rapport avec votre TJM.
J1 – J3Aucun versement (carence)
Dès J4IJ SSI plafonnées (≈ 1/730 du revenu)
Au-delà / revenu élevéÉcart non couvert
Prévoyance TNS : maintien du revenu dès le 1ᵉʳ ou 4ᵉ jour, calibré sur votre TJM réel
Simulez votre arrêt de travailQue se passe-t-il si vous ne pouvez plus assurer vos missions ?
Votre revenu mensuel3 500 €
1 500 €10 000 €
Durée de l'arrêt3 mois
1 mois12 mois
Sans prévoyance
de perte de revenus, malgré d'IJ CPAM. Le loyer et les cotisations continuent de courir.
Avec prévoyance
de revenu maintenu (≈ 90 %), soit une perte limitée à sur toute la durée de l'arrêt.

Hypothèses illustratives : IJ CPAM ≈ 50 % du revenu plafonnées à ≈ 1 600 €/mois, versées du 4ᵉ au 87ᵉ jour ; prévoyance calibrée à ≈ 90 % du revenu. Le calcul réel dépend de votre contrat.

Simuler ma prévoyance
Le conseil de notre expert

Calibrez vos indemnités journalières sur votre revenu réel d'indépendant, pas sur un forfait. Vérifiez aussi le délai de carence (un contrat dès J1 ou J4 change tout sur les arrêts courts fréquents) et la définition de l'invalidité, qui doit tenir compte de votre capacité à exercer votre métier de consultant.

3
Garantie 03 · Santé Essentielle

Mutuelle santé de l'indépendant

Sans employeur pour cofinancer votre complémentaire santé, le choix du bon niveau de garanties compte double. La cotisation est déductible loi Madelin, et le bon arbitrage se joue sur l'optique, le dentaire et l'hospitalisation.

Poste de soin
Sécu seule
Avec mutuelle TNS
Consultation spécialistesecteur 2, dépassements
≈ 70 % de la base
jusqu'à 100–300 % de la base
Optiqueverres complexes + monture
quelques euros
forfait dès ≈ 200 €/an
Dentairecouronne, implant
≈ 70 % d'une base faible
jusqu'à 300–500 % de la base
Hospitalisationchambre particulière
non couverte
dès ≈ 50 €/nuit
Médecines doucesostéopathie, kiné non remboursé…
0 €
forfait dès ≈ 150 €/an

Montants illustratifs (« dès / jusqu'à »), variables selon le niveau de garanties choisi et l'assureur. BR = base de remboursement Sécurité sociale.

Bon à savoir

Travail prolongé sur écran : pensez à un bon forfait optique (verres complexes, lumière bleue) et à un niveau hospitalisation correct — c'est le poste qui fait le plus mal sans mutuelle. La cotisation reste déductible loi Madelin.

Comparer les mutuelles santé
4
Garantie 04 · Avenir Option recommandée

Retraite : compléter votre caisse avec un PER

Selon votre statut, vous cotisez à la SSI (ou à la CIPAV pour les affiliations les plus anciennes), dont la pension reste modeste au regard de revenus d'indépendant souvent élevés. La retraite Madelin — devenue le PER individuel — permet d'épargner en déduisant chaque versement de votre revenu imposable.

≈ 1 200 €/mois
pension moyenne d'un indépendant (illustratif)
≈ 40–50 %
taux de remplacement d'un revenu de consultant
64 ans
âge légal de départ (taux plein selon trimestres)
Votre niveau de revenu à la retraite
En activité100 %
Caisse seule (SSI)≈ 45 %
Avec un PER alimenté régulièrement≈ 85 %

Ordres de grandeur illustratifs — le niveau réel dépend de votre carrière, de vos versements et de l'âge de départ.

Votre avantage fiscal Madelin / PERChaque versement réduit votre impôt, dans la limite des plafonds.
Versement annuel3 000 €
500 €15 000 €
Votre tranche d'imposition (TMI)
Économie d'impôt
par an, à TMI 30 % — déduits de votre revenu imposable.
Effort d'épargne réel
c'est ce que votre épargne vous coûte vraiment, une fois l'impôt déduit.

Calcul illustratif : économie ≈ versement × TMI, dans la limite des plafonds Madelin / PER calculés sur votre revenu professionnel. Conditions : contrat éligible et cotisations sociales à jour.

Estimer mon avantage fiscal
Bon à savoir

Plus votre TJM est élevé, plus l'écart entre votre revenu d'activité et la pension de base est important — et plus l'effet de levier fiscal du PER est fort. Chaque versement est déductible, dans la limite de votre plafond Madelin.

Vue d'ensemble

Que couvre l'assurance d'un pentester ?

Voici comment s'articulent les garanties d'un pentester indépendant, du contrat central RC pro + cyber aux garanties qui compensent l'absence de filet salarié.

Essentiel le cœur du métier et vos revenus
Essentielle
RC pro + garantie cyber
Dommage immatériel au SI testé, interruption, fuite ou exfiltration de données, dépassement de périmètre. Souvent exigée par vos donneurs d'ordre.
Protection juridique
Prise en charge de votre défense et des frais en cas de litige, de mise en cause ou de contestation de périmètre.
Prévoyance — indemnités journalières
Un revenu de remplacement calibré sur votre TJM, là où les IJ de la SSI, plafonnées et faibles, s'arrêtent vite.
Prévoyance — invalidité / décès
Rente si une atteinte vous empêche d'exercer, capital pour vos proches en cas de décès.
En option selon votre situation
Option
Mutuelle santé de l'indépendant (Madelin)
Votre propre complémentaire santé, déductible loi Madelin, sans employeur pour cofinancer.
Retraite Madelin (PER)
Épargne déductible pour compléter une pension de base souvent modeste pour un consultant.
Multirisque bureau / matériel
Locaux, poste de travail, matériel professionnel : incendie, dégât des eaux, vol.
Comment ça marche

Votre devis en 4 étapes

1

Vous décrivez votre activité

Quelques informations sur vos missions, vos clients et vos priorités.

2

On compare le marché

Les assureurs spécialisés des métiers de la tech et du conseil en cybersécurité.

3

Vous recevez vos devis

Une sélection claire, sans engagement, sous 24h.

4

Souscription accompagnée

On vous accompagne jusqu'à la mise en place des contrats.

Questions fréquentes

Vos questions sur l'assurance du pentester

Aucune loi n'impose une assurance spécifique au pentester ou au consultant cybersécurité (l'activité n'est pas réglementée). En revanche, vos donneurs d'ordre — ESN, grands comptes — l'exigent presque toujours dans le contrat avant de vous confier une mission. Une RC pro doublée d'une garantie cyber est donc en pratique indispensable pour travailler.
La RC pro couvre les dommages causés au client pendant la mission ; la garantie cyber prend en charge le risque propre du pentest : dommage immatériel au système testé (interruption, perte d'exploitation), fuite ou exfiltration de données pendant l'audit, faille non signalée, ou atteinte involontaire à un système tiers en cas de dépassement de périmètre. Vérifiez bien que les dommages immatériels non consécutifs sont inclus.
Oui. Une RC pro de droit commun exclut souvent les dommages immatériels purs, qui sont justement le risque principal d'un test d'intrusion (un service qui tombe, des données exposées, aucune casse matérielle). Il faut donc une extension cyber ou un contrat dédié, sans quoi le sinistre le plus probable de votre métier ne serait pas indemnisé.
Non. En l'absence de mandat écrit du propriétaire du système (convention de pentest ou lettre de mission), un test d'intrusion constitue un accès frauduleux au sens de l'article 323-1 du Code pénal, puni jusqu'à 3 ans d'emprisonnement et 100 000 € d'amende, quelle que soit votre intention. La convention doit délimiter précisément le périmètre, les techniques autorisées et les dates. La détention d'outils d'attaque, elle, reste licite pour un motif professionnel légitime (art. 323-3-1).
Le consultant en cybersécurité est une profession libérale non réglementée : depuis 2018, les nouvelles affiliations relèvent de la SSI (régime des indépendants). Seules les activités créées avant 2019 peuvent encore dépendre de la CIPAV. Dans les deux cas, la pension de base reste modeste face à un revenu de consultant : un PER permet de la compléter en déduisant les versements.
Pour aller plus loin

Sujets liés

Prévoyance TNS
Indemnités journalières, invalidité, décès.
Loi Madelin
Déduire vos cotisations du revenu imposable.
Mutuelle TNS
La complémentaire santé de l'indépendant.
Développeur web freelance
Même logique RC pro + cyber pour un indépendant de la tech.

Votre devis d'assurance pentester en 2 minutes

RC pro, cyber, prévoyance, mutuelle et retraite Madelin : nous comparons les assureurs spécialisés des métiers de la tech.

Demander mon devis