L’assurance cyber risque couvre les pertes financieres liees a une cyberattaque : ransomware, fuite de donnees, interruption d’activite. En 2026, le cout moyen d’une attaque pour une PME francaise depasse 50 000 euros. La prime annuelle d’un contrat cyber debute a 500 euros pour les TPE et monte a 15 000 euros et plus pour les ETI.
43 % des cyberattaques en France ciblent des entreprises de moins de 250 salaries, selon l’ANSSI. Vous pensez que votre antivirus suffit ? Les assureurs, eux, savent que la question n’est pas « si » mais « quand ». Ce guide detaille les garanties, les tarifs reels du marche et les raisons pour lesquelles un courtier specialise fait la difference sur ce type de contrat.
Quels risques couvre une assurance cyber ?
Un contrat cyber ne ressemble pas a une assurance classique. Il combine des garanties financieres, une assistance technique en temps reel et une couverture juridique. Voici le detail des risques pris en charge.
Ransomware et extorsion numerique
Un ransomware chiffre vos fichiers et paralyse votre activite. Le pirate exige une rancon, generalement entre 5 000 et 500 000 euros selon la taille de l’entreprise. L’assurance cyber prend en charge les frais de gestion de crise (experts forensic, negociateurs), la restauration des systemes et, dans certains contrats, la rancon elle-meme — meme si les assureurs francais limitent de plus en plus cette garantie apres les recommandations de l’ANSSI. En 2025, le montant moyen des rancons payees par les PME francaises a atteint 25 000 euros.
Fuite de donnees et violation RGPD
Une fuite de donnees personnelles declenche une obligation de notification a la CNIL sous 72 heures, conformement au Reglement General sur la Protection des Donnees. Les sanctions RGPD montent jusqu’a 4 % du chiffre d’affaires mondial ou 20 millions d’euros — le montant le plus eleve s’applique. Votre contrat cyber couvre les frais de notification aux personnes concernees (1 a 5 euros par personne notifiee), les frais juridiques, les amendes assurables et les dommages-interets reclames par les victimes.
Interruption d’activite liee a une attaque
Quand votre systeme d’information est hors service, vos salaries ne travaillent plus, vos clients ne commandent plus. La garantie perte d’exploitation cyber compense votre marge brute pendant la duree d’indisponibilite. Un e-commercant dont le site est hors ligne 5 jours perd en moyenne 2 000 a 15 000 euros de chiffre d’affaires par jour. Le delai de carence varie de 6 a 24 heures selon les contrats — negociez-le a la baisse.
Atteinte a la reputation et gestion de crise
Apres une cyberattaque rendue publique, votre image subit un impact mesurable. Les contrats cyber premium incluent la prise en charge d’une agence de communication de crise, le monitoring de votre e-reputation et les frais de relations presse. Budget moyen d’une gestion de crise post-attaque : 10 000 a 50 000 euros.
Combien coute une assurance cyber en 2026 ?
| Taille d’entreprise | CA annuel | Prime annuelle moyenne | Plafond d’indemnisation |
|---|---|---|---|
| TPE (1-10 salariés) | Moins de 1 M€ | 500 – 2 000 € | 100 000 – 500 000 € |
| PME (11-50 salariés) | 1 – 10 M€ | 2 000 – 7 000 € | 500 000 – 2 M€ |
| PME (51-250 salariés) | 10 – 50 M€ | 5 000 – 15 000 € | 2 – 10 M€ |
| ETI (250+ salariés) | 50 M€+ | 15 000 – 100 000 € | 10 – 50 M€ |
Ces tarifs varient fortement selon votre secteur (sante et finance paient plus cher), votre niveau de securite informatique et votre historique de sinistres. Un audit de maturite cyber favorable peut reduire votre prime de 20 a 35 %.
Quelles sont vos obligations legales face au cyber risque ?
RGPD : la responsabilite du dirigeant
Depuis 2018, le RGPD impose a toute entreprise traitant des donnees personnelles de mettre en oeuvre des mesures de securite « appropriees ». En cas de manquement, la CNIL engage des poursuites. En 2025, la CNIL a prononce plus de 120 millions d’euros d’amendes, dont 40 % visaient des PME. L’assurance cyber ne vous dispense pas de securiser vos systemes, mais elle absorbe le choc financier quand une breche se produit malgre vos precautions.
Directive NIS 2 : nouvelles obligations pour les PME
La directive NIS 2, transposee en droit francais, elargit les obligations de cybersecurite a des milliers d’entreprises supplementaires : sous-traitants de secteurs critiques, fournisseurs de services numeriques, acteurs de la sante. Si vous entrez dans le perimetre, vous devez declarer vos incidents cyber et demontrer un plan de resilience. L’assurance cyber vous fournit le cadre technique et juridique pour repondre a ces exigences.
Ce que votre courtier apporte sur un contrat cyber
Le marche de l’assurance cyber est encore jeune. Les contrats sont heterogenes : un meme terme (« perte d’exploitation ») peut recouvrir des realites tres differentes d’un assureur a l’autre. Les exclusions sont nombreuses et parfois enfouies dans les conditions generales.
Un courtier specialise effectue trois missions concretes. Premierement, il cartographie vos risques cyber reels — pas ceux d’un questionnaire standardise. Deuxiemement, il negocie les clauses critiques : delai de carence (vous voulez 8 heures, pas 24), sous-limites (la sous-limite « ransomware » est parfois 10 fois inferieure au plafond global), et perimetre geographique (vos donnees hebergees hors de France sont-elles couvertes ?). Troisiemement, en cas de sinistre, il active la chaine d’assistance : experts forensic, juristes RGPD, cellule de crise — dans les 4 heures, pas dans les 48 heures.
Sur un sinistre cyber moyen, la difference d’indemnisation entre un contrat negocie par un courtier et un contrat souscrit en direct depasse 30 %.
L’essentiel a retenir
- 43 % des cyberattaques ciblent des PME de moins de 250 salaries
- Cout moyen d’une attaque pour une PME : plus de 50 000 euros
- Prime annuelle : de 500 euros (TPE) a plus de 15 000 euros (ETI)
- RGPD et NIS 2 renforcent les obligations legales des dirigeants
- Un courtier negocie delai de carence, sous-limites et perimetre — les trois points ou les contrats divergent le plus
Le conseil de l’expert
Avant de souscrire, faites realiser un audit de maturite cyber. Les assureurs proposent de plus en plus des questionnaires detailles (parfois 80 a 120 questions). Un audit prealable vous permet de corriger les failles les plus flagrantes — et d’obtenir un meilleur tarif. J’ai vu des PME diviser leur prime par deux simplement en mettant en place l’authentification multifacteur (MFA) et un plan de sauvegarde teste. Ce sont les deux criteres qui pesent le plus dans la tarification cyber actuelle.
Questions frequentes sur l’assurance cyber
Mon assurance RC pro couvre-t-elle les cyberattaques ?
Non. La RC pro couvre les dommages causes a des tiers dans le cadre de votre activite, mais exclut quasi systematiquement les risques cyber. Les frais de restauration de systeme, la notification RGPD et la perte d’exploitation liee a une attaque informatique necessitent un contrat cyber dedie. Consultez notre guide sur la RC pro des professions réglementées pour verifier vos couvertures actuelles.
L’assurance cyber couvre-t-elle le paiement d’une rancon ?
Depuis la loi LOPMI de 2023, le paiement d’une rancon peut etre couvert par l’assureur a condition que vous deposiez plainte dans les 72 heures suivant la decouverte de l’attaque. En pratique, de nombreux assureurs plafonnent cette garantie ou l’excluent. Votre courtier verifie ce point et negocie une couverture explicite si vous le souhaitez.
A partir de quelle taille d’entreprise faut-il souscrire ?
Des la premiere adresse e-mail professionnelle. Un auto-entrepreneur qui perd l’acces a son compte client ou dont le site vitrine est pirate subit un prejudice reel. Les contrats cyber pour TPE demarrent a 500 euros par an avec des plafonds de 100 000 euros — largement suffisants pour couvrir les risques d’une micro-entreprise.
Quels criteres de securite font baisser la prime ?
Les trois criteres les plus impactants en 2026 : l’authentification multifacteur (MFA) sur tous les acces critiques, un plan de sauvegarde teste et fonctionnel (backup 3-2-1), et une formation des collaborateurs a la detection du phishing. Ces trois mesures combinees peuvent reduire votre prime de 25 a 40 %.