Assurance cyber : la protection financière face aux attaques informatiques
L'assurance cyber est un contrat qui prend en charge les conséquences financières d'un incident informatique malveillant ou accidentel : rançongiciel qui chiffre vos serveurs, fuite de données clients, fraude au président, piratage de messagerie, sabotage ou simple erreur humaine. Elle combine trois briques : une assistance de crise disponible 24 h/24 (experts techniques, juristes, communicants), l'indemnisation de vos propres pertes (restauration des systèmes, perte d'exploitation, frais de notification) et une responsabilité civile cyber qui couvre les dommages causés aux tiers, clients ou partenaires dont les données ont été compromises.
Ce contrat n'a rien d'un produit de niche réservé aux grands groupes. En France, la menace vise d'abord le tissu économique courant : commerces, cabinets, artisans, industriels de taille moyenne. Une attaque réussie immobilise l'activité plusieurs jours, parfois plusieurs semaines, et la trésorerie d'une petite structure résiste rarement à un tel choc sans relais assurantiel.
Face à ce constat, le marché français de la cyber-assurance a mûri : les contrats 2026 sont plus lisibles, segmentés par taille d'entreprise, avec des questionnaires de souscription simplifiés pour les structures de moins de 10 M€ de chiffre d'affaires. La couverture reste pourtant très minoritaire : moins d'une PME sur dix est assurée contre le risque cyber, alors que la quasi-totalité assure ses locaux contre l'incendie — un risque statistiquement bien plus rare.
Que couvre une assurance cyber ? Les garanties décryptées
Un contrat cyber complet s'articule autour de sept garanties, dont quatre constituent le socle indispensable : la gestion de crise, la restauration des données, les pertes d'exploitation et la responsabilité civile cyber. Les plafonds varient de 100 000 € pour une TPE à 5 M€ et plus pour une ETI.
| Garantie | Ce qu'elle prend en charge | Plafond indicatif |
|---|---|---|
| Gestion de crise | Hotline 24/7, experts en investigation numérique, avocats, communication de crise | Inclus au plafond global |
| Restauration des données | Décontamination, reconstruction des systèmes, récupération des sauvegardes | 100 000 € à 2 M€ |
| Pertes d'exploitation | Marge brute perdue pendant l'interruption, frais supplémentaires d'exploitation | Franchise temporelle 12 à 48 h |
| Cyber-extorsion | Négociateurs spécialisés, remboursement de la rançon sous conditions légales strictes | Souvent sous-plafonnée à 20-50 % |
| RC cyber | Réclamations de tiers après fuite de données ou contamination de leurs systèmes | 500 000 € à 5 M€ |
| Frais de notification | Information CNIL et personnes concernées, centre d'appels, surveillance d'identité | 50 000 € à 500 000 € |
| Fraude et détournement | Fraude au président, faux ordre de virement, détournement par piratage — en option | 15 000 € à 300 000 € |
Le cas du rançongiciel mérite une lecture attentive du contrat : la prise en charge couvre systématiquement la restauration et l'accompagnement, mais le remboursement de la rançon elle-même obéit depuis la loi LOPMI du 24 janvier 2023 à une condition impérative de dépôt de plainte. Le fonctionnement précis de la couverture du ransomware par l'assurance — restauration, pertes d'exploitation et cadre légal du paiement des rançons — justifie un examen à part entière avant de signer.
À retenir
L'article L12-10-1 du Code des assurances subordonne toute indemnisation d'une cyber-rançon au dépôt d'une plainte dans les 72 heures suivant la connaissance de l'attaque. Sans plainte, pas de remboursement — quel que soit le contrat.
Attention également aux angles morts fréquents : la fraude au virement n'est couverte qu'en option chez la plupart des assureurs, les amendes administratives (CNIL) ne sont assurables que lorsque la loi le permet, et les pertes liées à une panne de votre hébergeur cloud ne sont indemnisées que si le contrat inclut une garantie « défaillance de prestataire », encore rare sous 2 M€ de chiffre d'affaires.
Qui a besoin d'une cyber-assurance ?
Toute entreprise qui dépend d'un système informatique pour facturer, produire ou stocker des données clients a intérêt à s'assurer — soit, en pratique, la quasi-totalité des structures en 2026. Le critère n'est pas la taille mais l'exposition : un cabinet comptable de 4 salariés détient des données plus sensibles que bien des industriels de 50 personnes.
Certains profils concentrent néanmoins le risque et les exigences des assureurs :
- Professions réglementées et santé : experts-comptables, avocats, professionnels de santé — données ultra-sensibles, secret professionnel engagé ;
- Commerce en ligne : paiement par carte, base clients monétisable, dépendance totale à la disponibilité du site ;
- Industrie et logistique : chaînes de production pilotées par informatique, où chaque heure d'arrêt se chiffre en dizaines de milliers d'euros ;
- Sous-traitants de grands donneurs d'ordre : la cyber-assurance devient une exigence contractuelle dans les appels d'offres, au même titre que la RC professionnelle ;
- Collectivités et associations gérant des données d'usagers ou d'adhérents.
Les entreprises de 10 à 250 salariés forment le cœur de cible des attaquants : assez riches pour payer, rarement équipées d'une équipe sécurité dédiée. C'est précisément pour elles que les assureurs ont conçu des offres packagées, détaillées dans notre guide de la cyber-assurance pour les PME, avec questionnaire allégé et plafonds calibrés de 250 000 € à 2 M€.
Combien coûte une assurance cyber en 2026 ?
La prime dépend de quatre facteurs : le chiffre d'affaires, le secteur d'activité, le plafond de garantie choisi et le niveau de maturité de votre sécurité informatique. En 2026, une TPE s'assure à partir de 300 € par an, une PME entre 1 200 € et 5 000 €, une ETI au-delà de 6 000 €.
| Profil d'entreprise | Chiffre d'affaires | Plafond courant | Prime annuelle |
|---|---|---|---|
| Artisan, commerce de proximité | < 500 000 € | 100 000 € | 300 à 600 € |
| TPE de services, profession libérale | < 1 M€ | 250 000 € | 450 à 900 € |
| PME | 1 à 10 M€ | 500 000 € à 2 M€ | 1 200 à 5 000 € |
| ETI | 10 à 50 M€ | 2 à 5 M€ | 6 000 à 25 000 € |
Les franchises s'échelonnent de 1 000 € pour une TPE à 10 000 € et plus pour une PME, avec une franchise temporelle de 12 à 48 heures sur les pertes d'exploitation : les premières heures d'arrêt restent à votre charge. Un dossier de sécurité solide — double authentification généralisée, sauvegardes déconnectées testées — fait baisser la prime de 15 à 30 % chez la plupart des porteurs de risque. Pour affiner votre budget poste par poste, notre analyse détaillée du prix d'une assurance cyber par taille d'entreprise décompose les tarifs réels constatés et les leviers de négociation.
Le chiffre
59 000 €coût moyen d'une cyberattaque réussie pour une PME française (investigation, restauration, pertes d'activité et frais juridiques cumulés) — soit 50 à 100 fois la prime annuelle d'un contrat cyber d'entrée de gamme.
Les prérequis de sécurité exigés avant de vous couvrir
Aucun assureur ne couvre en 2026 une entreprise sans hygiène informatique minimale : le questionnaire de souscription conditionne à la fois l'acceptation du risque, le tarif et la validité des garanties. Une déclaration inexacte expose à la réduction proportionnelle d'indemnité de l'article L113-9 du Code des assurances, voire à la nullité du contrat en cas de fausse déclaration intentionnelle (article L113-8).
Les exigences standard du marché :
- Authentification multifacteur (MFA) sur les messageries, les VPN et les accès administrateurs ;
- Sauvegardes régulières selon la règle 3-2-1, dont une copie déconnectée du réseau et testée au moins une fois par trimestre ;
- Mises à jour de sécurité appliquées sous 30 jours sur les systèmes exposés ;
- Antivirus ou EDR déployé sur l'ensemble des postes et serveurs ;
- Sensibilisation des équipes au phishing au moins une fois par an ;
- Gestion des droits d'accès : comptes nominatifs, révocation immédiate au départ d'un salarié.
À l'inverse, certaines pratiques entraînent un refus quasi systématique ou une exclusion de garantie :
- Systèmes d'exploitation obsolètes non isolés (Windows Server 2012, postes non maintenus) ;
- Accès bureau à distance (RDP) ouvert sur internet sans VPN ni MFA ;
- Sauvegardes hébergées uniquement sur le réseau principal, chiffrables avec lui ;
- Absence totale de responsable identifié — même externalisé — sur le sujet informatique.
RGPD, LOPMI, NIS 2 : ce que la loi impose déjà à votre entreprise
L'assurance cyber ne se substitue jamais aux obligations légales : elle finance leur exécution dans l'urgence. Trois textes structurent le paysage français en 2026.
- RGPD (règlement UE 2016/679)
- Toute violation de données personnelles présentant un risque doit être notifiée à la CNIL sous 72 heures, et les personnes concernées informées sans délai injustifié en cas de risque élevé. Les manquements exposent à des amendes jusqu'à 4 % du chiffre d'affaires mondial ou 20 M€.
- Loi LOPMI (n° 2023-22 du 24 janvier 2023)
- Conditionne l'indemnisation assurantielle des cyber-rançons au dépôt de plainte dans les 72 heures suivant la connaissance de l'infraction (article L12-10-1 du Code des assurances).
- Directive NIS 2
- Étend les obligations de sécurité et de déclaration d'incidents à l'ANSSI à environ 15 000 entités françaises, y compris des PME de secteurs dits « importants » (agroalimentaire, chimie, transport, numérique).
La garantie « frais de notification » du contrat cyber prend ici tout son sens : rédaction de la notification à la CNIL, courriers aux personnes concernées, centre d'appels dédié, surveillance d'identité offerte aux victimes. Ces postes atteignent vite plusieurs dizaines de milliers d'euros pour un fichier de quelques milliers de clients. Les obligations précises de notification, les délais et le rôle exact de l'assureur en cas de violation de données au sens du RGPD font l'objet d'un guide dédié, indispensable si vous traitez des données clients.
Souscrire une assurance cyber : la méthode en 5 étapes
Comptez deux à six semaines entre le premier contact et la prise d'effet, selon la taille de l'entreprise et la complexité du questionnaire. La démarche gagne à être préparée : un dossier sécurité documenté accélère l'instruction et améliore le tarif.
- Cartographier votre exposition.
Listez vos actifs critiques : données clients, outils de production, dépendances cloud, volumes de paiement. Estimez le coût d'une journée d'arrêt complet — c'est la donnée qui dimensionne le plafond de pertes d'exploitation.
- Mettre à niveau les prérequis.
MFA, sauvegardes déconnectées, EDR : investir 2 000 à 5 000 € avant la souscription évite un refus et réduit durablement la prime.
- Remplir le questionnaire avec exactitude.
Faites-le valider par votre prestataire informatique. Chaque réponse engage la validité des garanties au jour du sinistre.
- Comparer les projets sur quatre points.
Plafond global, sous-plafond cyber-extorsion, franchise temporelle sur les pertes d'exploitation, qualité de la cellule de crise (délai d'intervention contractuel, disponibilité en français).
- Tester le dispositif.
Enregistrez le numéro d'urgence de l'assureur hors du réseau informatique, intégrez-le à votre plan de continuité et faites un exercice de crise dans les six mois.
Le contrat se renouvelle par tacite reconduction ; vous pouvez le résilier à chaque échéance annuelle avec un préavis de deux mois (article L113-12 du Code des assurances). À chaque renouvellement, l'assureur réévalue le questionnaire : signalez toute évolution majeure de votre système d'information en cours d'année pour rester couvert.
Le jour de l'attaque : comment votre contrat réagit
La valeur d'une assurance cyber se mesure dans les premières heures d'un incident. Dès l'appel à la hotline, l'assureur mobilise une cellule de crise : experts en investigation numérique pour identifier l'intrusion et la circonscrire, juristes pour piloter les obligations de notification, négociateurs si une extorsion est en cours, communicants pour protéger la réputation de l'entreprise. Cette orchestration, facturée 1 500 à 3 000 € par jour et par expert en direct, est prise en charge au premier euro par la plupart des contrats.
Trois réflexes conditionnent la bonne exécution des garanties : isoler les systèmes touchés sans les éteindre (préservation des preuves), appeler l'assureur avant tout prestataire extérieur non référencé, et déposer plainte rapidement — sous 72 heures si une rançon est en jeu. Le dispositif public cybermalveillance.gouv.fr complète utilement l'assistance de l'assureur pour l'orientation initiale et le dépôt de plainte.
Attention
Payer une rançon ou engager un prestataire de restauration sans l'accord préalable de l'assureur peut faire perdre tout droit à indemnisation. Les exclusions classiques — faute intentionnelle, systèmes notoirement non maintenus, actes de guerre — s'apprécient au vu de vos déclarations de souscription.
Les avantages
- Cellule de crise 24/7 opérationnelle en moins de 4 heures
- Pertes d'exploitation indemnisées, là où aucun autre contrat ne joue
- Prise en charge des obligations RGPD (notification, information des victimes)
- Effet vertueux : la souscription force la mise à niveau de la sécurité
Les limites
- Fraude au virement souvent en option et sous-plafonnée
- Franchise temporelle : les premières heures d'arrêt restent à votre charge
- Garanties suspendues en cas de déclaration inexacte au questionnaire
- Prime en hausse après sinistre, parfois 30 à 50 %
« Le contrat cyber le plus rentable n'est pas le moins cher : c'est celui dont la cellule de crise décroche en dix minutes un dimanche à 3 heures du matin. Jugez un assureur cyber sur son dispositif d'assistance avant de comparer les primes. »
