Une entreprise de défense a-t-elle une obligation légale d'assurance ?

Non. En droit français et européen, aucune assurance n'est légalement obligatoire pour une entreprise de la BITD au seul titre de son activité de défense. Les garanties et niveaux de capacité résultent d'exigences contractuelles : clauses des marchés DGA, CCAG et cahiers des charges des donneurs d'ordre. Certaines couvertures, comme la cyber, relèvent d'une forte recommandation. Il faut donc distinguer obligation légale, exigence contractuelle et recommandation.

Quelles capacités de RC sont exigées par la DGA ?

Il n'existe pas de barème légal unique. Les montants de responsabilité civile professionnelle et produits livrés sont fixés contractuellement, marché par marché, via les clauses DGA, les CCAG et les conditions des maîtres d'œuvre (Thales, Naval Group, Airbus Defence and Space, Dassault, MBDA). La capacité se calibre sur le contrat le plus exigeant du portefeuille, souvent à des montants élevés, avec clauses de renonciation à recours et exigences qualité AQAP.

La LPM impose-t-elle une assurance cyber ?

Non. La loi de programmation militaire et la directive NIS2 imposent des mesures de cybersécurité et de gestion des risques, pas une obligation de souscrire une assurance cyber. Celle-ci demeure une forte recommandation. En revanche, les donneurs d'ordre exigent fréquemment par contrat une certification ISO 27001 ou un hébergement qualifié SecNumCloud, niveau de maturité que l'assureur cyber prend en compte pour fixer ses conditions.

L'assurance couvre-t-elle un défaut d'autorisation d'exportation ?

Non. La conformité au contrôle des exportations relève de l'entreprise : matériels de guerre soumis à autorisation après avis CIEEMG, biens à double usage encadrés par le règlement (UE) 2021/821 et licences instruites par le SBDU, sans oublier ITAR et EAR pour les composants américains. Une RC export accompagne ce dispositif mais ne se substitue jamais à une autorisation valide ; une exportation non conforme peut entraîner la nullité de garantie.

Comment assurer une entreprise de défense ?

Cartographier les risques d'une entreprise de la BITD

Une entreprise de la base industrielle et technologique de défense (BITD) cumule des expositions rarement présentes ailleurs : produits à très longue durée de vie, criticité opérationnelle pour les forces armées, contrôle des exportations, exigences cyber renforcées et chaîne de sous-traitance étendue. Construire un programme d'assurance entreprise défense suppose d'abord de cartographier ces risques par flux : conception, fabrication, livraison, soutien en service et export. C'est cette cartographie qui détermine les capacités à souscrire, bien au-delà d'une RC généraliste.

Avant tout, une clarification juridique structurante. Aucun texte n'impose à un fournisseur de défense de souscrire une assurance spécifique. Les niveaux de couverture proviennent des clauses contractuelles des marchés de la DGA, des CCAG applicables et des conditions générales d'achat des maîtres d'œuvre. Nous détaillons ces mécanismes pour les fournisseurs des Armées.

RC professionnelle et RC produits livrés à capacités élevées

La responsabilité civile professionnelle couvre les fautes de conception et de prestation. La RC produits livrés, souvent traitée distinctement, prend en charge les dommages causés après livraison par un matériel défaillant — point névralgique pour un équipementier dont une pièce intègre un système d'armes ou une plateforme navale.

Des capacités dictées par les donneurs d'ordre

Les marchés de Thales, Naval Group, Airbus Defence and Space, Dassault ou MBDA imposent fréquemment des montants de garantie élevés, des clauses de renonciation à recours croisées et des exigences de qualité AQAP (normes qualité OTAN). Ces seuils sont des exigences contractuelles, négociées au cas par cas selon la criticité du composant fourni. Il n'existe pas de barème légal universel : la capacité se calibre sur le contrat le plus exigeant du portefeuille client.

Cyber : exigences LPM, NIS2 et qualifications ANSSI

La loi de programmation militaire (LPM) et la directive NIS2 imposent des mesures de cybersécurité et de gestion des risques aux opérateurs concernés — elles n'imposent aucune obligation légale d'assurance cyber. Pour autant, l'assurance cyber est une forte recommandation face aux coûts de remédiation, d'interruption et de notification.

Les donneurs d'ordre exigent souvent par contrat une certification ISO 27001, voire l'hébergement de données sensibles chez un prestataire qualifié SecNumCloud (qualification délivrée par l'ANSSI). L'assureur cyber apprécie ce niveau de maturité pour fixer ses conditions. Une couverture cyber bien construite intègre :

frais de réponse à incident et expertise forensic ;
pertes d'exploitation consécutives à une cyberattaque ;
reconstitution de données et de systèmes ;
responsabilité civile en cas de fuite de données de tiers ;
frais de notification et de gestion de crise.

Sites industriels, transport et stockage de matériels sensibles

Les outils de production de la BITD concentrent une forte valeur. Le programme couvre les dommages aux sites de fabrication (incendie, dégâts des eaux, événements naturels) et le bris de machine sur les équipements critiques — bancs d'essai, machines à commande numérique, lignes d'assemblage —, complété par la perte d'exploitation consécutive, souvent dimensionnante au regard des pénalités de retard.

Logistique des matériels classifiés

Le transport et le stockage de matériels sensibles appellent des garanties dédiées intégrant les contraintes de sûreté et de traçabilité. Les conditions tiennent compte de la nature des matériels, des sites de stockage et des exigences de protection du secret de la défense nationale.

RC export et contrôle des exportations

L'export structure profondément le risque. La RC export doit s'articuler avec un régime d'autorisations strict, sous peine de nullité de garantie en cas de non-conformité.

Pour les matériels de guerre, le régime français subordonne l'exportation à des autorisations délivrées après avis de la CIEEMG. Pour les biens à double usage (dual-use), le règlement (UE) 2021/821 encadre les licences, instruites en France par le SBDU. Nous accompagnons spécifiquement l'entreprise dual-use sur ce volet. S'ajoutent les réglementations américaines extraterritoriales ITAR et EAR dès qu'un composant d'origine US entre dans le produit : une simple pièce sous juridiction américaine peut conditionner l'ensemble de la chaîne export. La conformité à ces régimes relève de l'entreprise ; l'assurance vient en appui, jamais en substitut d'autorisation.

Concrètement, un fournisseur de la BITD construit rarement une garantie isolée : il agrège plusieurs lignes complémentaires dont les seuils, les franchises et les exclusions doivent rester cohérents entre eux et compatibles avec ses engagements contractuels. Notre rôle de courtier consiste à vérifier cette cohérence d'ensemble, à anticiper les zones de non-couverture et à documenter, contrat par contrat, le respect des exigences de chaque donneur d'ordre. Cette approche évite les angles morts au moment d'un sinistre, lorsque la chaîne de responsabilité remonte du composant jusqu'au système intégré.

Pour bâtir un programme calibré sur votre portefeuille de marchés, retrouvez notre pilier Défense ou prenez directement un contact défense avec nos courtiers.

Comment assurer une entreprise travaillant pour la défense ?