La référence française de l’assurance indépendante & pédagogique Édition 2026 619 pages mise à jour juillet 2026
Accueil Professionnels assurance cyber Réf. CYB-00 — Niveau 1

Assurance cyber : protéger l’entreprise des attaques informatiques

L'assurance cyber couvre l'entreprise contre les conséquences financières d'une attaque informatique : rançongiciel, fuite de données, fraude au virement, interruption d'activité. En 2026, comptez de 300 € par an pour une TPE à plus de 5 000 € pour une PME, pour des plafonds de 100 000 € à 5 M€. Garanties, tarifs, prérequis de sécurité et démarches : le guide de référence.

Dossier Professionnels Lecture 10 min Mise à jour juillet 2026 4 sous-dossiers
Responsable informatique surveillant des tableaux de bord de sécurité sur deux écrans dans une PME française, baie de serveurs en arrière-plan
La cyber-assurance complète, sans jamais remplacer, la sécurité informatique de l'entreprise.Photo — assurances.fm
En bref — l’essentiel du dossierRéf. CYB-00
Obligatoire ?
Non — facultative, mais exigée dans un nombre croissant d'appels d'offres et de contrats de sous-traitance
Prix moyen 2026
300 à 900 €/an pour une TPE, 1 200 à 5 000 €/an pour une PME, 6 000 € et plus pour une ETI
Garanties clés
Cellule de crise 24/7, restauration des données, pertes d'exploitation, RC cyber, frais de notification RGPD
Plafonds courants
100 000 € (TPE) à 5 M€ (ETI) ; cyber-extorsion souvent sous-plafonnée
Rançons
Indemnisables uniquement si plainte déposée sous 72 h (art. L12-10-1 du Code des assurances, loi LOPMI)
Franchise
1 000 à 10 000 € par sinistre + franchise temporelle de 12 à 48 h sur les pertes d'exploitation
Résiliation
À l'échéance annuelle, préavis de 2 mois (art. L113-12 du Code des assurances)

Assurance cyber : la protection financière face aux attaques informatiques

L'assurance cyber est un contrat qui prend en charge les conséquences financières d'un incident informatique malveillant ou accidentel : rançongiciel qui chiffre vos serveurs, fuite de données clients, fraude au président, piratage de messagerie, sabotage ou simple erreur humaine. Elle combine trois briques : une assistance de crise disponible 24 h/24 (experts techniques, juristes, communicants), l'indemnisation de vos propres pertes (restauration des systèmes, perte d'exploitation, frais de notification) et une responsabilité civile cyber qui couvre les dommages causés aux tiers, clients ou partenaires dont les données ont été compromises.

Ce contrat n'a rien d'un produit de niche réservé aux grands groupes. En France, la menace vise d'abord le tissu économique courant : commerces, cabinets, artisans, industriels de taille moyenne. Une attaque réussie immobilise l'activité plusieurs jours, parfois plusieurs semaines, et la trésorerie d'une petite structure résiste rarement à un tel choc sans relais assurantiel.

330 000demandes d'assistance enregistrées par la plateforme Cybermalveillance en 2025
6 /10attaques par rançongiciel traitées par l'ANSSI visent des TPE, PME et ETI
18 jdurée médiane d'interruption partielle d'activité après un chiffrement des serveurs

Face à ce constat, le marché français de la cyber-assurance a mûri : les contrats 2026 sont plus lisibles, segmentés par taille d'entreprise, avec des questionnaires de souscription simplifiés pour les structures de moins de 10 M€ de chiffre d'affaires. La couverture reste pourtant très minoritaire : moins d'une PME sur dix est assurée contre le risque cyber, alors que la quasi-totalité assure ses locaux contre l'incendie — un risque statistiquement bien plus rare.

Que couvre une assurance cyber ? Les garanties décryptées

Un contrat cyber complet s'articule autour de sept garanties, dont quatre constituent le socle indispensable : la gestion de crise, la restauration des données, les pertes d'exploitation et la responsabilité civile cyber. Les plafonds varient de 100 000 € pour une TPE à 5 M€ et plus pour une ETI.

Garanties d'une assurance cyber : contenu et plafonds indicatifs 2026
GarantieCe qu'elle prend en chargePlafond indicatif
Gestion de criseHotline 24/7, experts en investigation numérique, avocats, communication de criseInclus au plafond global
Restauration des donnéesDécontamination, reconstruction des systèmes, récupération des sauvegardes100 000 € à 2 M€
Pertes d'exploitationMarge brute perdue pendant l'interruption, frais supplémentaires d'exploitationFranchise temporelle 12 à 48 h
Cyber-extorsionNégociateurs spécialisés, remboursement de la rançon sous conditions légales strictesSouvent sous-plafonnée à 20-50 %
RC cyberRéclamations de tiers après fuite de données ou contamination de leurs systèmes500 000 € à 5 M€
Frais de notificationInformation CNIL et personnes concernées, centre d'appels, surveillance d'identité50 000 € à 500 000 €
Fraude et détournementFraude au président, faux ordre de virement, détournement par piratage — en option15 000 € à 300 000 €

Le cas du rançongiciel mérite une lecture attentive du contrat : la prise en charge couvre systématiquement la restauration et l'accompagnement, mais le remboursement de la rançon elle-même obéit depuis la loi LOPMI du 24 janvier 2023 à une condition impérative de dépôt de plainte. Le fonctionnement précis de la couverture du ransomware par l'assurance — restauration, pertes d'exploitation et cadre légal du paiement des rançons — justifie un examen à part entière avant de signer.

À retenir

L'article L12-10-1 du Code des assurances subordonne toute indemnisation d'une cyber-rançon au dépôt d'une plainte dans les 72 heures suivant la connaissance de l'attaque. Sans plainte, pas de remboursement — quel que soit le contrat.

Attention également aux angles morts fréquents : la fraude au virement n'est couverte qu'en option chez la plupart des assureurs, les amendes administratives (CNIL) ne sont assurables que lorsque la loi le permet, et les pertes liées à une panne de votre hébergeur cloud ne sont indemnisées que si le contrat inclut une garantie « défaillance de prestataire », encore rare sous 2 M€ de chiffre d'affaires.

Qui a besoin d'une cyber-assurance ?

Toute entreprise qui dépend d'un système informatique pour facturer, produire ou stocker des données clients a intérêt à s'assurer — soit, en pratique, la quasi-totalité des structures en 2026. Le critère n'est pas la taille mais l'exposition : un cabinet comptable de 4 salariés détient des données plus sensibles que bien des industriels de 50 personnes.

Certains profils concentrent néanmoins le risque et les exigences des assureurs :

  • Professions réglementées et santé : experts-comptables, avocats, professionnels de santé — données ultra-sensibles, secret professionnel engagé ;
  • Commerce en ligne : paiement par carte, base clients monétisable, dépendance totale à la disponibilité du site ;
  • Industrie et logistique : chaînes de production pilotées par informatique, où chaque heure d'arrêt se chiffre en dizaines de milliers d'euros ;
  • Sous-traitants de grands donneurs d'ordre : la cyber-assurance devient une exigence contractuelle dans les appels d'offres, au même titre que la RC professionnelle ;
  • Collectivités et associations gérant des données d'usagers ou d'adhérents.

Les entreprises de 10 à 250 salariés forment le cœur de cible des attaquants : assez riches pour payer, rarement équipées d'une équipe sécurité dédiée. C'est précisément pour elles que les assureurs ont conçu des offres packagées, détaillées dans notre guide de la cyber-assurance pour les PME, avec questionnaire allégé et plafonds calibrés de 250 000 € à 2 M€.

Combien coûte une assurance cyber en 2026 ?

La prime dépend de quatre facteurs : le chiffre d'affaires, le secteur d'activité, le plafond de garantie choisi et le niveau de maturité de votre sécurité informatique. En 2026, une TPE s'assure à partir de 300 € par an, une PME entre 1 200 € et 5 000 €, une ETI au-delà de 6 000 €.

Prime annuelle indicative d'une assurance cyber en 2026
Profil d'entrepriseChiffre d'affairesPlafond courantPrime annuelle
Artisan, commerce de proximité< 500 000 €100 000 €300 à 600 €
TPE de services, profession libérale< 1 M€250 000 €450 à 900 €
PME1 à 10 M€500 000 € à 2 M€1 200 à 5 000 €
ETI10 à 50 M€2 à 5 M€6 000 à 25 000 €

Les franchises s'échelonnent de 1 000 € pour une TPE à 10 000 € et plus pour une PME, avec une franchise temporelle de 12 à 48 heures sur les pertes d'exploitation : les premières heures d'arrêt restent à votre charge. Un dossier de sécurité solide — double authentification généralisée, sauvegardes déconnectées testées — fait baisser la prime de 15 à 30 % chez la plupart des porteurs de risque. Pour affiner votre budget poste par poste, notre analyse détaillée du prix d'une assurance cyber par taille d'entreprise décompose les tarifs réels constatés et les leviers de négociation.

Le chiffre

59 000 €

coût moyen d'une cyberattaque réussie pour une PME française (investigation, restauration, pertes d'activité et frais juridiques cumulés) — soit 50 à 100 fois la prime annuelle d'un contrat cyber d'entrée de gamme.

Les prérequis de sécurité exigés avant de vous couvrir

Aucun assureur ne couvre en 2026 une entreprise sans hygiène informatique minimale : le questionnaire de souscription conditionne à la fois l'acceptation du risque, le tarif et la validité des garanties. Une déclaration inexacte expose à la réduction proportionnelle d'indemnité de l'article L113-9 du Code des assurances, voire à la nullité du contrat en cas de fausse déclaration intentionnelle (article L113-8).

Les exigences standard du marché :

  • Authentification multifacteur (MFA) sur les messageries, les VPN et les accès administrateurs ;
  • Sauvegardes régulières selon la règle 3-2-1, dont une copie déconnectée du réseau et testée au moins une fois par trimestre ;
  • Mises à jour de sécurité appliquées sous 30 jours sur les systèmes exposés ;
  • Antivirus ou EDR déployé sur l'ensemble des postes et serveurs ;
  • Sensibilisation des équipes au phishing au moins une fois par an ;
  • Gestion des droits d'accès : comptes nominatifs, révocation immédiate au départ d'un salarié.

À l'inverse, certaines pratiques entraînent un refus quasi systématique ou une exclusion de garantie :

  • Systèmes d'exploitation obsolètes non isolés (Windows Server 2012, postes non maintenus) ;
  • Accès bureau à distance (RDP) ouvert sur internet sans VPN ni MFA ;
  • Sauvegardes hébergées uniquement sur le réseau principal, chiffrables avec lui ;
  • Absence totale de responsable identifié — même externalisé — sur le sujet informatique.

RGPD, LOPMI, NIS 2 : ce que la loi impose déjà à votre entreprise

L'assurance cyber ne se substitue jamais aux obligations légales : elle finance leur exécution dans l'urgence. Trois textes structurent le paysage français en 2026.

RGPD (règlement UE 2016/679)
Toute violation de données personnelles présentant un risque doit être notifiée à la CNIL sous 72 heures, et les personnes concernées informées sans délai injustifié en cas de risque élevé. Les manquements exposent à des amendes jusqu'à 4 % du chiffre d'affaires mondial ou 20 M€.
Loi LOPMI (n° 2023-22 du 24 janvier 2023)
Conditionne l'indemnisation assurantielle des cyber-rançons au dépôt de plainte dans les 72 heures suivant la connaissance de l'infraction (article L12-10-1 du Code des assurances).
Directive NIS 2
Étend les obligations de sécurité et de déclaration d'incidents à l'ANSSI à environ 15 000 entités françaises, y compris des PME de secteurs dits « importants » (agroalimentaire, chimie, transport, numérique).

La garantie « frais de notification » du contrat cyber prend ici tout son sens : rédaction de la notification à la CNIL, courriers aux personnes concernées, centre d'appels dédié, surveillance d'identité offerte aux victimes. Ces postes atteignent vite plusieurs dizaines de milliers d'euros pour un fichier de quelques milliers de clients. Les obligations précises de notification, les délais et le rôle exact de l'assureur en cas de violation de données au sens du RGPD font l'objet d'un guide dédié, indispensable si vous traitez des données clients.

Souscrire une assurance cyber : la méthode en 5 étapes

Comptez deux à six semaines entre le premier contact et la prise d'effet, selon la taille de l'entreprise et la complexité du questionnaire. La démarche gagne à être préparée : un dossier sécurité documenté accélère l'instruction et améliore le tarif.

  1. Cartographier votre exposition.

    Listez vos actifs critiques : données clients, outils de production, dépendances cloud, volumes de paiement. Estimez le coût d'une journée d'arrêt complet — c'est la donnée qui dimensionne le plafond de pertes d'exploitation.

  2. Mettre à niveau les prérequis.

    MFA, sauvegardes déconnectées, EDR : investir 2 000 à 5 000 € avant la souscription évite un refus et réduit durablement la prime.

  3. Remplir le questionnaire avec exactitude.

    Faites-le valider par votre prestataire informatique. Chaque réponse engage la validité des garanties au jour du sinistre.

  4. Comparer les projets sur quatre points.

    Plafond global, sous-plafond cyber-extorsion, franchise temporelle sur les pertes d'exploitation, qualité de la cellule de crise (délai d'intervention contractuel, disponibilité en français).

  5. Tester le dispositif.

    Enregistrez le numéro d'urgence de l'assureur hors du réseau informatique, intégrez-le à votre plan de continuité et faites un exercice de crise dans les six mois.

Le contrat se renouvelle par tacite reconduction ; vous pouvez le résilier à chaque échéance annuelle avec un préavis de deux mois (article L113-12 du Code des assurances). À chaque renouvellement, l'assureur réévalue le questionnaire : signalez toute évolution majeure de votre système d'information en cours d'année pour rester couvert.

Le jour de l'attaque : comment votre contrat réagit

La valeur d'une assurance cyber se mesure dans les premières heures d'un incident. Dès l'appel à la hotline, l'assureur mobilise une cellule de crise : experts en investigation numérique pour identifier l'intrusion et la circonscrire, juristes pour piloter les obligations de notification, négociateurs si une extorsion est en cours, communicants pour protéger la réputation de l'entreprise. Cette orchestration, facturée 1 500 à 3 000 € par jour et par expert en direct, est prise en charge au premier euro par la plupart des contrats.

Trois réflexes conditionnent la bonne exécution des garanties : isoler les systèmes touchés sans les éteindre (préservation des preuves), appeler l'assureur avant tout prestataire extérieur non référencé, et déposer plainte rapidement — sous 72 heures si une rançon est en jeu. Le dispositif public cybermalveillance.gouv.fr complète utilement l'assistance de l'assureur pour l'orientation initiale et le dépôt de plainte.

Attention

Payer une rançon ou engager un prestataire de restauration sans l'accord préalable de l'assureur peut faire perdre tout droit à indemnisation. Les exclusions classiques — faute intentionnelle, systèmes notoirement non maintenus, actes de guerre — s'apprécient au vu de vos déclarations de souscription.

Les avantages

  • Cellule de crise 24/7 opérationnelle en moins de 4 heures
  • Pertes d'exploitation indemnisées, là où aucun autre contrat ne joue
  • Prise en charge des obligations RGPD (notification, information des victimes)
  • Effet vertueux : la souscription force la mise à niveau de la sécurité

Les limites

  • Fraude au virement souvent en option et sous-plafonnée
  • Franchise temporelle : les premières heures d'arrêt restent à votre charge
  • Garanties suspendues en cas de déclaration inexacte au questionnaire
  • Prime en hausse après sinistre, parfois 30 à 50 %

« Le contrat cyber le plus rentable n'est pas le moins cher : c'est celui dont la cellule de crise décroche en dix minutes un dimanche à 3 heures du matin. Jugez un assureur cyber sur son dispositif d'assistance avant de comparer les primes. »

La rédaction assurances.fm

Pour aller plus loin dans le dossier

4 sous-dossiers — niveau 2

Vos questions, nos réponses

FAQ — 6 questions
L'assurance cyber est-elle obligatoire pour une entreprise ?

Non, aucune loi n'impose la cyber-assurance en 2026. Elle devient en revanche une exigence contractuelle fréquente : grands donneurs d'ordre, marchés publics et bailleurs de fonds la demandent de plus en plus, au même titre que la RC professionnelle. La directive NIS 2 impose par ailleurs des obligations de sécurité à environ 15 000 entités françaises, ce qui pousse mécaniquement à la souscription.

Quelle différence entre assurance cyber et RC professionnelle ?

La RC professionnelle couvre les dommages que votre activité cause aux tiers dans le cadre de vos prestations ; elle exclut généralement les incidents informatiques ou les plafonne très bas. L'assurance cyber couvre à la fois vos propres pertes (systèmes, données, exploitation) et votre responsabilité en cas de fuite de données — deux volets que la RC pro ne prend pas en charge.

L'assurance cyber rembourse-t-elle le paiement d'une rançon ?

Oui, c'est légal en France, mais sous condition stricte : l'article L12-10-1 du Code des assurances, issu de la loi LOPMI de 2023, impose un dépôt de plainte dans les 72 heures suivant la connaissance de l'attaque. La garantie cyber-extorsion est en outre souvent sous-plafonnée, et l'assureur privilégie toujours la restauration des sauvegardes au paiement.

Quel est le prix d'une assurance cyber pour une TPE ?

Comptez 300 à 900 € par an en 2026 pour un plafond de 100 000 à 250 000 €, avec une franchise de 1 000 à 2 500 €. Le tarif dépend surtout de votre secteur (la santé et le e-commerce paient plus cher) et de vos prérequis de sécurité : la double authentification et des sauvegardes déconnectées font baisser la prime de 15 à 30 %.

Le phishing subi par un salarié est-il couvert ?

Oui dans la grande majorité des contrats : l'erreur humaine non intentionnelle (clic sur un lien piégé, ouverture d'une pièce jointe infectée) est un fait générateur couvert. En revanche, le virement frauduleux obtenu par manipulation (fraude au président) relève d'une option « fraude » spécifique, souvent limitée à 15 000-300 000 € — vérifiez ce point avant de signer.

Que faire dans les premières heures d'une cyberattaque ?

Isolez les machines touchées du réseau sans les éteindre, appelez immédiatement la hotline de votre assureur avant tout prestataire extérieur, puis déposez plainte — impérativement sous 72 heures si une rançon est exigée. Notifiez la CNIL sous 72 heures si des données personnelles sont compromises ; la cellule de crise de l'assureur pilote ces démarches avec vous.

La rédaction d’assurances.fm Dossier CYB-00 rédigé, structuré et relu par notre équipe éditoriale. Contenus vérifiés — mise à jour juillet 2026.
Vérifié
assurances.fm
juillet 2026