Retour aux actualités
    Guide

    Cyber-assurance : guide complet pour les PME et ETI

    Cyber-assurance pour les entreprises

    Selon l'AMRAE, le marché français de la cyber-assurance a doublé en trois ans pour dépasser 328 M€ de primes en 2024. Pourtant, seulement 16 % des PME françaises sont assurées contre les cyber-risques (LCL/Stat). Avec la LPM 2023 (loi de programmation militaire), le législateur impose désormais le dépôt de plainte sous 72 h avant toute indemnisation d'une rançon. Ce guide pratique vous explique le fonctionnement, les garanties indispensables, les exclusions à éviter et comment négocier votre police.

    Qu'est-ce qu'une cyber-assurance ?

    Une cyber-assurance couvre les conséquences financières d'un incident de sécurité : ransomware, vol de données, fraude, interruption d'activité, sanctions RGPD, frais de défense, etc. Elle se distingue de l'assurance RC professionnelle classique, qui exclut presque toujours les cyber-risques.

    Important : une cyber-assurance n'est pas un substitut à la cybersécurité. Les assureurs exigent désormais un socle minimal de mesures (MFA, sauvegardes, EDR, sensibilisation) avant d'accepter de souscrire. Sans ce socle, vous serez refusé ou la prime sera prohibitive.

    Les garanties d'une bonne police cyber

    Frais de gestion de crise

    Forensic, communication, notification CNIL, gestion des relations clients. Souvent activable en quelques heures via une hotline 24/7 incluse.

    Pertes d'exploitation

    Indemnisation du chiffre d'affaires perdu pendant l'arrêt d'activité (franchise temporelle de 8 à 24 h selon les contrats).

    Reconstitution des données

    Coûts de restauration des systèmes, des sauvegardes et des données détruites ou chiffrées.

    Rançongiciel (extorsion)

    Prise en charge de la rançon (sous conditions LPM 2023) ET surtout des frais de négociation, déchiffrement et reconstruction.

    Responsabilité civile cyber

    Réclamations de tiers : clients, partenaires, sous-traitants suite à une fuite de données ou à une atteinte à leurs systèmes.

    Sanctions administratives RGPD

    Couverture des amendes CNIL (lorsque le droit local l'autorise) et frais de défense devant les autorités.

    Fraude et ingénierie sociale

    Arnaque au président (FOVI), fraude au virement, faux ordres de paiement. Souvent en option avec sous-limite.

    Cyber-extorsion (DDoS, doxing)

    Menaces de divulgation, attaques DDoS volumétriques, dénigrement en ligne.

    Les exclusions et pièges à connaître

    Acte d'État (war exclusion)

    Suite à NotPetya (2017), de nombreux assureurs excluent les attaques attribuées à un État. À négocier précisément (clause LMA5556 vs Lloyd's 2023).

    Vulnérabilités connues non patchées

    Si l'attaque exploite une CVE publiée depuis plus de 30 ou 90 jours sans correctif, l'assureur peut refuser l'indemnisation.

    Absence de MFA

    Compromission par credential stuffing sans MFA = exclusion fréquente. Imposer la MFA partout, surtout sur les accès admin et VPN.

    Sauvegardes non testées ou non isolées

    Si vos backups étaient connectés au réseau et chiffrés par le ransomware, l'assureur peut refuser la garantie reconstitution.

    Déclaration sincère lors de la souscription

    Toute fausse déclaration ou omission au questionnaire annule la garantie. Faire valider par le RSSI.

    Sous-limites par garantie

    Le plafond global cache souvent des sous-limites (ex : rançon plafonnée à 25 % du capital). Lire en détail.

    Combien coûte une cyber-assurance en 2026 ?

    Les primes ont triplé entre 2020 et 2023 puis se stabilisent depuis 2024. Les fourchettes ci-dessous valent pour une entreprise dotée d'un socle de sécurité conforme aux attentes des assureurs.

    CA annuelCapital recommandéPrime annuelle
    < 5 M€500 k€ – 1 M€2 000 – 6 000 €
    5 – 20 M€1 – 3 M€6 000 – 18 000 €
    20 – 100 M€3 – 10 M€18 000 – 60 000 €
    100 – 500 M€10 – 25 M€60 000 – 200 000 €
    > 500 M€25 M€+Sur mesure

    LPM 2023 : la nouvelle obligation des 72 h

    Depuis le 24 avril 2024, l'article L.12-10-1 du Code des assurances impose, pour toute indemnisation d'une cyber-rançon, le dépôt de plainte auprès des forces de l'ordre dans les 72 heures suivant la connaissance de l'infraction. À défaut, l'assureur refuse la prise en charge de la rançon (mais les autres garanties restent ouvertes).

    Conseil pratique : intégrer cette obligation dans votre plan de réponse à incident et identifier à l'avance le commissariat ou la gendarmerie compétente (BL2C, COMCYBER, C3N).

    Les 12 mesures attendues par les assureurs

    Avant de souscrire, l'assureur vous fera remplir un questionnaire de 50 à 200 questions. Voici les mesures qui font la différence entre une prime acceptable et un refus.

    MFA obligatoire (admin, VPN, M365, SaaS)
    EDR sur 100 % des postes et serveurs
    Sauvegardes 3-2-1 + copies hors ligne / immuables
    Tests de restauration documentés
    Patch management (vulnérabilités critiques sous 30 j)
    Filtrage email avancé + sandboxing
    Sensibilisation annuelle + simulations de phishing
    Plan de réponse à incident testé
    Segmentation réseau et hardening Active Directory
    Journalisation centralisée (SIEM ou SOC managé)
    Inventaire des actifs et classification des données
    Audit de sécurité annuel par un tiers (PASSI de préférence)

    Préparer votre dossier d'assurance cyber

    15 minutes pour évaluer votre maturité face aux exigences des assureurs et identifier les actions à mener pour décrocher la meilleure prime. Sans engagement.

    Réserver mon échange gratuit

    Articles liés

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.