France Épargne Logo
Assurance Professionnelle

Cyber Assurance Entreprise

Protégez votre activité contre les cyberattaques avec une couverture complète : ransomware, perte d'exploitation, responsabilité civile données et gestion de crise 24/7

Demander un devisNous appeler
Conseil personnalisé
Sans engagement
Réponse sous 6h

Pourquoi la cyber assurance est devenue indispensable en 2026

En 2024, 47 % des entreprises françaises ont subi au moins une cyberattaque majeure. Le nombre de violations de données notifiées à la CNIL a bondi de 20 %, atteignant 5 629 signalements sur l'année. Ces chiffres ne reflètent que la partie visible : de nombreuses TPE et PME subissent des incidents sans même les déclarer, faute de moyens ou de connaissance des obligations légales.

Le coût moyen d'une cyberattaque pour une PME française atteint 466 000 euros, soit 5 à 10 % de son chiffre d'affaires annuel. La durée médiane d'interruption d'activité après une attaque est de huit jours, une période pendant laquelle l'entreprise ne génère aucun revenu tout en continuant à supporter ses charges fixes. Pour une TPE ou une PME disposant de peu de trésorerie, cette situation peut conduire à la cessation d'activité.

Parallèlement, le cadre réglementaire se durcit considérablement. La directive européenne NIS2, désormais transposée en droit français, élargit les obligations de cybersécurité à des milliers d'entreprises supplémentaires dans 18 secteurs d'activité. Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, avec une responsabilité personnelle des dirigeants en cas de manquement. Le règlement DORA impose des exigences similaires de résilience numérique au secteur financier. Dans ce contexte, la cyber assurance n'est plus un luxe réservé aux grands groupes : elle constitue un filet de sécurité indispensable pour toute entreprise qui dépend de son système d'information.

Pourtant, le taux de couverture reste dramatiquement faible. Si plus de 90 % des grandes entreprises disposent d'une police cyber, seules 1,2 à 3 % des PME et une fraction infime des TPE sont protégées. Le marché français, avec ses 328 millions d'euros de primes en 2023, reste embryonnaire comparé au potentiel réel. France Épargne accompagne les entreprises de toute taille dans le choix d'une couverture cyber adaptée à leur profil de risque, leur budget et leurs obligations réglementaires.

Centre opérationnel de cybersécurité avec écrans de monitoring et équipe d'analystes en action
47 % des entreprises françaises ont subi au moins une cyberattaque majeure en 2024

Gestion de crise et assistance 24/7

Mobilisation immédiate d'une cellule de crise composée d'experts en cybersécurité, d'avocats spécialisés et de consultants en communication. Intervention dans les premières heures pour contenir l'attaque et limiter les dégâts.

Perte d'exploitation et interruption d'activité

Indemnisation de la perte de marge brute et des frais supplémentaires d'exploitation engagés pour maintenir ou relancer l'activité. Couverture de la période d'indemnisation de 1 à 3 ans selon les contrats.

Cyber extorsion et ransomware

Prise en charge des frais de négociation, d'intervention technique pour le déchiffrement des données et, selon les contrats, du montant de la rançon. Couverture conditionnée au dépôt de plainte sous 72 heures (loi LOPMI).

Responsabilité civile cyber

Protection contre les réclamations de tiers dont les données personnelles ou confidentielles ont été compromises. Couverture des frais de défense juridique et des dommages et intérêts prononcés par les tribunaux.

Notification et conformité RGPD

Prise en charge des coûts de notification à la CNIL et aux personnes concernées dans le délai légal de 72 heures. Accompagnement par des experts en protection des données pour respecter toutes les obligations réglementaires.

Restauration des systèmes et données

Couverture des frais de reconstitution des données perdues ou corrompues, de nettoyage des systèmes infectés et de remise en état de l'infrastructure informatique après un sinistre cyber.

Les menaces cyber qui pèsent sur les entreprises françaises

Le paysage des cybermenaces évolue à une vitesse vertigineuse. En 2026, l'intelligence artificielle transforme à la fois les capacités offensives des attaquants et les outils de défense des entreprises. Comprendre ces menaces permet de dimensionner correctement sa couverture d'assurance.

Le ransomware : la menace numéro un

Les rançongiciels représentent environ 75 % des intrusions à but lucratif signalées aux autorités. En 2024, l'ANSSI a recensé 144 compromissions par ransomware. Le mode opératoire est redoutable : les attaquants chiffrent les données de l'entreprise et exigent une rançon, souvent en cryptomonnaie, pour fournir la clé de déchiffrement. Les montants demandés varient de quelques milliers d'euros pour une TPE à plusieurs millions pour une grande entreprise.

Depuis la loi LOPMI de janvier 2023, l'indemnisation d'une rançon par l'assureur est légalement possible, mais conditionnée au dépôt de plainte dans les 72 heures suivant la découverte de l'attaque. L'ANSSI déconseille toutefois formellement le paiement des rançons.

Le phishing et l'ingénierie sociale augmentés par l'IA

Le phishing hyper-personnalisé constitue la menace la plus redoutée par 50 % des responsables informatiques en 2026. Grâce à l'intelligence artificielle générative, les attaquants produisent des courriels d'hameçonnage quasi indétectables, reproduisant parfaitement le style et le contexte des communications internes d'une entreprise. La fraude au président, dans laquelle un escroc se fait passer pour un dirigeant afin d'ordonner un virement urgent, atteint un niveau de sophistication inédit grâce aux deepfakes vocaux.

Les fuites de données massives

Les 5 629 notifications de violations adressées à la CNIL en 2024 témoignent de l'ampleur du phénomène. Une fuite de données personnelles expose l'entreprise à des sanctions réglementaires, à des actions en responsabilité civile de la part des personnes concernées et à une atteinte durable à sa réputation. Les amendes RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Les attaques de la chaîne d'approvisionnement

De plus en plus d'attaquants ciblent les fournisseurs de services informatiques pour accéder simultanément à des dizaines, voire des centaines d'entreprises clientes. Cette stratégie multiplie l'impact d'une seule intrusion et rend la détection plus difficile car l'attaque provient d'un partenaire de confiance.

Chaque segment d'entreprise présente des besoins et des budgets distincts

Formule TPE (CA < 2 M EUR)

  • Prime annuelle : 400 à 1 500 EUR
  • Garantie : 250 000 à 1 M EUR
  • Gestion de crise et hotline 24/7
  • Restauration des données et systèmes
  • Responsabilité civile cyber incluse
  • Prérequis : antivirus et sauvegardes régulières

Formule PME (CA 2 à 50 M EUR)

  • Prime annuelle : 1 000 à 5 000 EUR
  • Garantie : 1 à 5 M EUR
  • Perte d'exploitation jusqu'à 12 mois
  • Cyber extorsion et négociation rançon
  • Notification CNIL et accompagnement RGPD
  • Prérequis : MFA, sauvegardes externes, EDR

Formule ETI (CA 50 à 500 M EUR)

  • Prime annuelle : 5 000 à 50 000 EUR
  • Garantie : 5 à 25 M EUR
  • Couverture interruption totale d'activité
  • Responsabilité civile étendue (sous traitants)
  • Conformité NIS2 et DORA intégrée
  • Prérequis : audit cybersécurité complet, PCA testé

Formule Grande Entreprise (CA > 500 M EUR)

  • Prime annuelle : sur mesure (50 000+ EUR)
  • Garantie : 25 M EUR et au delà
  • Programme international multi pays
  • Couverture atteinte à la réputation
  • War room et équipe dédiée en cas de crise
  • Prérequis : certification ISO 27001 ou équivalent

Évaluez votre exposition aux cyber risques

Nos conseillers spécialisés analysent gratuitement votre profil de risque, identifient vos vulnérabilités et vous proposent les couvertures les mieux adaptées à votre activité et à votre budget.

Obtenir un devis cyber personnalisé

Ce que couvre précisément un contrat de cyber assurance

Un contrat de cyber assurance repose sur deux volets complémentaires : les dommages propres subis par l'entreprise assurée et la responsabilité civile envers les tiers affectés par l'incident. Il n'existe pas de contrat standard sur le marché, ce qui rend la comparaison et le choix d'autant plus importants.

Le volet dommages propres

Ce volet couvre l'ensemble des coûts supportés directement par l'entreprise à la suite d'un incident cyber. Il comprend les frais de gestion de crise (intervention d'experts en cybersécurité, d'avocats spécialisés, de consultants en communication), les coûts de restauration des systèmes d'information et des données corrompues ou détruites, la perte de marge brute résultant de l'interruption ou de la diminution de l'activité, et les frais supplémentaires d'exploitation engagés pour maintenir un niveau minimal de service.

La garantie cyber extorsion, lorsqu'elle est incluse, prend en charge les frais liés à une tentative de chantage numérique : négociation avec les attaquants, analyse technique pour évaluer les options de récupération, et dans certains cas, le montant de la rançon elle même. Depuis la loi LOPMI, cette indemnisation est subordonnée au dépôt de plainte dans les 72 heures.

Le volet responsabilité civile

Ce volet protège l'entreprise contre les réclamations de tiers dont les données ont été compromises. Il couvre les frais de défense juridique, les dommages et intérêts prononcés par les tribunaux, et les frais de notification aux personnes concernées et à la CNIL. En revanche, les amendes administratives prononcées par la CNIL sont, par principe, non assurables en France en raison de leur caractère punitif.

Les services d'accompagnement

Les meilleurs contrats intègrent des services de prévention et d'accompagnement : scan de vulnérabilités régulier, campagnes de sensibilisation au phishing, audit de maturité cyber, et parfois un logiciel de surveillance en temps réel. Ce modèle, popularisé par les insurtechs comme Stoïk et Dattak, combine assurance et cybersécurité dans une offre intégrée.

1

Réalisez un diagnostic de votre maturité cyber

Avant toute démarche, évaluez le niveau de sécurité de votre entreprise. Identifiez vos actifs critiques (données clients, propriété intellectuelle, systèmes de production), vos vulnérabilités connues et les mesures de protection déjà en place. Ce diagnostic conditionne à la fois votre éligibilité et le niveau de votre prime.

2

Mettez en place les prérequis techniques minimaux

Les assureurs exigent désormais des mesures de sécurité de base : authentification multifacteur (MFA) sur tous les accès critiques, sauvegardes externalisées et déconnectées du réseau, mises à jour régulières des systèmes et logiciels, antivirus ou EDR sur tous les postes. Sans ces fondamentaux, la plupart des assureurs refuseront de vous couvrir.

3

Évaluez vos besoins en couverture

Estimez le montant de garantie nécessaire en fonction de votre chiffre d'affaires, de votre dépendance au numérique et du volume de données sensibles que vous traitez. Prenez en compte la perte d'exploitation potentielle, les coûts de notification RGPD et les frais de restauration informatique.

4

Comparez au moins trois offres d'assureurs

Sollicitez des devis auprès d'assureurs traditionnels (AXA, Allianz, Hiscox, Generali) et d'insurtechs spécialisées (Stoïk, Dattak). Portez une attention particulière aux exclusions, aux franchises, aux délais de carence et aux services d'accompagnement inclus.

5

Analysez les exclusions et les conditions de garantie

Vérifiez que les risques les plus probables pour votre activité sont effectivement couverts. Les exclusions courantes concernent les actes de guerre, la négligence grave, les défauts de sécurité connus non corrigés et les actes malveillants internes. Assurez vous que la clause de perte d'exploitation couvre bien les interruptions liées au système informatique.

6

Formalisez votre plan de réponse aux incidents

Préparez un plan de gestion de crise intégrant les coordonnées de votre assureur, le numéro de la hotline 24/7, la procédure de dépôt de plainte sous 72 heures (obligation LOPMI), et le protocole de notification CNIL. Testez ce plan régulièrement avec votre équipe.

Infographie montrant les étapes de réponse à une cyberattaque en entreprise
Le dépôt de plainte sous 72 heures est obligatoire pour bénéficier de l'indemnisation (loi LOPMI)

Panorama des cybermenaces et couvertures associées

Type de menaceFréquenceCoût moyenCouverture cyber assuranceGarantie clé
Ransomware / rançongiciel75 % des intrusions466 000 EUR (PME)Oui, sous condition de plainte 72hCyber extorsion
Phishing et ingénierie sociale50 % des menaces redoutées20 000 à 100 000 EUROuiFraude informatique
Fuite de données personnelles5 629 notifications CNIL/anVariable selon volumeOuiRC cyber + notification
Fraude au présidentEn forte hausse (deepfakes IA)50 000 à 500 000+ EUROuiFraude et détournement
Attaque DDoSFréquente (services en ligne)Perte d'exploitation variableOuiPerte d'exploitation
Attaque supply chainEn augmentationImpact démultipliéSelon contratDommages propres
Malware et virusPermanent5 000 à 50 000 EUROuiRestauration systèmes

Le cadre réglementaire qui rend la cyber assurance stratégique

L'environnement réglementaire européen et français crée un faisceau d'obligations qui rend la cyber assurance plus pertinente que jamais. Quatre textes majeurs encadrent désormais la responsabilité des entreprises face aux risques numériques.

La loi LOPMI et l'obligation de plainte sous 72 heures

Depuis le 24 avril 2023, toute entreprise victime d'une cyberattaque doit déposer plainte dans les 72 heures suivant la découverte de l'incident pour pouvoir bénéficier de l'indemnisation de son assureur. Cette disposition, inscrite dans le nouvel article L.12-10-1 du Code des assurances, est d'ordre public : ni l'assuré ni l'assureur ne peuvent y déroger par convention. En revanche, les garanties d'assistance (intervention d'experts, gestion de crise) peuvent être mobilisées immédiatement, sans attendre le dépôt de plainte.

Le RGPD et les obligations de notification

Le Règlement général sur la protection des données impose à toute entreprise traitant des données personnelles de notifier la CNIL dans les 72 heures en cas de violation susceptible de présenter un risque pour les droits des personnes. Lorsque le risque est élevé, les personnes concernées doivent également être informées individuellement. Les sanctions en cas de manquement atteignent 20 millions d'euros ou 4 % du chiffre d'affaires mondial. La cyber assurance prend en charge les frais de notification et l'accompagnement juridique, mais les amendes CNIL restent non assurables par principe en France.

La directive NIS2 et ses 18 secteurs concernés

La directive NIS2, transposée en droit français, étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité renforcées. Elle couvre 18 secteurs d'activité allant de l'énergie aux services postaux, en passant par la santé, les transports et les services numériques. Les amendes atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Point crucial : les dirigeants peuvent être tenus personnellement responsables en cas de manquement. La non-conformité NIS2 entraîne également une hausse significative des primes d'assurance cyber, voire un refus de couverture.

Le règlement DORA pour le secteur financier

Le Digital Operational Resilience Act impose aux banques, assureurs, sociétés de gestion et prestataires de services financiers des exigences strictes de résilience numérique. Les entreprises concernées doivent disposer d'un cadre de gestion des risques informatiques, réaliser des tests de pénétration réguliers et notifier les incidents significatifs aux autorités de supervision.

Évolution du marché français de la cyber assurance

Source: AMRAE, Rapport LUCY 2025

"

Le marché de la cyber assurance entre dans une phase de maturation. Les primes baissent, les capacités augmentent et les franchises se réduisent. C'est le moment idéal pour les PME de se couvrir, avant que la prochaine vague de sinistres ne durcisse à nouveau les conditions de souscription.

Rapport LUCY 2025AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise)

Les prérequis techniques exigés par les assureurs

Souscrire une cyber assurance ne se fait pas sans préparation. Les assureurs évaluent la maturité cyber de l'entreprise avant d'accepter le risque, et le non-respect des mesures de sécurité contractuelles peut entraîner un refus d'indemnisation en cas de sinistre.

L'authentification multifacteur (MFA)

C'est le prérequis numéro un. Les assureurs exigent que tous les accès critiques (messagerie, VPN, applications cloud, accès administrateur) soient protégés par une authentification à deux facteurs au minimum. Un simple mot de passe, aussi complexe soit il, ne suffit plus. L'absence de MFA constitue le premier motif de refus de couverture.

Les sauvegardes externalisées et déconnectées

Les données de l'entreprise doivent être sauvegardées régulièrement sur des supports physiquement déconnectés du réseau ou dans un environnement cloud isolé. Cette précaution empêche les ransomwares de chiffrer simultanément les données de production et les sauvegardes. Les assureurs vérifient la fréquence des sauvegardes, leur intégrité et la capacité de l'entreprise à restaurer ses systèmes dans un délai raisonnable.

La gestion des correctifs et des mises à jour

Les vulnérabilités non corrigées constituent la porte d'entrée favorite des attaquants. Les assureurs exigent un processus documenté de déploiement des correctifs de sécurité, avec un délai maximal entre la publication d'un correctif critique et son application. Un système d'exploitation obsolète (comme Windows 7 ou Windows Server 2012) peut entraîner un refus de garantie ou une exclusion spécifique.

L'EDR et la protection des postes de travail

L'antivirus traditionnel cède la place à l'EDR (Endpoint Detection and Response), une solution capable de détecter les comportements suspects en temps réel et de bloquer les attaques avant qu'elles ne se propagent. De nombreux assureurs imposent désormais la présence d'un EDR sur l'ensemble du parc informatique.

Le plan de continuité d'activité (PCA)

L'entreprise doit disposer d'un plan documenté décrivant les procédures à suivre en cas d'incident cyber : qui contacter, comment isoler les systèmes compromis, comment basculer sur des moyens de production alternatifs. Ce plan doit être testé au moins une fois par an et mis à jour en fonction de l'évolution de l'infrastructure.

La sensibilisation des collaborateurs

Le facteur humain reste le maillon faible de la chaîne de sécurité. Les assureurs valorisent les entreprises qui organisent des campagnes de sensibilisation régulières : simulations de phishing, formations aux bonnes pratiques, procédures de signalement des incidents suspects. Certains contrats incluent même ces outils de prévention dans le prix de la police.

Combien coûte une cyber assurance en 2026 ?

Le marché français traverse actuellement une phase de « soft market », caractérisée par une baisse généralisée des primes et un assouplissement des conditions de souscription. C'est une fenêtre favorable pour les entreprises qui souhaitent se couvrir.

Les facteurs qui déterminent le prix

Le calcul de la prime repose sur une analyse fine du profil de risque de l'entreprise. Le chiffre d'affaires constitue la base de calcul principale : le taux de prime annuel moyen s'établit à environ 1,90 % pour les grands comptes (en baisse de 18 % par rapport à 2023). Le secteur d'activité joue également un rôle déterminant : la santé, la finance et le e-commerce présentent des profils de risque plus élevés. Le volume de données personnelles traitées, le niveau de dépendance au numérique et la maturité cyber de l'entreprise (mesures de sécurité en place, certifications) complètent l'évaluation.

Grille tarifaire indicative 2026

Pour les TPE (moins de 10 salariés, CA inférieur à 2 millions d'euros), les primes se situent entre 400 et 1 500 euros par an pour des garanties de 250 000 à 1 million d'euros. Les PME (10 à 250 salariés, CA de 2 à 50 millions d'euros) peuvent s'attendre à des primes de 1 000 à 5 000 euros par an pour des couvertures de 1 à 5 millions d'euros. Les ETI (CA de 50 à 500 millions d'euros) paieront entre 5 000 et 50 000 euros par an selon la complexité de leur infrastructure et le niveau de garantie souhaité.

Les leviers pour optimiser sa prime

Plusieurs facteurs permettent de réduire significativement le coût de la couverture. La mise en place de l'authentification multifacteur et d'un EDR peut réduire la prime de 10 à 20 %. L'obtention d'une certification ISO 27001 ou l'adhésion au référentiel de l'ANSSI constitue un signal fort pour les assureurs. L'augmentation de la franchise permet également de diminuer la prime, à condition de disposer de la trésorerie nécessaire pour absorber le premier niveau de sinistre. Enfin, la comparaison systématique entre au moins trois offres reste le levier le plus efficace.

Le rapport qualité/prix des insurtechs

Les insurtechs françaises comme Stoïk (48,3 millions d'euros levés depuis 2021) et Dattak (18 millions d'euros levés) proposent des offres particulièrement compétitives pour les PME. Leur modèle intègre des outils de cybersécurité dans le prix de la police : scan de vulnérabilités hebdomadaire, détection de compromission, campagne de phishing simulé. Ce modèle « assurance + prévention » représente souvent le meilleur rapport qualité/prix pour les entreprises de 10 à 500 salariés.

Comparez les meilleures offres de cyber assurance

Notre équipe analyse votre profil de risque et négocie auprès des assureurs traditionnels et des insurtechs spécialisées pour vous proposer la couverture la plus complète au meilleur tarif.

Recevoir des devis comparatifs gratuits

Les exclusions à connaître avant de signer votre contrat

Aucun contrat de cyber assurance ne couvre la totalité des risques numériques. Comprendre les exclusions permet d'éviter les mauvaises surprises en cas de sinistre et de négocier des aménagements si nécessaire.

Les actes de guerre et le cyberterrorisme

La quasi-totalité des polices excluent les dommages résultant d'actes de guerre, y compris la guerre informatique menée par des États. Cette exclusion soulève des questions complexes lorsqu'une cyberattaque est attribuée à un groupe soutenu par un État étranger, ce qui est le cas de nombreuses campagnes de ransomware. La frontière entre cybercriminalité et cyberguerre reste floue et fait l'objet de débats juridiques intenses.

La négligence grave et le défaut de sécurité

Si l'assureur démontre que l'entreprise n'a pas respecté les mesures de sécurité minimales prévues au contrat (absence de MFA, sauvegardes inexistantes, systèmes non mis à jour), il peut réduire l'indemnisation, voire refuser totalement la prise en charge. Les vulnérabilités connues et non corrigées constituent le principal motif de contestation.

Les actes malveillants internes

Le traitement des actes commis par un employé ou un prestataire varie selon les contrats. Certains couvrent les actes malveillants internes, d'autres les excluent totalement. Vérifiez attentivement ce point si votre entreprise emploie du personnel ayant accès à des données sensibles ou à des systèmes critiques.

Les amendes et sanctions réglementaires

En France, les amendes administratives prononcées par la CNIL au titre du RGPD ou par d'autres autorités ne sont pas assurables en raison de leur caractère punitif et dissuasif. L'assurance couvre en revanche les frais de défense devant ces autorités, les coûts de mise en conformité imposés et les frais de notification.

Les dommages matériels non liés à une attaque

Une panne informatique, un bogue logiciel ou une erreur humaine sans dimension malveillante ne relèvent généralement pas de la cyber assurance mais de l'assurance multirisque professionnelle ou de la garantie bris de machine.

Dirigeant de PME consultant un tableau de bord de cybersécurité avec indicateurs de protection
Seules 1,2 à 3 % des PME françaises disposent d'une cyber assurance en 2026

Ne laissez pas votre entreprise sans protection cyber

Une cyberattaque coûte en moyenne 466 000 euros à une PME française. Avec France Épargne, bénéficiez d'un accompagnement personnalisé pour trouver la couverture qui correspond exactement à vos risques et à votre budget.

Protéger mon entreprise maintenant

Questions fréquentes sur la cyber assurance

Besoin d'un accompagnement personnalisé ?

Nos experts sont à votre disposition pour répondre à vos questions et vous guider dans vos choix.

Prendre rendez-vous06 38 75 22 70