L'assurance cyber risques couvre remédiation, perte d'exploitation, RC cyber, rançongiciel et frais RGPD.
49 % des entreprises françaises ont subi une cyberattaque en 2023, et seulement 3 % des PME sont assurées.
La RC Pro exclut les événements cyber : un contrat dédié est indispensable en complément.
Prix : de 290 € à 6 000 €/an pour une PME selon son profil et ses mesures de sécurité.
Pourquoi les entreprises françaises sont-elles de plus en plus exposées aux cyberattaques ?
En 2023, 49 % des entreprises françaises ont subi au moins une cyberattaque, soit une hausse de 4 % par rapport à 2022 [1]. L'ANSSI estime que les attaques informatiques ont augmenté de 400 % depuis 2020 sur le territoire national [2]. Derrière ces chiffres, une réalité préoccupante : les TPE, PME et ETI représentent 34 % des attaques recensées, et plus de 330 000 PME ont été ciblées en 2022 selon le cabinet Asterès [1].
Les formes d'attaques se diversifient. Le rançongiciel (ransomware) reste un fléau majeur, avec 144 compromissions signalées à l'ANSSI en 2024 [2]. Les violations de données explosent : 4 668 fuites ont été notifiées à la CNIL en 2023, soit +16 % en un an [1]. L'hameçonnage (phishing) demeure la première menace pour tous les publics selon Cybermalveillance.gouv.fr [3].
Les conséquences financières sont lourdes. Le coût médian d'un incident cyber pour une PME se situe entre 45 000 et 110 000 €, avec 19 à 23 jours d'interruption d'activité. La paralysie d'activité touche 43 % des TPE/PME victimes pendant plus d'une journée. Selon plusieurs experts du secteur, 50 à 60 % des PME victimes d'une cyberattaque majeure fermeraient dans les 18 mois suivant l'incident, même si ce chiffre, souvent repris, reste difficile à vérifier de manière indépendante [4]. Or, seulement 3 % des PME françaises sont aujourd'hui couvertes par une assurance cyber [1].
Qu'est-ce que l'assurance cyber risques et que couvre-t-elle exactement ?
L'assurance cyber risques est un contrat dédié à la protection des entreprises contre les conséquences financières des incidents numériques : piratage, fuite de données, extorsion, fraude informatique. Elle se distingue fondamentalement de la RC Pro (Responsabilité Civile Professionnelle), qui couvre les dommages causés à des tiers dans le cadre de l'activité professionnelle mais exclut, dans la quasi-totalité des cas, les risques cyber.
Par exemple, les conditions générales du contrat Hiscox « Métiers du Conseil » excluent explicitement l'événement Cyber ainsi que la perte de données en l'absence de process de sauvegarde. De même, le contrat AXA « Mon Pack Entrepreneur » exclut les dommages cyber de sa couverture RC Pro. Chez Stello, les exclusions portent sur les risques relevant d'assurances spécifiques, ce qui inclut de fait le risque numérique dédié.
Les 6 garanties fondamentales d'un contrat cyber
| Garantie | Ce qu'elle couvre |
|---|---|
| Remédiation technique | Restauration du système d'information, reconstitution des données, remplacement des logiciels infectés |
| Perte d'exploitation | Indemnisation du chiffre d'affaires perdu pendant l'arrêt d'activité |
| Responsabilité civile cyber | Dommages causés à des tiers (fuite de données clients, propagation de virus) |
| Cyber-extorsion / rançongiciel | Frais liés aux demandes de rançon et négociation |
| Frais RGPD / CNIL | Notification aux personnes concernées, frais juridiques, sanctions potentielles (jusqu'à 4 % du CA ou 20 M€) |
| Gestion de crise 24h/24 | Assistance par des experts en cybersécurité, communication de crise, gestion de l'image |
Certains assureurs proposent en option une garantie cyber-fraude / détournement de fonds (par exemple AXA Cyber Protect). La complémentarité avec la RC Pro est essentielle : la RC Pro protège contre les erreurs professionnelles causant un préjudice à un tiers, mais ne couvre ni les pertes d'exploitation internes, ni la remédiation technique, ni l'assistance RGPD. Pour comprendre l'ensemble des garanties professionnelles disponibles et choisir la couverture adaptée à votre activité, consultez notre guide complet sur la RC Pro.
Quelles sont les exclusions et conditions à connaître avant de souscrire ?
Avant de signer un contrat d'assurance cyber, il est crucial de comprendre ses limites. Voici les principales exclusions et obligations :
- Attaques étatiques (Nation-State) : depuis 2023, la majorité des assureurs (dont Lloyd's of London) excluent les cyberattaques parrainées par des États, même en temps de paix [5].
- Négligences caractérisées : absence de MFA (authentification multifacteur), pas de sauvegardes chiffrées, mises à jour non appliquées depuis plus de 30 jours, absence de plan de réponse aux incidents. Environ 60 % des PME seraient refusées à la souscription sans preuves de ces mesures [5].
- Obligation LOPMI : depuis 2023, l'entreprise victime doit déposer plainte dans les 72 heures suivant la découverte de l'attaque pour pouvoir bénéficier de l'indemnisation de son assureur.
- Obligation RGPD : la CNIL doit être notifiée dans les 72 heures suivant la découverte d'une violation de données personnelles.
- Dommages physiques liés à une cyberattaque : non couverts par les contrats cyber.
L'ACPR a d'ailleurs appelé les assureurs à clarifier les garanties implicites (ou « silencieuses ») dans les contrats, c'est-à-dire des couvertures cyber non identifiées clairement qui créent une incertitude sur l'étendue réelle de la protection [6]. L'EIOPA a publié en 2022 un Supervisory Statement allant dans le même sens au niveau européen [7].
Quel est le prix d'une assurance cyber pour une PME en France ?
Le coût d'une assurance cyber risques varie considérablement selon le profil de l'entreprise. Voici des repères tarifaires actualisés :
| Profil d'entreprise | Fourchette de prime annuelle |
|---|---|
| TPE peu exposée (MFA + sauvegardes en place) | 290 € à 1 500 €/an |
| PME sensible (santé, SaaS, retail, données personnelles) | 1 500 € à 6 000 €/an |
| Fourchette générale toutes tailles | 200 € à 10 000 €/an |
La prime moyenne pour une PME se situe aux alentours de 5 400 €/an [8]. Les primes ont baissé d'environ 5 % depuis 2024 pour les entreprises disposant de MFA et d'un EDR (Endpoint Detection and Response) [5].
Franchise et plafonds : l'arbitrage clé
La franchise (somme restant à la charge de l'entreprise par sinistre) se situe typiquement entre 2 500 € et 10 000 €. Une franchise basse (2 500 €) réduit le risque financier immédiat mais augmente la prime de 20 à 40 %. À l'inverse, une franchise haute (10 000 €) diminue la cotisation mais expose davantage la trésorerie en cas d'incident.
Les plafonds de garantie recommandés vont de 100 000 € à 5 M€ selon le chiffre d'affaires. Les plafonds de 1 à 5 M€ couvrent 90 % des sinistres PME.
Bonne nouvelle : la conformité aux référentiels NIS2 et ANSSI permet d'obtenir des réductions de primes de 15 à 40 % [1].
Comment choisir son assurance cyber et quelles démarches suivre ?
Voici une méthode en 5 étapes pour souscrire intelligemment :
- Auditer sa maturité cyber : vérifiez la présence de MFA, de sauvegardes chiffrées, de mises à jour régulières et d'un plan de réponse aux incidents testé. Sans ces prérequis, la plupart des assureurs refuseront votre dossier.
- Identifier les 5 garanties indispensables : perte d'exploitation, remédiation technique, RC cyber, assistance RGPD et gestion de crise 24h/24.
- Comparer les offres via l'document contractuel et les Conditions Générales : ne vous fiez pas uniquement au prix. Analysez les exclusions, franchises et plafonds. Parmi les acteurs du marché : AXA Cyber Protect, Hiscox CyberClear, Allianz, Stoik, Dattak [1].
- Faire appel à un courtier spécialisé : des acteurs comme Stoik, Marsh, RESCO Courtage ou Finlex peuvent négocier des conditions adaptées à votre profil.
- Adapter la franchise à votre trésorerie : si votre entreprise peut absorber 10 000 € sans difficulté, optez pour une franchise haute afin de réduire la prime annuelle.
Point réglementaire important : la directive NIS2 élargit les obligations de cybersécurité aux PME fournisseurs de secteurs critiques (énergie, santé, transports). Les premiers contrôles de l'ANSSI sont attendus fin 2026, avec des sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial pour les entités essentielles [2].
Conclusion
L'assurance cyber risques n'est plus un luxe réservé aux grandes entreprises : c'est un filet de sécurité indispensable pour toute PME connectée. Face à la multiplication des piratages, des rançongiciels et des violations de données, la combinaison d'une bonne hygiène numérique et d'un contrat cyber adapté constitue la meilleure protection. Rappelons que la RC Pro, aussi complète soit-elle, ne couvre pas les risques numériques spécifiques.
Chez AssurancesLabs, nous aidons les professionnels à comprendre, comparer et choisir leurs assurances en toute transparence. Nos guides complets et nos comparatifs vous permettent de naviguer dans l'univers de l'assurance avec des informations pédagogiques et objectives, pour prendre les meilleures décisions en matière de couverture.
Références
- Le Nouvel Économiste, « Les PME mal assurées face au risque cyber »
- ANSSI, Panorama de la cybermenace 2024 (CERTFR-2025-CTI-003)
- Cybermalveillance.gouv.fr, Rapport d'activité 2024
- LeMagIT, « Combien de PME mettent la clé sous la porte après une cyberattaque ? »
- MyBusinessFuture, « Assurance cyber pour les PME : ce qui est réellement couvert »
- ACPR, « L'ACPR appelle les assureurs à clarifier la couverture du risque cyber », mars 2024
- ACPR / EIOPA, « Garanties implicites : couverture du risque cyber », septembre 2022
- LeComparateurAssurance, « Prix assurance cyber-risques »
Points clés des contrats - RC Pro
Synthèse issue des documents contractuels publiés par les assureurs. 6 contrats affichés sur 9 disponibles dans notre base.
Analyse des contrats - RC Pro
Détail des garanties et points clés des contrats analysés, complémentaires du classement par score.
Allianz
Points clés du contrat
Exclusions principales
- entreprises exerçant une activité dans les secteurs de la construction, de l’aviation ou du spatial
- entreprises exclusivement prestataires de services
- responsabilité civile décennale des constructeurs d’ouvrage
Version documentaire analysée : 2018.
April
Points clés du contrat
Exclusions principales
- violation délibérée des règles de l’art ou travaux exécutés malgré les réserves d’un maître d’œuvre, bureau d’études ou organisme de contrôle technique
- contestation sur le prix de vente des produits, travaux ou prestations facturés
- conséquences pécuniaires d’engagements contractuels excédant le droit en vigueur et les usages de la profession
Version documentaire analysée : 2019.
AXA
Points clés du contrat
Exclusions principales
- dommages de guerre civile ou étrangère
- sanctions pénales et amendes
- dommages survenus avant la souscription
Version documentaire analysée : 2024.
Hiscox
Points clés du contrat
Version documentaire analysée : 2022.
MAAF
Points clés du contrat
Exclusions principales
- faute intentionnelle ou dolosive de l'assuré ou avec sa complicité
- dommages et réclamations liés à l'amiante
- dommages directs ou indirects liés à une épidémie, pandémie ou une épizootie
Version documentaire analysée : 2024.
MACSF
Points clés du contrat
Exclusions principales
- actes professionnels non autorisés
- missions de mandataire social
- paiement des amendes de toute nature
Version documentaire analysée : 2023.
Pour aller plus loin
Guide complet - RC Pro
Guides du même thème
Pages connexes
Sujets voisins
Questions fréquentes
- L'assurance cyber est-elle obligatoire pour les entreprises françaises ?
- Non, l'assurance cyber n'est pas obligatoire en France à ce jour. Toutefois, la directive NIS2, en cours de transposition, impose des obligations de cybersécurité renforcées aux entreprises de secteurs critiques et à leurs fournisseurs. Ne pas être assuré expose l'entreprise à supporter seule le coût d'un incident, qui peut dépasser 100 000 € pour une PME.
- La RC Pro couvre-t-elle les cyberattaques ?
- Dans la grande majorité des cas, non. Les contrats RC Pro standards (Hiscox, AXA, Stello, MAAF) excluent explicitement les événements cyber, la perte de données sans sauvegarde ou les dommages numériques. L'assurance cyber vient en complément indispensable de la RC Pro pour une couverture complète des risques numériques.
- Que se passe-t-il si je ne dépose pas plainte dans les 72h après une cyberattaque ?
- Depuis la loi LOPMI , le dépôt de plainte dans les 72 heures est une condition pour bénéficier de l'indemnisation de votre assureur. Sans cette démarche, votre contrat cyber ne pourra pas être activé, même si vous êtes couvert.
- Quelles conditions dois-je remplir pour être éligible à une assurance cyber ?
- Les assureurs exigent généralement la mise en place de mesures de sécurité minimales : MFA sur les accès critiques, sauvegardes chiffrées régulières, mises à jour appliquées sous 30 jours et un plan de réponse aux incidents documenté. Sans ces prérequis, environ 60 % des PME voient leur demande refusée [5].
Méthode et sources
Méthodologie éditoriale AssurancesLabs : pas de promesse de taux sans devis ; priorité aux sources vérifiables (documents contractuels, conditions générales, autorités).
Sources
Documents contractuels lorsque disponibles, documentation AssurancesLabs, sites institutionnels.
Version
Documents et données 2026
Relecture
Rédaction AssurancesLabs
Avertissement : certains chiffres présentés sur cette page sont des ordres de grandeur utilisés à des fins pédagogiques. Ils peuvent être inexacts. Pour obtenir une estimation fiable, faites une simulation ou demandez un devis auprès d'un assureur.