Guide approfondi · RC Pro
Assurance cyber risques : protéger son entreprise contre les piratages
Assurance cyber risques : découvrez les garanties, exclusions, prix et démarches pour protéger votre entreprise contre les piratages. Guide expert PME 2025.
Temps de lecture estimé : 11 min · Mis à jour le 15 avril 2026
L'assurance cyber risques couvre remédiation, perte d'exploitation, RC cyber, rançongiciel et frais RGPD.
49 % des entreprises françaises ont subi une cyberattaque en 2023, et seulement 3 % des PME sont assurées.
La RC Pro exclut les événements cyber : un contrat dédié est indispensable en complément.
Prix : de 290 € à 6 000 €/an pour une PME selon son profil et ses mesures de sécurité.
Pourquoi les entreprises françaises sont-elles de plus en plus exposées aux cyberattaques ?
En 2023, 49 % des entreprises françaises ont subi au moins une cyberattaque, soit une hausse de 4 % par rapport à 2022 [1]. L'ANSSI estime que les attaques informatiques ont augmenté de 400 % depuis 2020 sur le territoire national [2]. Derrière ces chiffres, une réalité préoccupante : les TPE, PME et ETI représentent 34 % des attaques recensées, et plus de 330 000 PME ont été ciblées en 2022 selon le cabinet Asterès [1].
Les formes d'attaques se diversifient. Le rançongiciel (ransomware) reste un fléau majeur, avec 144 compromissions signalées à l'ANSSI en 2024 [2]. Les violations de données explosent : 4 668 fuites ont été notifiées à la CNIL en 2023, soit +16 % en un an [1]. L'hameçonnage (phishing) demeure la première menace pour tous les publics selon Cybermalveillance.gouv.fr [3].
Les conséquences financières sont lourdes. Le coût médian d'un incident cyber pour une PME se situe entre 45 000 et 110 000 €, avec 19 à 23 jours d'interruption d'activité. La paralysie d'activité touche 43 % des TPE/PME victimes pendant plus d'une journée. Selon plusieurs experts du secteur, 50 à 60 % des PME victimes d'une cyberattaque majeure fermeraient dans les 18 mois suivant l'incident, même si ce chiffre, souvent repris, reste difficile à vérifier de manière indépendante [4]. Or, seulement 3 % des PME françaises sont aujourd'hui couvertes par une assurance cyber [1].
Qu'est-ce que l'assurance cyber risques et que couvre-t-elle exactement ?
L'assurance cyber risques est un contrat dédié à la protection des entreprises contre les conséquences financières des incidents numériques : piratage, fuite de données, extorsion, fraude informatique. Elle se distingue fondamentalement de la RC Pro (Responsabilité Civile Professionnelle), qui couvre les dommages causés à des tiers dans le cadre de l'activité professionnelle mais exclut, dans la quasi-totalité des cas, les risques cyber.
Par exemple, les conditions générales du contrat Hiscox « Métiers du Conseil » excluent explicitement l'événement Cyber ainsi que la perte de données en l'absence de process de sauvegarde. De même, le contrat AXA « Mon Pack Entrepreneur » exclut les dommages cyber de sa couverture RC Pro. Chez Stello, les exclusions portent sur les risques relevant d'assurances spécifiques, ce qui inclut de fait le risque numérique dédié.
Les 6 garanties fondamentales d'un contrat cyber
| Garantie | Ce qu'elle couvre |
|---|---|
| Remédiation technique | Restauration du système d'information, reconstitution des données, remplacement des logiciels infectés |
| Perte d'exploitation | Indemnisation du chiffre d'affaires perdu pendant l'arrêt d'activité |
| Responsabilité civile cyber | Dommages causés à des tiers (fuite de données clients, propagation de virus) |
| Cyber-extorsion / rançongiciel | Frais liés aux demandes de rançon et négociation |
| Frais RGPD / CNIL | Notification aux personnes concernées, frais juridiques, sanctions potentielles (jusqu'à 4 % du CA ou 20 M€) |
| Gestion de crise 24h/24 | Assistance par des experts en cybersécurité, communication de crise, gestion de l'image |
Certains assureurs proposent en option une garantie cyber-fraude / détournement de fonds (par exemple AXA Cyber Protect). La complémentarité avec la RC Pro est essentielle : la RC Pro protège contre les erreurs professionnelles causant un préjudice à un tiers, mais ne couvre ni les pertes d'exploitation internes, ni la remédiation technique, ni l'assistance RGPD. Pour comprendre l'ensemble des garanties professionnelles disponibles et choisir la couverture adaptée à votre activité, consultez notre guide complet sur la RC Pro.
Quelles sont les exclusions et conditions à connaître avant de souscrire ?
Avant de signer un contrat d'assurance cyber, il est crucial de comprendre ses limites. Voici les principales exclusions et obligations :
- Attaques étatiques (Nation-State) : depuis 2023, la majorité des assureurs (dont Lloyd's of London) excluent les cyberattaques parrainées par des États, même en temps de paix [5].
- Négligences caractérisées : absence de MFA (authentification multifacteur), pas de sauvegardes chiffrées, mises à jour non appliquées depuis plus de 30 jours, absence de plan de réponse aux incidents. Environ 60 % des PME seraient refusées à la souscription sans preuves de ces mesures [5].
- Obligation LOPMI : depuis 2023, l'entreprise victime doit déposer plainte dans les 72 heures suivant la découverte de l'attaque pour pouvoir bénéficier de l'indemnisation de son assureur.
- Obligation RGPD : la CNIL doit être notifiée dans les 72 heures suivant la découverte d'une violation de données personnelles.
- Dommages physiques liés à une cyberattaque : non couverts par les contrats cyber.
L'ACPR a d'ailleurs appelé les assureurs à clarifier les garanties implicites (ou « silencieuses ») dans les contrats, c'est-à-dire des couvertures cyber non identifiées clairement qui créent une incertitude sur l'étendue réelle de la protection [6]. L'EIOPA a publié en 2022 un Supervisory Statement allant dans le même sens au niveau européen [7].
Quel est le prix d'une assurance cyber pour une PME en France ?
Le coût d'une assurance cyber risques varie considérablement selon le profil de l'entreprise. Voici des repères tarifaires actualisés :
| Profil d'entreprise | Fourchette de prime annuelle |
|---|---|
| TPE peu exposée (MFA + sauvegardes en place) | 290 € à 1 500 €/an |
| PME sensible (santé, SaaS, retail, données personnelles) | 1 500 € à 6 000 €/an |
| Fourchette générale toutes tailles | 200 € à 10 000 €/an |
La prime moyenne pour une PME se situe aux alentours de 5 400 €/an [8]. Les primes ont baissé d'environ 5 % depuis 2024 pour les entreprises disposant de MFA et d'un EDR (Endpoint Detection and Response) [5].
Franchise et plafonds : l'arbitrage clé
La franchise (somme restant à la charge de l'entreprise par sinistre) se situe typiquement entre 2 500 € et 10 000 €. Une franchise basse (2 500 €) réduit le risque financier immédiat mais augmente la prime de 20 à 40 %. À l'inverse, une franchise haute (10 000 €) diminue la cotisation mais expose davantage la trésorerie en cas d'incident.
Les plafonds de garantie recommandés vont de 100 000 € à 5 M€ selon le chiffre d'affaires. Les plafonds de 1 à 5 M€ couvrent 90 % des sinistres PME.
Bonne nouvelle : la conformité aux référentiels NIS2 et ANSSI permet d'obtenir des réductions de primes de 15 à 40 % [1].
Comment choisir son assurance cyber et quelles démarches suivre ?
Voici une méthode en 5 étapes pour souscrire intelligemment :
- Auditer sa maturité cyber : vérifiez la présence de MFA, de sauvegardes chiffrées, de mises à jour régulières et d'un plan de réponse aux incidents testé. Sans ces prérequis, la plupart des assureurs refuseront votre dossier.
- Identifier les 5 garanties indispensables : perte d'exploitation, remédiation technique, RC cyber, assistance RGPD et gestion de crise 24h/24.
- Comparer les offres via l'IPID et les Conditions Générales : ne vous fiez pas uniquement au prix. Analysez les exclusions, franchises et plafonds. Parmi les acteurs du marché : AXA Cyber Protect, Hiscox CyberClear, Allianz, Stoik, Dattak [1].
- Faire appel à un courtier spécialisé : des acteurs comme Stoik, Marsh, RESCO Courtage ou Finlex peuvent négocier des conditions adaptées à votre profil.
- Adapter la franchise à votre trésorerie : si votre entreprise peut absorber 10 000 € sans difficulté, optez pour une franchise haute afin de réduire la prime annuelle.
Point réglementaire important : la directive NIS2 élargit les obligations de cybersécurité aux PME fournisseurs de secteurs critiques (énergie, santé, transports). Les premiers contrôles de l'ANSSI sont attendus fin 2026, avec des sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial pour les entités essentielles [2].
Conclusion
L'assurance cyber risques n'est plus un luxe réservé aux grandes entreprises : c'est un filet de sécurité indispensable pour toute PME connectée. Face à la multiplication des piratages, des rançongiciels et des violations de données, la combinaison d'une bonne hygiène numérique et d'un contrat cyber adapté constitue la meilleure protection. Rappelons que la RC Pro, aussi complète soit-elle, ne couvre pas les risques numériques spécifiques.
Chez AssurancesLabs, nous aidons les professionnels à comprendre, comparer et choisir leurs assurances en toute transparence. Nos guides complets et nos comparatifs vous permettent de naviguer dans l'univers de l'assurance avec des informations pédagogiques et objectives, pour prendre les meilleures décisions en matière de couverture.
Références
- Le Nouvel Économiste, « Les PME mal assurées face au risque cyber »
- ANSSI, Panorama de la cybermenace 2024 (CERTFR-2025-CTI-003)
- Cybermalveillance.gouv.fr, Rapport d'activité 2024
- LeMagIT, « Combien de PME mettent la clé sous la porte après une cyberattaque ? »
- MyBusinessFuture, « Assurance cyber pour les PME : ce qui est réellement couvert »
- ACPR, « L'ACPR appelle les assureurs à clarifier la couverture du risque cyber », mars 2024
- ACPR / EIOPA, « Garanties implicites : couverture du risque cyber », septembre 2022
- LeComparateurAssurance, « Prix assurance cyber-risques »
Pour aller plus loin
Questions fréquentes
- L'assurance cyber est-elle obligatoire pour les entreprises françaises ?
- Non, l'assurance cyber n'est pas obligatoire en France à ce jour. Toutefois, la directive NIS2, en cours de transposition, impose des obligations de cybersécurité renforcées aux entreprises de secteurs critiques et à leurs fournisseurs. Ne pas être assuré expose l'entreprise à supporter seule le coût d'un incident, qui peut dépasser 100 000 € pour une PME.
- La RC Pro couvre-t-elle les cyberattaques ?
- Dans la grande majorité des cas, non. Les contrats RC Pro standards (Hiscox, AXA, Stello, MAAF) excluent explicitement les événements cyber, la perte de données sans sauvegarde ou les dommages numériques. L'assurance cyber vient en complément indispensable de la RC Pro pour une couverture complète des risques numériques.
- Que se passe-t-il si je ne dépose pas plainte dans les 72h après une cyberattaque ?
- Depuis la loi LOPMI , le dépôt de plainte dans les 72 heures est une condition pour bénéficier de l'indemnisation de votre assureur. Sans cette démarche, votre contrat cyber ne pourra pas être activé, même si vous êtes couvert.
- Quelles conditions dois-je remplir pour être éligible à une assurance cyber ?
- Les assureurs exigent généralement la mise en place de mesures de sécurité minimales : MFA sur les accès critiques, sauvegardes chiffrées régulières, mises à jour appliquées sous 30 jours et un plan de réponse aux incidents documenté. Sans ces prérequis, environ 60 % des PME voient leur demande refusée [5].
Méthode et sources
Méthodologie éditoriale AssurancesLabs : pas de promesse de taux sans devis ; priorité aux sources vérifiables (IPID, conditions générales, autorités).
Sources
IPID lorsque disponibles et validées, documentation interne data/assurances, sites institutionnels.
Version
Documents et données 2026
Relecture
Rédaction AssurancesLabs
Avertissement : certains chiffres présentés sur cette page sont des ordres de grandeur utilisés à des fins pédagogiques. Ils peuvent être inexacts. Pour obtenir une estimation fiable, faites une simulation ou demandez un devis auprès d'un assureur.