Protégez votre activité contre les cyberattaques avec une couverture complète : ransomware, perte d'exploitation, responsabilité civile données et gestion de crise 24/7
En 2024, 47 % des entreprises françaises ont subi au moins une cyberattaque majeure. Le nombre de violations de données notifiées à la CNIL a bondi de 20 %, atteignant 5 629 signalements sur l'année. Ces chiffres ne reflètent que la partie visible : de nombreuses TPE et PME subissent des incidents sans même les déclarer, faute de moyens ou de connaissance des obligations légales.
Le coût moyen d'une cyberattaque pour une PME française atteint 466 000 euros, soit 5 à 10 % de son chiffre d'affaires annuel. La durée médiane d'interruption d'activité après une attaque est de huit jours, une période pendant laquelle l'entreprise ne génère aucun revenu tout en continuant à supporter ses charges fixes. Pour une TPE ou une PME disposant de peu de trésorerie, cette situation peut conduire à la cessation d'activité.
Parallèlement, le cadre réglementaire se durcit considérablement. La directive européenne NIS2, désormais transposée en droit français, élargit les obligations de cybersécurité à des milliers d'entreprises supplémentaires dans 18 secteurs d'activité. Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, avec une responsabilité personnelle des dirigeants en cas de manquement. Le règlement DORA impose des exigences similaires de résilience numérique au secteur financier. Dans ce contexte, la cyber assurance n'est plus un luxe réservé aux grands groupes : elle constitue un filet de sécurité indispensable pour toute entreprise qui dépend de son système d'information.
Pourtant, le taux de couverture reste dramatiquement faible. Si plus de 90 % des grandes entreprises disposent d'une police cyber, seules 1,2 à 3 % des PME et une fraction infime des TPE sont protégées. Le marché français, avec ses 328 millions d'euros de primes en 2023, reste embryonnaire comparé au potentiel réel. France Épargne accompagne les entreprises de toute taille dans le choix d'une couverture cyber adaptée à leur profil de risque, leur budget et leurs obligations réglementaires.
Mobilisation immédiate d'une cellule de crise composée d'experts en cybersécurité, d'avocats spécialisés et de consultants en communication. Intervention dans les premières heures pour contenir l'attaque et limiter les dégâts.
Indemnisation de la perte de marge brute et des frais supplémentaires d'exploitation engagés pour maintenir ou relancer l'activité. Couverture de la période d'indemnisation de 1 à 3 ans selon les contrats.
Prise en charge des frais de négociation, d'intervention technique pour le déchiffrement des données et, selon les contrats, du montant de la rançon. Couverture conditionnée au dépôt de plainte sous 72 heures (loi LOPMI).
Protection contre les réclamations de tiers dont les données personnelles ou confidentielles ont été compromises. Couverture des frais de défense juridique et des dommages et intérêts prononcés par les tribunaux.
Prise en charge des coûts de notification à la CNIL et aux personnes concernées dans le délai légal de 72 heures. Accompagnement par des experts en protection des données pour respecter toutes les obligations réglementaires.
Couverture des frais de reconstitution des données perdues ou corrompues, de nettoyage des systèmes infectés et de remise en état de l'infrastructure informatique après un sinistre cyber.
Le paysage des cybermenaces évolue à une vitesse vertigineuse. En 2026, l'intelligence artificielle transforme à la fois les capacités offensives des attaquants et les outils de défense des entreprises. Comprendre ces menaces permet de dimensionner correctement sa couverture d'assurance.
Les rançongiciels représentent environ 75 % des intrusions à but lucratif signalées aux autorités. En 2024, l'ANSSI a recensé 144 compromissions par ransomware. Le mode opératoire est redoutable : les attaquants chiffrent les données de l'entreprise et exigent une rançon, souvent en cryptomonnaie, pour fournir la clé de déchiffrement. Les montants demandés varient de quelques milliers d'euros pour une TPE à plusieurs millions pour une grande entreprise.
Depuis la loi LOPMI de janvier 2023, l'indemnisation d'une rançon par l'assureur est légalement possible, mais conditionnée au dépôt de plainte dans les 72 heures suivant la découverte de l'attaque. L'ANSSI déconseille toutefois formellement le paiement des rançons.
Le phishing hyper-personnalisé constitue la menace la plus redoutée par 50 % des responsables informatiques en 2026. Grâce à l'intelligence artificielle générative, les attaquants produisent des courriels d'hameçonnage quasi indétectables, reproduisant parfaitement le style et le contexte des communications internes d'une entreprise. La fraude au président, dans laquelle un escroc se fait passer pour un dirigeant afin d'ordonner un virement urgent, atteint un niveau de sophistication inédit grâce aux deepfakes vocaux.
Les 5 629 notifications de violations adressées à la CNIL en 2024 témoignent de l'ampleur du phénomène. Une fuite de données personnelles expose l'entreprise à des sanctions réglementaires, à des actions en responsabilité civile de la part des personnes concernées et à une atteinte durable à sa réputation. Les amendes RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
De plus en plus d'attaquants ciblent les fournisseurs de services informatiques pour accéder simultanément à des dizaines, voire des centaines d'entreprises clientes. Cette stratégie multiplie l'impact d'une seule intrusion et rend la détection plus difficile car l'attaque provient d'un partenaire de confiance.
Nos conseillers spécialisés analysent gratuitement votre profil de risque, identifient vos vulnérabilités et vous proposent les couvertures les mieux adaptées à votre activité et à votre budget.
Obtenir un devis cyber personnaliséUn contrat de cyber assurance repose sur deux volets complémentaires : les dommages propres subis par l'entreprise assurée et la responsabilité civile envers les tiers affectés par l'incident. Il n'existe pas de contrat standard sur le marché, ce qui rend la comparaison et le choix d'autant plus importants.
Ce volet couvre l'ensemble des coûts supportés directement par l'entreprise à la suite d'un incident cyber. Il comprend les frais de gestion de crise (intervention d'experts en cybersécurité, d'avocats spécialisés, de consultants en communication), les coûts de restauration des systèmes d'information et des données corrompues ou détruites, la perte de marge brute résultant de l'interruption ou de la diminution de l'activité, et les frais supplémentaires d'exploitation engagés pour maintenir un niveau minimal de service.
La garantie cyber extorsion, lorsqu'elle est incluse, prend en charge les frais liés à une tentative de chantage numérique : négociation avec les attaquants, analyse technique pour évaluer les options de récupération, et dans certains cas, le montant de la rançon elle même. Depuis la loi LOPMI, cette indemnisation est subordonnée au dépôt de plainte dans les 72 heures.
Ce volet protège l'entreprise contre les réclamations de tiers dont les données ont été compromises. Il couvre les frais de défense juridique, les dommages et intérêts prononcés par les tribunaux, et les frais de notification aux personnes concernées et à la CNIL. En revanche, les amendes administratives prononcées par la CNIL sont, par principe, non assurables en France en raison de leur caractère punitif.
Les meilleurs contrats intègrent des services de prévention et d'accompagnement : scan de vulnérabilités régulier, campagnes de sensibilisation au phishing, audit de maturité cyber, et parfois un logiciel de surveillance en temps réel. Ce modèle, popularisé par les insurtechs comme Stoïk et Dattak, combine assurance et cybersécurité dans une offre intégrée.
Avant toute démarche, évaluez le niveau de sécurité de votre entreprise. Identifiez vos actifs critiques (données clients, propriété intellectuelle, systèmes de production), vos vulnérabilités connues et les mesures de protection déjà en place. Ce diagnostic conditionne à la fois votre éligibilité et le niveau de votre prime.
Les assureurs exigent désormais des mesures de sécurité de base : authentification multifacteur (MFA) sur tous les accès critiques, sauvegardes externalisées et déconnectées du réseau, mises à jour régulières des systèmes et logiciels, antivirus ou EDR sur tous les postes. Sans ces fondamentaux, la plupart des assureurs refuseront de vous couvrir.
Estimez le montant de garantie nécessaire en fonction de votre chiffre d'affaires, de votre dépendance au numérique et du volume de données sensibles que vous traitez. Prenez en compte la perte d'exploitation potentielle, les coûts de notification RGPD et les frais de restauration informatique.
Sollicitez des devis auprès d'assureurs traditionnels (AXA, Allianz, Hiscox, Generali) et d'insurtechs spécialisées (Stoïk, Dattak). Portez une attention particulière aux exclusions, aux franchises, aux délais de carence et aux services d'accompagnement inclus.
Vérifiez que les risques les plus probables pour votre activité sont effectivement couverts. Les exclusions courantes concernent les actes de guerre, la négligence grave, les défauts de sécurité connus non corrigés et les actes malveillants internes. Assurez vous que la clause de perte d'exploitation couvre bien les interruptions liées au système informatique.
Préparez un plan de gestion de crise intégrant les coordonnées de votre assureur, le numéro de la hotline 24/7, la procédure de dépôt de plainte sous 72 heures (obligation LOPMI), et le protocole de notification CNIL. Testez ce plan régulièrement avec votre équipe.
| Type de menace | Fréquence | Coût moyen | Couverture cyber assurance | Garantie clé |
|---|---|---|---|---|
| Ransomware / rançongiciel | 75 % des intrusions | 466 000 EUR (PME) | Oui, sous condition de plainte 72h | Cyber extorsion |
| Phishing et ingénierie sociale | 50 % des menaces redoutées | 20 000 à 100 000 EUR | Oui | Fraude informatique |
| Fuite de données personnelles | 5 629 notifications CNIL/an | Variable selon volume | Oui | RC cyber + notification |
| Fraude au président | En forte hausse (deepfakes IA) | 50 000 à 500 000+ EUR | Oui | Fraude et détournement |
| Attaque DDoS | Fréquente (services en ligne) | Perte d'exploitation variable | Oui | Perte d'exploitation |
| Attaque supply chain | En augmentation | Impact démultiplié | Selon contrat | Dommages propres |
| Malware et virus | Permanent | 5 000 à 50 000 EUR | Oui | Restauration systèmes |
L'environnement réglementaire européen et français crée un faisceau d'obligations qui rend la cyber assurance plus pertinente que jamais. Quatre textes majeurs encadrent désormais la responsabilité des entreprises face aux risques numériques.
Depuis le 24 avril 2023, toute entreprise victime d'une cyberattaque doit déposer plainte dans les 72 heures suivant la découverte de l'incident pour pouvoir bénéficier de l'indemnisation de son assureur. Cette disposition, inscrite dans le nouvel article L.12-10-1 du Code des assurances, est d'ordre public : ni l'assuré ni l'assureur ne peuvent y déroger par convention. En revanche, les garanties d'assistance (intervention d'experts, gestion de crise) peuvent être mobilisées immédiatement, sans attendre le dépôt de plainte.
Le Règlement général sur la protection des données impose à toute entreprise traitant des données personnelles de notifier la CNIL dans les 72 heures en cas de violation susceptible de présenter un risque pour les droits des personnes. Lorsque le risque est élevé, les personnes concernées doivent également être informées individuellement. Les sanctions en cas de manquement atteignent 20 millions d'euros ou 4 % du chiffre d'affaires mondial. La cyber assurance prend en charge les frais de notification et l'accompagnement juridique, mais les amendes CNIL restent non assurables par principe en France.
La directive NIS2, transposée en droit français, étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité renforcées. Elle couvre 18 secteurs d'activité allant de l'énergie aux services postaux, en passant par la santé, les transports et les services numériques. Les amendes atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Point crucial : les dirigeants peuvent être tenus personnellement responsables en cas de manquement. La non-conformité NIS2 entraîne également une hausse significative des primes d'assurance cyber, voire un refus de couverture.
Le Digital Operational Resilience Act impose aux banques, assureurs, sociétés de gestion et prestataires de services financiers des exigences strictes de résilience numérique. Les entreprises concernées doivent disposer d'un cadre de gestion des risques informatiques, réaliser des tests de pénétration réguliers et notifier les incidents significatifs aux autorités de supervision.
Source: AMRAE, Rapport LUCY 2025
"Le marché de la cyber assurance entre dans une phase de maturation. Les primes baissent, les capacités augmentent et les franchises se réduisent. C'est le moment idéal pour les PME de se couvrir, avant que la prochaine vague de sinistres ne durcisse à nouveau les conditions de souscription.
Souscrire une cyber assurance ne se fait pas sans préparation. Les assureurs évaluent la maturité cyber de l'entreprise avant d'accepter le risque, et le non-respect des mesures de sécurité contractuelles peut entraîner un refus d'indemnisation en cas de sinistre.
C'est le prérequis numéro un. Les assureurs exigent que tous les accès critiques (messagerie, VPN, applications cloud, accès administrateur) soient protégés par une authentification à deux facteurs au minimum. Un simple mot de passe, aussi complexe soit il, ne suffit plus. L'absence de MFA constitue le premier motif de refus de couverture.
Les données de l'entreprise doivent être sauvegardées régulièrement sur des supports physiquement déconnectés du réseau ou dans un environnement cloud isolé. Cette précaution empêche les ransomwares de chiffrer simultanément les données de production et les sauvegardes. Les assureurs vérifient la fréquence des sauvegardes, leur intégrité et la capacité de l'entreprise à restaurer ses systèmes dans un délai raisonnable.
Les vulnérabilités non corrigées constituent la porte d'entrée favorite des attaquants. Les assureurs exigent un processus documenté de déploiement des correctifs de sécurité, avec un délai maximal entre la publication d'un correctif critique et son application. Un système d'exploitation obsolète (comme Windows 7 ou Windows Server 2012) peut entraîner un refus de garantie ou une exclusion spécifique.
L'antivirus traditionnel cède la place à l'EDR (Endpoint Detection and Response), une solution capable de détecter les comportements suspects en temps réel et de bloquer les attaques avant qu'elles ne se propagent. De nombreux assureurs imposent désormais la présence d'un EDR sur l'ensemble du parc informatique.
L'entreprise doit disposer d'un plan documenté décrivant les procédures à suivre en cas d'incident cyber : qui contacter, comment isoler les systèmes compromis, comment basculer sur des moyens de production alternatifs. Ce plan doit être testé au moins une fois par an et mis à jour en fonction de l'évolution de l'infrastructure.
Le facteur humain reste le maillon faible de la chaîne de sécurité. Les assureurs valorisent les entreprises qui organisent des campagnes de sensibilisation régulières : simulations de phishing, formations aux bonnes pratiques, procédures de signalement des incidents suspects. Certains contrats incluent même ces outils de prévention dans le prix de la police.
Le marché français traverse actuellement une phase de « soft market », caractérisée par une baisse généralisée des primes et un assouplissement des conditions de souscription. C'est une fenêtre favorable pour les entreprises qui souhaitent se couvrir.
Le calcul de la prime repose sur une analyse fine du profil de risque de l'entreprise. Le chiffre d'affaires constitue la base de calcul principale : le taux de prime annuel moyen s'établit à environ 1,90 % pour les grands comptes (en baisse de 18 % par rapport à 2023). Le secteur d'activité joue également un rôle déterminant : la santé, la finance et le e-commerce présentent des profils de risque plus élevés. Le volume de données personnelles traitées, le niveau de dépendance au numérique et la maturité cyber de l'entreprise (mesures de sécurité en place, certifications) complètent l'évaluation.
Pour les TPE (moins de 10 salariés, CA inférieur à 2 millions d'euros), les primes se situent entre 400 et 1 500 euros par an pour des garanties de 250 000 à 1 million d'euros. Les PME (10 à 250 salariés, CA de 2 à 50 millions d'euros) peuvent s'attendre à des primes de 1 000 à 5 000 euros par an pour des couvertures de 1 à 5 millions d'euros. Les ETI (CA de 50 à 500 millions d'euros) paieront entre 5 000 et 50 000 euros par an selon la complexité de leur infrastructure et le niveau de garantie souhaité.
Plusieurs facteurs permettent de réduire significativement le coût de la couverture. La mise en place de l'authentification multifacteur et d'un EDR peut réduire la prime de 10 à 20 %. L'obtention d'une certification ISO 27001 ou l'adhésion au référentiel de l'ANSSI constitue un signal fort pour les assureurs. L'augmentation de la franchise permet également de diminuer la prime, à condition de disposer de la trésorerie nécessaire pour absorber le premier niveau de sinistre. Enfin, la comparaison systématique entre au moins trois offres reste le levier le plus efficace.
Les insurtechs françaises comme Stoïk (48,3 millions d'euros levés depuis 2021) et Dattak (18 millions d'euros levés) proposent des offres particulièrement compétitives pour les PME. Leur modèle intègre des outils de cybersécurité dans le prix de la police : scan de vulnérabilités hebdomadaire, détection de compromission, campagne de phishing simulé. Ce modèle « assurance + prévention » représente souvent le meilleur rapport qualité/prix pour les entreprises de 10 à 500 salariés.
Notre équipe analyse votre profil de risque et négocie auprès des assureurs traditionnels et des insurtechs spécialisées pour vous proposer la couverture la plus complète au meilleur tarif.
Recevoir des devis comparatifs gratuitsAucun contrat de cyber assurance ne couvre la totalité des risques numériques. Comprendre les exclusions permet d'éviter les mauvaises surprises en cas de sinistre et de négocier des aménagements si nécessaire.
La quasi-totalité des polices excluent les dommages résultant d'actes de guerre, y compris la guerre informatique menée par des États. Cette exclusion soulève des questions complexes lorsqu'une cyberattaque est attribuée à un groupe soutenu par un État étranger, ce qui est le cas de nombreuses campagnes de ransomware. La frontière entre cybercriminalité et cyberguerre reste floue et fait l'objet de débats juridiques intenses.
Si l'assureur démontre que l'entreprise n'a pas respecté les mesures de sécurité minimales prévues au contrat (absence de MFA, sauvegardes inexistantes, systèmes non mis à jour), il peut réduire l'indemnisation, voire refuser totalement la prise en charge. Les vulnérabilités connues et non corrigées constituent le principal motif de contestation.
Le traitement des actes commis par un employé ou un prestataire varie selon les contrats. Certains couvrent les actes malveillants internes, d'autres les excluent totalement. Vérifiez attentivement ce point si votre entreprise emploie du personnel ayant accès à des données sensibles ou à des systèmes critiques.
En France, les amendes administratives prononcées par la CNIL au titre du RGPD ou par d'autres autorités ne sont pas assurables en raison de leur caractère punitif et dissuasif. L'assurance couvre en revanche les frais de défense devant ces autorités, les coûts de mise en conformité imposés et les frais de notification.
Une panne informatique, un bogue logiciel ou une erreur humaine sans dimension malveillante ne relèvent généralement pas de la cyber assurance mais de l'assurance multirisque professionnelle ou de la garantie bris de machine.
Une cyberattaque coûte en moyenne 466 000 euros à une PME française. Avec France Épargne, bénéficiez d'un accompagnement personnalisé pour trouver la couverture qui correspond exactement à vos risques et à votre budget.
Protéger mon entreprise maintenantNos experts sont à votre disposition pour répondre à vos questions et vous guider dans vos choix.