Cyber-assurance : guide complet pour les PME et ETI

Selon l'AMRAE, le marché français de la cyber-assurance a doublé en trois ans pour dépasser 328 M€ de primes en 2024. Pourtant, seulement 16 % des PME françaises sont assurées contre les cyber-risques (LCL/Stat). Avec la LPM 2023 (loi de programmation militaire), le législateur impose désormais le dépôt de plainte sous 72 h avant toute indemnisation d'une rançon. Ce guide pratique vous explique le fonctionnement, les garanties indispensables, les exclusions à éviter et comment négocier votre police.
Qu'est-ce qu'une cyber-assurance ?
Une cyber-assurance couvre les conséquences financières d'un incident de sécurité : ransomware, vol de données, fraude, interruption d'activité, sanctions RGPD, frais de défense, etc. Elle se distingue de l'assurance RC professionnelle classique, qui exclut presque toujours les cyber-risques.
Important : une cyber-assurance n'est pas un substitut à la cybersécurité. Les assureurs exigent désormais un socle minimal de mesures (MFA, sauvegardes, EDR, sensibilisation) avant d'accepter de souscrire. Sans ce socle, vous serez refusé ou la prime sera prohibitive.
Les garanties d'une bonne police cyber
Frais de gestion de crise
Forensic, communication, notification CNIL, gestion des relations clients. Souvent activable en quelques heures via une hotline 24/7 incluse.
Pertes d'exploitation
Indemnisation du chiffre d'affaires perdu pendant l'arrêt d'activité (franchise temporelle de 8 à 24 h selon les contrats).
Reconstitution des données
Coûts de restauration des systèmes, des sauvegardes et des données détruites ou chiffrées.
Rançongiciel (extorsion)
Prise en charge de la rançon (sous conditions LPM 2023) ET surtout des frais de négociation, déchiffrement et reconstruction.
Responsabilité civile cyber
Réclamations de tiers : clients, partenaires, sous-traitants suite à une fuite de données ou à une atteinte à leurs systèmes.
Sanctions administratives RGPD
Couverture des amendes CNIL (lorsque le droit local l'autorise) et frais de défense devant les autorités.
Fraude et ingénierie sociale
Arnaque au président (FOVI), fraude au virement, faux ordres de paiement. Souvent en option avec sous-limite.
Cyber-extorsion (DDoS, doxing)
Menaces de divulgation, attaques DDoS volumétriques, dénigrement en ligne.
Les exclusions et pièges à connaître
Acte d'État (war exclusion)
Suite à NotPetya (2017), de nombreux assureurs excluent les attaques attribuées à un État. À négocier précisément (clause LMA5556 vs Lloyd's 2023).
Vulnérabilités connues non patchées
Si l'attaque exploite une CVE publiée depuis plus de 30 ou 90 jours sans correctif, l'assureur peut refuser l'indemnisation.
Absence de MFA
Compromission par credential stuffing sans MFA = exclusion fréquente. Imposer la MFA partout, surtout sur les accès admin et VPN.
Sauvegardes non testées ou non isolées
Si vos backups étaient connectés au réseau et chiffrés par le ransomware, l'assureur peut refuser la garantie reconstitution.
Déclaration sincère lors de la souscription
Toute fausse déclaration ou omission au questionnaire annule la garantie. Faire valider par le RSSI.
Sous-limites par garantie
Le plafond global cache souvent des sous-limites (ex : rançon plafonnée à 25 % du capital). Lire en détail.
Combien coûte une cyber-assurance en 2026 ?
Les primes ont triplé entre 2020 et 2023 puis se stabilisent depuis 2024. Les fourchettes ci-dessous valent pour une entreprise dotée d'un socle de sécurité conforme aux attentes des assureurs.
| CA annuel | Capital recommandé | Prime annuelle |
|---|---|---|
| < 5 M€ | 500 k€ – 1 M€ | 2 000 – 6 000 € |
| 5 – 20 M€ | 1 – 3 M€ | 6 000 – 18 000 € |
| 20 – 100 M€ | 3 – 10 M€ | 18 000 – 60 000 € |
| 100 – 500 M€ | 10 – 25 M€ | 60 000 – 200 000 € |
| > 500 M€ | 25 M€+ | Sur mesure |
LPM 2023 : la nouvelle obligation des 72 h
Depuis le 24 avril 2024, l'article L.12-10-1 du Code des assurances impose, pour toute indemnisation d'une cyber-rançon, le dépôt de plainte auprès des forces de l'ordre dans les 72 heures suivant la connaissance de l'infraction. À défaut, l'assureur refuse la prise en charge de la rançon (mais les autres garanties restent ouvertes).
Conseil pratique : intégrer cette obligation dans votre plan de réponse à incident et identifier à l'avance le commissariat ou la gendarmerie compétente (BL2C, COMCYBER, C3N).
Les 12 mesures attendues par les assureurs
Avant de souscrire, l'assureur vous fera remplir un questionnaire de 50 à 200 questions. Voici les mesures qui font la différence entre une prime acceptable et un refus.
Préparer votre dossier d'assurance cyber
15 minutes pour évaluer votre maturité face aux exigences des assureurs et identifier les actions à mener pour décrocher la meilleure prime. Sans engagement.
Réserver mon échange gratuit