L'assurance cyber est-elle obligatoire pour les TPE et PME ?

Non, l' assurance cyber n'est pas obligatoire en France pour les TPE et PME. Toutefois, les obligations du RGPD en matière de protection des données et les exigences croissantes de la directive NIS 2 rendent cette couverture fortement recommandée. De plus, certains donneurs d'ordre (grands groupes, administrations) exigent désormais de leurs sous-traitants qu'ils disposent d'une assurance cyber [1].

L'assurance cyber couvre-t-elle les amendes RGPD infligées par la CNIL ?

Non. Les amendes administratives prononcées par la CNIL sont considérées comme des sanctions de nature quasi pénale et sont inassurables en droit français (article L.113-1 du Code des assurances) [9]. En revanche, l'assurance prend en charge les frais de défense juridique , les coûts de notification aux personnes concernées et l' accompagnement en gestion de crise . Chez Hiscox, la garantie "enquêtes et sanctions" couvre les frais de défense et les amendes légalement assurables.

Quelle est la différence entre une assurance multirisque professionnelle et une assurance cyber ?

L' assurance multirisque professionnelle (MRP) couvre les dommages matériels classiques (incendie, dégât des eaux, vol physique) mais exclut généralement les risques cyber : attaques informatiques, vol de données, pertes d'exploitation liées à un incident numérique. L'assurance cyber est un contrat spécifique qui prend en charge la remédiation technique, la notification RGPD, la responsabilité civile cyber et la gestion de crise. Les deux contrats sont complémentaires.

Quelles conditions faut-il remplir pour être éligible à une assurance cyber ?

Les assureurs exigent un socle minimal de cybersécurité : activation de la MFA, sauvegardes isolées et testées, mises à jour régulières et sensibilisation des équipes au phishing. Un audit préalable (proposé gratuitement par Cybermalveillance.gouv.fr ) permet d'identifier les lacunes et d'améliorer ses conditions de souscription [7]. Le non-respect de ces prérequis peut entraîner un refus de couverture ou des exclusions importantes.

Assurance cyber pour TPE et PME : se protéger face aux cyberattaques (RGPD)

En 2024, 1 TPE/PME sur 2 a subi une cyberattaque, pour un coût moyen de 14 720 €. Moins de 3 % des PME disposent d'une assurance cyber dédiée. Le RGPD impose une notification à la CNIL sous 72 h, avec des sanctions pouvant atteindre 4 % du CA. Un contrat cyber coûte entre 1 000 et 1 500 €/an et couvre pertes d'exploitation, remédiation technique et assistance juridique.

TPE/PME : une cible prioritaire des cyberattaques en 2024-2025

Le constat est sans appel : en 2024, une TPE/PME sur deux a subi une cyberattaque [1]. Selon le Panorama de la cybermenace 2024 publié par l'ANSSI, l'agence a traité 4 386 événements de sécurité (soit +15 % par rapport à 2023), dont 37 % touchant les TPE, PME et ETI [2]. Les petites entreprises ne sont plus des cibles secondaires : elles représentent le premier segment visé par les cybercriminels, devant les collectivités territoriales (17 %) et les établissements d'enseignement supérieur (12 %) [3].

Les conséquences financières sont lourdes. Le rapport Hiscox 2023 évalue le coût moyen d'une cyberattaque à 14 720 €, un montant pouvant grimper jusqu'à 58 600 € lorsqu'une rançon est exigée. Plus alarmant encore : entre 50 et 60 % des PME victimes d'une attaque cessent leur activité dans les 6 à 18 mois suivant l'incident [4]. Ce chiffre, bien que discuté dans sa méthodologie exacte, reflète une réalité documentée par plusieurs acteurs du secteur [5].

Face à cette menace croissante, le taux de couverture reste dramatiquement bas. En 2023, moins de 3 % des PME françaises étaient protégées par une assurance cyber dédiée [6]. Un paradoxe quand on sait que le coût annuel d'un tel contrat se situe entre 1 000 et 1 500 €/an pour 90 % des TPE/PME [6], soit moins de 130 € par mois, à comparer aux dizaines de milliers d'euros que peut coûter un sinistre cyber.

Le baromètre 2025 de Cybermalveillance.gouv.fr confirme cette prise de conscience tardive : 44 % des dirigeants de TPE/PME se sentent désormais fortement exposés (contre 38 % en 2024), et pourtant 80 % reconnaissent ne pas être prêts face à une attaque [7]. Pour aller plus loin sur l'ensemble des cyber-risques auxquels les entreprises sont exposées, consultez notre guide complet sur l'assurance cyber.

RGPD et NIS 2 : les obligations légales qui renforcent la nécessité d'une assurance cyber pour TPE et PME

L'assurance cyber pour TPE et PME ne répond pas uniquement à un risque financier : elle constitue aussi un levier de conformité réglementaire. Le cadre juridique européen et français impose en effet des obligations strictes en matière de protection des données et de gestion des incidents.

Le RGPD : notification, transparence et sanctions

Le Règlement général sur la protection des données (RGPD) oblige toute entreprise victime d'une violation de données personnelles à notifier la CNIL dans les 72 heures suivant la découverte de l'incident [8]. Si le risque pour les personnes concernées est élevé, l'entreprise doit également les informer individuellement. En 2023, 4 668 fuites de données ont été notifiées à la CNIL, soit 13 par jour (+16 % par rapport à 2022).

Les sanctions en cas de manquement peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu [8]. Un risque considérable, même pour une petite structure.

La directive NIS 2 : de nouvelles obligations pour les PME

La directive européenne NIS 2, en cours de transposition en droit français, élargit le périmètre des entreprises soumises à des exigences renforcées de cybersécurité. Les PME opérant dans des secteurs critiques (santé, transport, numérique, énergie) doivent désormais mettre en place une analyse de risques, une politique de gestion des vulnérabilités et un signalement d'incident sous 24 heures [10].

Ce que l'assurance couvre (et ne couvre pas) sur le plan réglementaire

Point essentiel à comprendre : les amendes CNIL directes ne sont pas assurables en droit français. L'article L.113-1 du Code des assurances exclut la couverture des sanctions de nature quasi pénale [9]. En revanche, une assurance cyber prend en charge les frais de notification, la défense juridique et l'accompagnement en gestion de crise. Selon nos données internes, AXA inclut la garantie vol_donnees_notification (frais de notification à la CNIL et aux personnes concernées), tandis que Hiscox couvre les enquêtes et sanctions (frais de défense et amendes légalement assurables).

Les 5 garanties indispensables d'une assurance cyber pour TPE et PME

Toutes les assurances cyber ne se valent pas. Voici les cinq garanties clés à vérifier avant de souscrire, illustrées par les offres réelles des assureurs référencés sur AssurancesLabs.

1. Perte d'exploitation

Cette garantie compense le chiffre d'affaires perdu pendant la période d'interruption ou de réduction d'activité consécutive à l'attaque. Chez AXA, la couverture des pertes d'exploitation (perte de marge brute et frais supplémentaires) est incluse par défaut. Chez Allianz, cette garantie est proposée en option.

2. Remédiation technique

Elle couvre l'intervention d'experts forensic, la restauration des systèmes d'information et la reconstitution des données. Allianz inclut les "frais engagés et pertes subies" (nettoyage, reconstitution, experts informatiques). AXA prend en charge l'"atteinte au système et aux données" (remise en état du SI et reconstitution des données).

3. Assistance RGPD et notification

Cette garantie finance les frais de notification à la CNIL, la communication aux personnes concernées (environ 7 € par donnée en moyenne [9]) et l'accompagnement juridique. AXA inclut cette couverture (vol_donnees_notification). Hiscox intègre la prise en charge des enquêtes et sanctions réglementaires.

4. Responsabilité civile cyber

Elle indemnise les tiers victimes de dommages liés à l'attaque : clients dont les données ont fuité, partenaires affectés par la propagation d'un virus, etc. Allianz et Hiscox incluent cette garantie par défaut (dommages aux tiers, atteinte à la sécurité et à la confidentialité). Chez AXA, la responsabilité civile est proposée en option.

5. Cellule de crise 24/7

L'accès à une hotline d'urgence avec des experts mobilisables immédiatement (IT, juridique, communication) est crucial dans les premières heures d'un incident. AXA inclut la gestion de crise majeure (conseil en communication, plateforme téléphonique). Hiscox propose une assistance intégrée au contrat.

Garanties complémentaires à vérifier

Cyber-extorsion / rançon : inclus chez Hiscox, à vérifier chez les autres assureurs
Cyber-fraude : optionnel chez Hiscox (plafond maximum de 250 000 €)
Atteinte à l'e-réputation : inclus chez AXA
Détournement de fonds : inclus chez AXA (cyber_detournement_fonds)

Tableau comparatif des garanties par assureur

Garantie	Allianz	AXA	Hiscox
Perte d'exploitation	Optionnel	Inclus	Sur demande
Remédiation technique	Inclus	Inclus	Inclus
Notification RGPD	Inclus	Inclus	Inclus
RC Cyber (tiers)	Inclus	Optionnel	Inclus
Cellule de crise 24/7	Inclus	Inclus	Inclus
Cyber-extorsion	Inclus	Non précisé	Inclus
Cyber-fraude	Non précisé	Non précisé	Optionnel (250 000 €)

Source : données internes AssurancesLabs. Les garanties peuvent varier selon les formules et options choisies.

Ce que l'assurance cyber NE couvre PAS

Les amendes CNIL directes (sanctions administratives non assurables) [9]
Les actes intentionnels ou la négligence grave
Les attaques sur des systèmes non maintenus à jour
Les sinistres en cas d'absence de mesures préventives minimales (MFA, sauvegardes, antivirus)

Comment choisir son assurance cyber : critères, tarifs et conditions d'éligibilité

Souscrire une assurance cyber pour TPE et PME ne se résume pas à comparer des tarifs. Voici les critères essentiels pour faire le bon choix.

Un tarif accessible, un retour sur investissement évident

Le coût annuel d'un contrat d'assurance cyber se situe entre 1 000 et 1 500 €/an pour 90 % des TPE/PME [6], soit moins de 130 € par mois. À mettre en perspective avec le coût moyen d'une attaque (14 720 €, voire 58 600 € avec rançon). L'assurance cyber est l'un des investissements les plus rentables en matière de gestion des risques.

Les prérequis techniques exigés par les assureurs

Les assureurs conditionnent de plus en plus l'acceptation du risque à un niveau minimal de maturité en cybersécurité :

MFA (authentification multifactorielle) activée sur tous les accès critiques
Sauvegardes isolées et testées régulièrement (hors réseau principal)
Mises à jour régulières des systèmes, logiciels et équipements de sécurité
Formations anti-phishing des collaborateurs
Tendance 2026 : la présence d'un Micro-SOC ou d'une surveillance en temps réel est de plus en plus demandée

Sans ces mesures, les assureurs peuvent refuser le contrat ou appliquer des exclusions significatives [9].

Les pièges à éviter

Ne pas confondre multirisque professionnelle et assurance cyber : la première exclut généralement les cyber-risques. Vérifiez systématiquement les exclusions de votre contrat actuel.
Comparer les plafonds de garantie et les délais de carence, pas seulement la prime annuelle.
Vérifier la réactivité de la hotline : un temps de réponse en heures (et non en jours) est indispensable lors d'une attaque par rançongiciel.
Réaliser un audit cybersécurité avant souscription : le site Cybermalveillance.gouv.fr propose des diagnostics gratuits pour les TPE/PME [7].

Rappelons un principe fondamental : l'assurance complète la cybersécurité, elle ne la remplace pas. Un contrat d'assurance cyber ne dispensera jamais une entreprise de mettre en place les mesures préventives de base.

Conclusion : l'assurance cyber, un investissement stratégique pour les TPE et PME

Face à une menace cyber en constante progression et à un cadre réglementaire de plus en plus exigeant (RGPD, NIS 2), l'assurance cyber n'est plus un luxe réservé aux grandes entreprises. Pour un budget de 1 000 à 1 500 €/an, elle offre un filet de sécurité financier et juridique indispensable, couvrant la perte d'exploitation, la remédiation technique, la notification RGPD et la responsabilité civile envers les tiers.

Cependant, souscrire ne suffit pas : il est essentiel de comparer les garanties réelles (pas seulement les primes), de vérifier les conditions d'éligibilité et de maintenir un niveau de cybersécurité conforme aux exigences des assureurs. L'assurance complète la prévention, elle ne s'y substitue jamais.

Chez AssurancesLabs, nous aidons les professionnels à comprendre, comparer et choisir leurs assurances en France. Nos guides complets, comparatifs et conseils d'experts vous accompagnent pour naviguer dans un marché en pleine évolution, avec un engagement constant : un contenu pédagogique et transparent pour prendre les meilleures décisions en matière de couverture.