Retour aux actualitésCyber-assurance

    Cyber-assurance pour PME : guide complet pour choisir et négocier sa police en 2026

    15 min de lecture

    En 2026, plus d'une PME française sur deux a déjà subi au moins un incident cyber significatif, et le coût moyen d'une attaque par ransomware atteint 270 000 € hors arrêt d'activité. Dans ce contexte, la cyber-assurance est devenue un pilier incontournable de la gestion des risques. Mais souscrire une bonne police suppose de comprendre les garanties, les exclusions et de respecter des prérequis techniques de plus en plus exigeants.

    Qu'est-ce qu'une cyber-assurance ?

    La cyber-assurance (ou assurance cyber-risques) est une police d'assurance qui couvre les conséquences financières d'un incident de sécurité informatique : ransomware, fuite de données, fraude au président, intrusion, attaque par déni de service ou erreur interne. Elle combine généralement deux dimensions :

    • Garanties dommages : pertes subies par l'entreprise (frais de gestion de crise, perte d'exploitation, reconstruction du SI).
    • Garanties responsabilité civile : indemnisation des tiers victimes (clients, partenaires, autorités) suite à l'incident.

    Les garanties classiques d'une police cyber

    1. Gestion de crise et frais de réponse à incident

    • Intervention d'une cellule de crise 24/7 (juriste, communicant, expert technique).
    • Investigations forensiques pour comprendre l'origine et l'étendue de l'attaque.
    • Notification aux personnes concernées et à la CNIL en cas de violation de données.
    • Frais de communication et de gestion de la réputation.

    2. Frais de remédiation et de reconstruction

    • Restauration des systèmes et des données.
    • Achat ou location de matériel de remplacement.
    • Renforcement des dispositifs de sécurité après incident.

    3. Pertes d'exploitation

    Indemnisation de la marge brute perdue pendant la période d'indisponibilité, généralement après un délai de carence de 8 à 24 heures et sur une période d'indemnisation pouvant aller jusqu'à 12 mois.

    4. Responsabilité civile cyber

    Couverture des dommages causés à des tiers : violation de données personnelles, propagation d'un malware, manquement contractuel suite à indisponibilité, sanctions RGPD (selon les conditions du contrat et la jurisprudence locale).

    5. Cyber-extorsion (ransomware)

    Prise en charge des frais de négociation, des analyses techniques et, dans certains pays et sous conditions strictes, du paiement de la rançon. En France, la loi LOPMI conditionne désormais le remboursement d'une rançon au dépôt préalable d'une plainte sous 72 heures.

    6. Fraudes financières et ingénierie sociale

    Garantie souvent en option : fraude au président, faux ordres de virement, détournements consécutifs à une compromission de messagerie. Les plafonds sont généralement plus bas que sur les autres garanties.

    Les exclusions à connaître absolument

    Les contrats cyber comportent des exclusions importantes qu'il est essentiel de challenger lors de la souscription :

    • Actes de guerre et sabotage étatique : la jurisprudence Mondelez vs Zurich a marqué un tournant. Privilégiez les contrats avec clause LMA5564B révisée et un seuil de qualification clair.
    • Vulnérabilités connues non corrigées dans un délai raisonnable.
    • Faute intentionnelle ou non-respect manifeste des bonnes pratiques.
    • Sinistres antérieurs ou faits connus avant la souscription.
    • Sanctions financières publiques dans certaines juridictions.
    • Coûts d'amélioration non liés directement à la remédiation.

    Les prérequis techniques exigés par les assureurs

    Depuis 2022, les assureurs ont fortement renforcé leurs exigences. Sans un socle minimum, les couvertures sont refusées ou les primes deviennent prohibitives. Les contrôles habituels portent sur :

    • MFA obligatoire sur tous les accès distants, comptes administrateurs et messageries.
    • EDR/XDR déployé sur l'ensemble du parc avec supervision 24/7 ou détection managée (MDR).
    • Sauvegardes immutables (règle 3-2-1-1-0) avec test de restauration documenté.
    • Politique de patch management avec délais maximaux pour les correctifs critiques.
    • Filtrage de la messagerie et formation anti-phishing récurrente.
    • Plan de continuité et de reprise d'activité formalisé et testé.
    • Gestion des accès privilégiés (PAM) pour les comptes à fort impact.

    Lors de la souscription, vous devrez compléter un questionnaire détaillé de plusieurs dizaines de questions techniques. Toute déclaration inexacte peut entraîner la nullité du contrat.

    Combien coûte une cyber-assurance pour une PME ?

    Les primes varient fortement selon le secteur, le chiffre d'affaires, le niveau de maturité cyber et les garanties souscrites. Ordres de grandeur en France pour 2026 :

    • TPE (CA < 2 M€) : 1 500 à 4 000 €/an pour 250 000 à 1 M€ de garantie.
    • PME (CA 2 à 20 M€) : 4 000 à 20 000 €/an pour 1 à 5 M€ de garantie.
    • ETI (CA 20 à 200 M€) : 20 000 à 150 000 €/an pour 5 à 20 M€ de garantie.

    Les franchises sont également un critère essentiel : généralement de 5 000 à 50 000 € pour une PME, elles peuvent atteindre plusieurs centaines de milliers d'euros sur les garanties d'extorsion.

    Cyber-assurance et NIS2 : un duo indispensable

    La directive NIS2 ne rend pas l'assurance cyber obligatoire, mais elle change profondément la donne : les entreprises soumises à NIS2 doivent désormais intégrer la gestion du risque résiduel dans leur dispositif de gouvernance. La cyber-assurance devient ainsi le complément naturel des mesures techniques et organisationnelles imposées par NIS2.

    Bonne nouvelle : un programme de conformité NIS2 sérieux améliore considérablement le profil de risque de l'entreprise, ce qui se traduit par des primes plus basses et des plafonds plus élevés. À l'inverse, l'absence de mesures NIS2 peut désormais constituer un motif d'exclusion contractuelle.

    Comment bien négocier sa police cyber : 8 conseils

    1. Faites réaliser un diagnostic préalable par un cabinet indépendant pour objectiver votre niveau de maturité.
    2. Mettez en concurrence au moins 3 assureurs via un courtier spécialisé.
    3. Préparez le questionnaire avec votre RSSI : la qualité des réponses impacte directement la prime.
    4. Challengez les exclusions de guerre et exigez la dernière version des clauses LMA.
    5. Négociez les sous-limites sur les garanties critiques (extorsion, fraude, RC).
    6. Vérifiez la qualité du panel d'experts mobilisable en cas de crise (juristes, forensique, communication).
    7. Demandez la couverture des prestataires en cas d'incident chez un fournisseur cloud ou un hébergeur.
    8. Réalisez un exercice de gestion de crise avec votre assureur dans les 6 premiers mois pour tester le dispositif.

    Que faire en cas de sinistre cyber ?

    1. Activer immédiatement la cellule de crise de l'assureur (numéro 24/7 fourni au contrat).
    2. Isoler les systèmes compromis sans détruire de preuves.
    3. Déposer plainte sous 72 heures (obligatoire pour bénéficier des garanties en France).
    4. Notifier la CNIL sous 72 heures en cas de violation de données personnelles.
    5. Documenter chronologiquement chaque action et chaque coût engagé.
    6. Coordonner la communication avec l'assureur pour préserver la couverture.

    Conclusion : un investissement stratégique, pas une dépense

    Dans un environnement où les attaques sont devenues quasi inévitables, la cyber-assurance n'est plus optionnelle pour une PME ou ETI sérieuse. Mais elle ne remplace pas une stratégie cybersécurité solide : elle la complète. Les meilleurs résultats sont obtenus quand prévention, conformité NIS2/RGPD et assurance sont pensées comme un dispositif global et cohérent.

    CyberConform accompagne les PME et ETI dans la préparation de leur souscription cyber : diagnostic d'assurabilité, mise à niveau technique, rédaction du questionnaire, négociation des garanties et préparation aux exercices de gestion de crise.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit