---
title: Cyber Assurance Entreprise
slug: cyber-assurance
category: assurance-professionnelle
categorySlug: assurance-professionnelle
keywords: []
canonical: "https://www.france-epargne.fr/products/assurance-professionnelle/cyber-assurance"
publishedAt: "2026-02-21T05:12:42.956Z"
updatedAt: "2026-03-21T21:42:48.419Z"
---
# Cyber Assurance Entreprise

> Protégez votre activité contre les cyberattaques avec une couverture complète : ransomware, perte d'exploitation, responsabilité civile données et gestion de crise 24/7

## Pourquoi la cyber assurance est devenue indispensable en 2026

En 2024, **47 % des entreprises françaises** ont subi au moins une cyberattaque majeure. Le nombre de violations de données notifiées à la CNIL a bondi de 20 %, atteignant **5 629 signalements** sur l'année. Ces chiffres ne reflètent que la partie visible : de nombreuses TPE et PME subissent des incidents sans même les déclarer, faute de moyens ou de connaissance des obligations légales.

Le coût moyen d'une cyberattaque pour une PME française atteint **466 000 euros**, soit 5 à 10 % de son chiffre d'affaires annuel. La durée médiane d'interruption d'activité après une attaque est de **huit jours**, une période pendant laquelle l'entreprise ne génère aucun revenu tout en continuant à supporter ses charges fixes. Pour une TPE ou une PME disposant de peu de trésorerie, cette situation peut conduire à la cessation d'activité.

Parallèlement, le cadre réglementaire se durcit considérablement. La directive européenne **NIS2**, désormais transposée en droit français, élargit les obligations de cybersécurité à des milliers d'entreprises supplémentaires dans 18 secteurs d'activité. Les amendes peuvent atteindre **10 millions d'euros ou 2 % du chiffre d'affaires mondial**, avec une responsabilité personnelle des dirigeants en cas de manquement. Le règlement **DORA** impose des exigences similaires de résilience numérique au secteur financier. Dans ce contexte, la cyber assurance n'est plus un luxe réservé aux grands groupes : elle constitue un filet de sécurité indispensable pour toute entreprise qui dépend de son système d'information.

Pourtant, le taux de couverture reste dramatiquement faible. Si plus de **90 % des grandes entreprises** disposent d'une police cyber, seules **1,2 à 3 % des PME** et une fraction infime des TPE sont protégées. Le marché français, avec ses **328 millions d'euros de primes** en 2023, reste embryonnaire comparé au potentiel réel. France Épargne accompagne les entreprises de toute taille dans le choix d'une couverture cyber adaptée à leur profil de risque, leur budget et leurs obligations réglementaires.

![Centre opérationnel de cybersécurité avec écrans de monitoring et équipe d'analystes en action](https://res.cloudinary.com/dhsaq1mm8/image/upload/v1771650716/franceepargne/products/cyber-assurance/cyber-assurance-hero.jpg)

_47 % des entreprises françaises ont subi au moins une cyberattaque majeure en 2024_

## Les garanties essentielles d'une cyber assurance performante

- **Gestion de crise et assistance 24/7** — Mobilisation immédiate d'une cellule de crise composée d'experts en cybersécurité, d'avocats spécialisés et de consultants en communication. Intervention dans les premières heures pour contenir l'attaque et limiter les dégâts.
- **Perte d'exploitation et interruption d'activité** — Indemnisation de la perte de marge brute et des frais supplémentaires d'exploitation engagés pour maintenir ou relancer l'activité. Couverture de la période d'indemnisation de 1 à 3 ans selon les contrats.
- **Cyber extorsion et ransomware** — Prise en charge des frais de négociation, d'intervention technique pour le déchiffrement des données et, selon les contrats, du montant de la rançon. Couverture conditionnée au dépôt de plainte sous 72 heures (loi LOPMI).
- **Responsabilité civile cyber** — Protection contre les réclamations de tiers dont les données personnelles ou confidentielles ont été compromises. Couverture des frais de défense juridique et des dommages et intérêts prononcés par les tribunaux.
- **Notification et conformité RGPD** — Prise en charge des coûts de notification à la CNIL et aux personnes concernées dans le délai légal de 72 heures. Accompagnement par des experts en protection des données pour respecter toutes les obligations réglementaires.
- **Restauration des systèmes et données** — Couverture des frais de reconstitution des données perdues ou corrompues, de nettoyage des systèmes infectés et de remise en état de l'infrastructure informatique après un sinistre cyber.

## Les menaces cyber qui pèsent sur les entreprises françaises

Le paysage des cybermenaces évolue à une vitesse vertigineuse. En 2026, l'intelligence artificielle transforme à la fois les capacités offensives des attaquants et les outils de défense des entreprises. Comprendre ces menaces permet de dimensionner correctement sa couverture d'assurance.

### Le ransomware : la menace numéro un

Les rançongiciels représentent environ **75 % des intrusions à but lucratif** signalées aux autorités. En 2024, l'ANSSI a recensé **144 compromissions par ransomware**. Le mode opératoire est redoutable : les attaquants chiffrent les données de l'entreprise et exigent une rançon, souvent en cryptomonnaie, pour fournir la clé de déchiffrement. Les montants demandés varient de quelques milliers d'euros pour une TPE à plusieurs millions pour une grande entreprise.

Depuis la loi LOPMI de janvier 2023, l'indemnisation d'une rançon par l'assureur est légalement possible, mais **conditionnée au dépôt de plainte dans les 72 heures** suivant la découverte de l'attaque. L'ANSSI déconseille toutefois formellement le paiement des rançons.

### Le phishing et l'ingénierie sociale augmentés par l'IA

Le phishing hyper-personnalisé constitue la menace la plus redoutée par **50 % des responsables informatiques** en 2026. Grâce à l'intelligence artificielle générative, les attaquants produisent des courriels d'hameçonnage quasi indétectables, reproduisant parfaitement le style et le contexte des communications internes d'une entreprise. La fraude au président, dans laquelle un escroc se fait passer pour un dirigeant afin d'ordonner un virement urgent, atteint un niveau de sophistication inédit grâce aux deepfakes vocaux.

### Les fuites de données massives

Les **5 629 notifications de violations** adressées à la CNIL en 2024 témoignent de l'ampleur du phénomène. Une fuite de données personnelles expose l'entreprise à des sanctions réglementaires, à des actions en responsabilité civile de la part des personnes concernées et à une atteinte durable à sa réputation. Les amendes RGPD peuvent atteindre **20 millions d'euros ou 4 % du chiffre d'affaires mondial**.

### Les attaques de la chaîne d'approvisionnement

De plus en plus d'attaquants ciblent les fournisseurs de services informatiques pour accéder simultanément à des dizaines, voire des centaines d'entreprises clientes. Cette stratégie multiplie l'impact d'une seule intrusion et rend la détection plus difficile car l'attaque provient d'un partenaire de confiance.

## Chaque segment d'entreprise présente des besoins et des budgets distincts

### Formule TPE (CA < 2 M EUR)

- Prime annuelle : 400 à 1 500 EUR
- Garantie : 250 000 à 1 M EUR
- Gestion de crise et hotline 24/7
- Restauration des données et systèmes
- Responsabilité civile cyber incluse
- Prérequis : antivirus et sauvegardes régulières

### Formule PME (CA 2 à 50 M EUR)

- Prime annuelle : 1 000 à 5 000 EUR
- Garantie : 1 à 5 M EUR
- Perte d'exploitation jusqu'à 12 mois
- Cyber extorsion et négociation rançon
- Notification CNIL et accompagnement RGPD
- Prérequis : MFA, sauvegardes externes, EDR

### Formule ETI (CA 50 à 500 M EUR)

- Prime annuelle : 5 000 à 50 000 EUR
- Garantie : 5 à 25 M EUR
- Couverture interruption totale d'activité
- Responsabilité civile étendue (sous traitants)
- Conformité NIS2 et DORA intégrée
- Prérequis : audit cybersécurité complet, PCA testé

### Formule Grande Entreprise (CA > 500 M EUR)

- Prime annuelle : sur mesure (50 000+ EUR)
- Garantie : 25 M EUR et au delà
- Programme international multi pays
- Couverture atteinte à la réputation
- War room et équipe dédiée en cas de crise
- Prérequis : certification ISO 27001 ou équivalent

> **Évaluez votre exposition aux cyber risques**
>
> Nos conseillers spécialisés analysent gratuitement votre profil de risque, identifient vos vulnérabilités et vous proposent les couvertures les mieux adaptées à votre activité et à votre budget.
>
> [Obtenir un devis cyber personnalisé](/contact) · [Découvrir nos assurances professionnelles](/products/assurance-professionnelle)

## Ce que couvre précisément un contrat de cyber assurance

Un contrat de cyber assurance repose sur deux volets complémentaires : les **dommages propres** subis par l'entreprise assurée et la **responsabilité civile** envers les tiers affectés par l'incident. Il n'existe pas de contrat standard sur le marché, ce qui rend la comparaison et le choix d'autant plus importants.

### Le volet dommages propres

Ce volet couvre l'ensemble des coûts supportés directement par l'entreprise à la suite d'un incident cyber. Il comprend les **frais de gestion de crise** (intervention d'experts en cybersécurité, d'avocats spécialisés, de consultants en communication), les **coûts de restauration** des systèmes d'information et des données corrompues ou détruites, la **perte de marge brute** résultant de l'interruption ou de la diminution de l'activité, et les **frais supplémentaires d'exploitation** engagés pour maintenir un niveau minimal de service.

La garantie cyber extorsion, lorsqu'elle est incluse, prend en charge les frais liés à une tentative de chantage numérique : négociation avec les attaquants, analyse technique pour évaluer les options de récupération, et dans certains cas, le montant de la rançon elle même. Depuis la loi LOPMI, cette indemnisation est subordonnée au dépôt de plainte dans les **72 heures**.

### Le volet responsabilité civile

Ce volet protège l'entreprise contre les réclamations de tiers dont les données ont été compromises. Il couvre les **frais de défense juridique**, les **dommages et intérêts** prononcés par les tribunaux, et les **frais de notification** aux personnes concernées et à la CNIL. En revanche, les amendes administratives prononcées par la CNIL sont, par principe, **non assurables en France** en raison de leur caractère punitif.

### Les services d'accompagnement

Les meilleurs contrats intègrent des services de prévention et d'accompagnement : **scan de vulnérabilités** régulier, **campagnes de sensibilisation** au phishing, **audit de maturité cyber**, et parfois un logiciel de surveillance en temps réel. Ce modèle, popularisé par les insurtechs comme Stoïk et Dattak, combine assurance et cybersécurité dans une offre intégrée.

## Comment souscrire une cyber assurance en 6 étapes

1. **Réalisez un diagnostic de votre maturité cyber** — Avant toute démarche, évaluez le niveau de sécurité de votre entreprise. Identifiez vos actifs critiques (données clients, propriété intellectuelle, systèmes de production), vos vulnérabilités connues et les mesures de protection déjà en place. Ce diagnostic conditionne à la fois votre éligibilité et le niveau de votre prime.
2. **Mettez en place les prérequis techniques minimaux** — Les assureurs exigent désormais des mesures de sécurité de base : authentification multifacteur (MFA) sur tous les accès critiques, sauvegardes externalisées et déconnectées du réseau, mises à jour régulières des systèmes et logiciels, antivirus ou EDR sur tous les postes. Sans ces fondamentaux, la plupart des assureurs refuseront de vous couvrir.
3. **Évaluez vos besoins en couverture** — Estimez le montant de garantie nécessaire en fonction de votre chiffre d'affaires, de votre dépendance au numérique et du volume de données sensibles que vous traitez. Prenez en compte la perte d'exploitation potentielle, les coûts de notification RGPD et les frais de restauration informatique.
4. **Comparez au moins trois offres d'assureurs** — Sollicitez des devis auprès d'assureurs traditionnels (AXA, Allianz, Hiscox, Generali) et d'insurtechs spécialisées (Stoïk, Dattak). Portez une attention particulière aux exclusions, aux franchises, aux délais de carence et aux services d'accompagnement inclus.
5. **Analysez les exclusions et les conditions de garantie** — Vérifiez que les risques les plus probables pour votre activité sont effectivement couverts. Les exclusions courantes concernent les actes de guerre, la négligence grave, les défauts de sécurité connus non corrigés et les actes malveillants internes. Assurez vous que la clause de perte d'exploitation couvre bien les interruptions liées au système informatique.
6. **Formalisez votre plan de réponse aux incidents** — Préparez un plan de gestion de crise intégrant les coordonnées de votre assureur, le numéro de la hotline 24/7, la procédure de dépôt de plainte sous 72 heures (obligation LOPMI), et le protocole de notification CNIL. Testez ce plan régulièrement avec votre équipe.

![Infographie montrant les étapes de réponse à une cyberattaque en entreprise](https://res.cloudinary.com/dhsaq1mm8/image/upload/v1771650720/franceepargne/products/cyber-assurance/cyber-assurance-incident-response.jpg)

_Le dépôt de plainte sous 72 heures est obligatoire pour bénéficier de l'indemnisation (loi LOPMI)_

## Panorama des cybermenaces et couvertures associées

| Type de menace | Fréquence | Coût moyen | Couverture cyber assurance | Garantie clé |
| --- | --- | --- | --- | --- |
| Ransomware / rançongiciel | 75 % des intrusions | 466 000 EUR (PME) | Oui, sous condition de plainte 72h | Cyber extorsion |
| Phishing et ingénierie sociale | 50 % des menaces redoutées | 20 000 à 100 000 EUR | Oui | Fraude informatique |
| Fuite de données personnelles | 5 629 notifications CNIL/an | Variable selon volume | Oui | RC cyber + notification |
| Fraude au président | En forte hausse (deepfakes IA) | 50 000 à 500 000+ EUR | Oui | Fraude et détournement |
| Attaque DDoS | Fréquente (services en ligne) | Perte d'exploitation variable | Oui | Perte d'exploitation |
| Attaque supply chain | En augmentation | Impact démultiplié | Selon contrat | Dommages propres |
| Malware et virus | Permanent | 5 000 à 50 000 EUR | Oui | Restauration systèmes |

## Le cadre réglementaire qui rend la cyber assurance stratégique

L'environnement réglementaire européen et français crée un faisceau d'obligations qui rend la cyber assurance plus pertinente que jamais. Quatre textes majeurs encadrent désormais la responsabilité des entreprises face aux risques numériques.

### La loi LOPMI et l'obligation de plainte sous 72 heures

Depuis le 24 avril 2023, toute entreprise victime d'une cyberattaque doit **déposer plainte dans les 72 heures** suivant la découverte de l'incident pour pouvoir bénéficier de l'indemnisation de son assureur. Cette disposition, inscrite dans le nouvel article L.12-10-1 du Code des assurances, est d'ordre public : ni l'assuré ni l'assureur ne peuvent y déroger par convention. En revanche, les garanties d'assistance (intervention d'experts, gestion de crise) peuvent être mobilisées immédiatement, sans attendre le dépôt de plainte.

### Le RGPD et les obligations de notification

Le Règlement général sur la protection des données impose à toute entreprise traitant des données personnelles de **notifier la CNIL dans les 72 heures** en cas de violation susceptible de présenter un risque pour les droits des personnes. Lorsque le risque est élevé, les personnes concernées doivent également être informées individuellement. Les sanctions en cas de manquement atteignent **20 millions d'euros ou 4 % du chiffre d'affaires mondial**. La cyber assurance prend en charge les frais de notification et l'accompagnement juridique, mais les amendes CNIL restent non assurables par principe en France.

### La directive NIS2 et ses 18 secteurs concernés

La directive NIS2, transposée en droit français, étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité renforcées. Elle couvre **18 secteurs d'activité** allant de l'énergie aux services postaux, en passant par la santé, les transports et les services numériques. Les amendes atteignent **10 millions d'euros ou 2 % du chiffre d'affaires mondial** pour les entités essentielles. Point crucial : les dirigeants peuvent être tenus **personnellement responsables** en cas de manquement. La non-conformité NIS2 entraîne également une hausse significative des primes d'assurance cyber, voire un refus de couverture.

### Le règlement DORA pour le secteur financier

Le Digital Operational Resilience Act impose aux banques, assureurs, sociétés de gestion et prestataires de services financiers des exigences strictes de résilience numérique. Les entreprises concernées doivent disposer d'un cadre de gestion des risques informatiques, réaliser des tests de pénétration réguliers et notifier les incidents significatifs aux autorités de supervision.

## Évolution du marché français de la cyber assurance

_Visualisation interactive disponible sur la page._

> Le marché de la cyber assurance entre dans une phase de maturation. Les primes baissent, les capacités augmentent et les franchises se réduisent. C'est le moment idéal pour les PME de se couvrir, avant que la prochaine vague de sinistres ne durcisse à nouveau les conditions de souscription.
>
> — _Rapport LUCY 2025, AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise)_

## Les prérequis techniques exigés par les assureurs

Souscrire une cyber assurance ne se fait pas sans préparation. Les assureurs évaluent la maturité cyber de l'entreprise avant d'accepter le risque, et le non-respect des mesures de sécurité contractuelles peut entraîner un refus d'indemnisation en cas de sinistre.

### L'authentification multifacteur (MFA)

C'est le prérequis numéro un. Les assureurs exigent que tous les accès critiques (messagerie, VPN, applications cloud, accès administrateur) soient protégés par une authentification à deux facteurs au minimum. Un simple mot de passe, aussi complexe soit il, ne suffit plus. L'absence de MFA constitue le premier motif de refus de couverture.

### Les sauvegardes externalisées et déconnectées

Les données de l'entreprise doivent être sauvegardées régulièrement sur des supports **physiquement déconnectés du réseau** ou dans un environnement cloud isolé. Cette précaution empêche les ransomwares de chiffrer simultanément les données de production et les sauvegardes. Les assureurs vérifient la fréquence des sauvegardes, leur intégrité et la capacité de l'entreprise à restaurer ses systèmes dans un délai raisonnable.

### La gestion des correctifs et des mises à jour

Les vulnérabilités non corrigées constituent la porte d'entrée favorite des attaquants. Les assureurs exigent un processus documenté de déploiement des correctifs de sécurité, avec un délai maximal entre la publication d'un correctif critique et son application. Un système d'exploitation obsolète (comme Windows 7 ou Windows Server 2012) peut entraîner un refus de garantie ou une exclusion spécifique.

### L'EDR et la protection des postes de travail

L'antivirus traditionnel cède la place à l'EDR (Endpoint Detection and Response), une solution capable de détecter les comportements suspects en temps réel et de bloquer les attaques avant qu'elles ne se propagent. De nombreux assureurs imposent désormais la présence d'un EDR sur l'ensemble du parc informatique.

### Le plan de continuité d'activité (PCA)

L'entreprise doit disposer d'un plan documenté décrivant les procédures à suivre en cas d'incident cyber : qui contacter, comment isoler les systèmes compromis, comment basculer sur des moyens de production alternatifs. Ce plan doit être **testé au moins une fois par an** et mis à jour en fonction de l'évolution de l'infrastructure.

### La sensibilisation des collaborateurs

Le facteur humain reste le maillon faible de la chaîne de sécurité. Les assureurs valorisent les entreprises qui organisent des **campagnes de sensibilisation** régulières : simulations de phishing, formations aux bonnes pratiques, procédures de signalement des incidents suspects. Certains contrats incluent même ces outils de prévention dans le prix de la police.

## Combien coûte une cyber assurance en 2026 ?

Le marché français traverse actuellement une phase de « soft market », caractérisée par une baisse généralisée des primes et un assouplissement des conditions de souscription. C'est une fenêtre favorable pour les entreprises qui souhaitent se couvrir.

### Les facteurs qui déterminent le prix

Le calcul de la prime repose sur une analyse fine du profil de risque de l'entreprise. Le **chiffre d'affaires** constitue la base de calcul principale : le taux de prime annuel moyen s'établit à environ **1,90 %** pour les grands comptes (en baisse de 18 % par rapport à 2023). Le **secteur d'activité** joue également un rôle déterminant : la santé, la finance et le e-commerce présentent des profils de risque plus élevés. Le **volume de données personnelles** traitées, le **niveau de dépendance au numérique** et la **maturité cyber** de l'entreprise (mesures de sécurité en place, certifications) complètent l'évaluation.

### Grille tarifaire indicative 2026

Pour les **TPE** (moins de 10 salariés, CA inférieur à 2 millions d'euros), les primes se situent entre **400 et 1 500 euros par an** pour des garanties de 250 000 à 1 million d'euros. Les **PME** (10 à 250 salariés, CA de 2 à 50 millions d'euros) peuvent s'attendre à des primes de **1 000 à 5 000 euros par an** pour des couvertures de 1 à 5 millions d'euros. Les **ETI** (CA de 50 à 500 millions d'euros) paieront entre **5 000 et 50 000 euros par an** selon la complexité de leur infrastructure et le niveau de garantie souhaité.

### Les leviers pour optimiser sa prime

Plusieurs facteurs permettent de réduire significativement le coût de la couverture. La mise en place de l'authentification multifacteur et d'un EDR peut réduire la prime de **10 à 20 %**. L'obtention d'une certification ISO 27001 ou l'adhésion au référentiel de l'ANSSI constitue un signal fort pour les assureurs. L'augmentation de la franchise permet également de diminuer la prime, à condition de disposer de la trésorerie nécessaire pour absorber le premier niveau de sinistre. Enfin, la **comparaison systématique** entre au moins trois offres reste le levier le plus efficace.

### Le rapport qualité/prix des insurtechs

Les insurtechs françaises comme Stoïk (48,3 millions d'euros levés depuis 2021) et Dattak (18 millions d'euros levés) proposent des offres particulièrement compétitives pour les PME. Leur modèle intègre des outils de cybersécurité dans le prix de la police : scan de vulnérabilités hebdomadaire, détection de compromission, campagne de phishing simulé. Ce modèle « assurance + prévention » représente souvent le meilleur rapport qualité/prix pour les entreprises de 10 à 500 salariés.

> **Comparez les meilleures offres de cyber assurance**
>
> Notre équipe analyse votre profil de risque et négocie auprès des assureurs traditionnels et des insurtechs spécialisées pour vous proposer la couverture la plus complète au meilleur tarif.
>
> [Recevoir des devis comparatifs gratuits](/contact) · [Parler à un expert cyber](/contact)

## Les exclusions à connaître avant de signer votre contrat

Aucun contrat de cyber assurance ne couvre la totalité des risques numériques. Comprendre les exclusions permet d'éviter les mauvaises surprises en cas de sinistre et de négocier des aménagements si nécessaire.

### Les actes de guerre et le cyberterrorisme

La quasi-totalité des polices excluent les dommages résultant d'actes de guerre, y compris la guerre informatique menée par des États. Cette exclusion soulève des questions complexes lorsqu'une cyberattaque est attribuée à un groupe soutenu par un État étranger, ce qui est le cas de nombreuses campagnes de ransomware. La frontière entre cybercriminalité et cyberguerre reste floue et fait l'objet de débats juridiques intenses.

### La négligence grave et le défaut de sécurité

Si l'assureur démontre que l'entreprise n'a pas respecté les mesures de sécurité minimales prévues au contrat (absence de MFA, sauvegardes inexistantes, systèmes non mis à jour), il peut réduire l'indemnisation, voire refuser totalement la prise en charge. Les **vulnérabilités connues et non corrigées** constituent le principal motif de contestation.

### Les actes malveillants internes

Le traitement des actes commis par un employé ou un prestataire varie selon les contrats. Certains couvrent les actes malveillants internes, d'autres les excluent totalement. Vérifiez attentivement ce point si votre entreprise emploie du personnel ayant accès à des données sensibles ou à des systèmes critiques.

### Les amendes et sanctions réglementaires

En France, les amendes administratives prononcées par la CNIL au titre du RGPD ou par d'autres autorités ne sont **pas assurables** en raison de leur caractère punitif et dissuasif. L'assurance couvre en revanche les frais de défense devant ces autorités, les coûts de mise en conformité imposés et les frais de notification.

### Les dommages matériels non liés à une attaque

Une panne informatique, un bogue logiciel ou une erreur humaine sans dimension malveillante ne relèvent généralement pas de la cyber assurance mais de l'assurance multirisque professionnelle ou de la garantie bris de machine.

![Dirigeant de PME consultant un tableau de bord de cybersécurité avec indicateurs de protection](https://res.cloudinary.com/dhsaq1mm8/image/upload/v1771650723/franceepargne/products/cyber-assurance/cyber-assurance-pme-dashboard.jpg)

_Seules 1,2 à 3 % des PME françaises disposent d'une cyber assurance en 2026_

> **Ne laissez pas votre entreprise sans protection cyber**
>
> Une cyberattaque coûte en moyenne 466 000 euros à une PME française. Avec France Épargne, bénéficiez d'un accompagnement personnalisé pour trouver la couverture qui correspond exactement à vos risques et à votre budget.
>
> [Protéger mon entreprise maintenant](/contact) · [Consulter nos guides cyber](/products/assurance-professionnelle)

## Questions fréquentes sur la cyber assurance

### La cyber assurance est elle obligatoire pour les entreprises ?

Non, la cyber assurance n'est pas légalement obligatoire en France. Cependant, elle est **fortement recommandée** pour toute entreprise qui dépend de son système d'information. Les directives NIS2 et DORA imposent des obligations de résilience numérique dont le non respect expose à des amendes pouvant atteindre 10 millions d'euros. La cyber assurance constitue un filet de sécurité complémentaire aux mesures de cybersécurité techniques.

### Quelle est la différence entre cyber assurance et assurance responsabilité civile professionnelle ?

La RC professionnelle couvre les dommages causés aux tiers dans le cadre de votre activité professionnelle, mais elle **ne couvre pas spécifiquement les incidents cyber**. La cyber assurance ajoute des garanties dédiées : perte d'exploitation liée à une attaque informatique, frais de gestion de crise, restauration des données, notification CNIL, cyber extorsion. Les deux couvertures sont complémentaires et non substituables.

### Pourquoi dois je déposer plainte sous 72 heures pour être indemnisé ?

La loi LOPMI du 24 janvier 2023 a introduit cette obligation dans le Code des assurances (article L.12-10-1). Le **dépôt de plainte dans les 72 heures** suivant la découverte de l'attaque est un préalable obligatoire à toute indemnisation par l'assureur. Cette disposition est d'ordre public : elle s'applique automatiquement, même si elle n'est pas mentionnée dans votre contrat. La plainte peut être déposée dans un commissariat, une brigade de gendarmerie ou en ligne.

### L'assurance cyber couvre t elle le paiement d'une rançon ?

En France, le paiement d'une rançon n'est **ni interdit ni obligatoire**. La loi LOPMI a confirmé la possibilité pour les assureurs de couvrir les rançons, sous réserve du dépôt de plainte sous 72 heures. Cependant, l'ANSSI déconseille formellement le paiement, car il finance les réseaux criminels et ne garantit pas la récupération des données. En pratique, les assureurs privilégient les solutions techniques de déchiffrement et de restauration avant d'envisager le paiement.

### Combien coûte une cyber assurance pour une PME ?

Pour une PME classique (10 à 250 salariés, CA de 2 à 50 millions d'euros), les primes se situent entre **1 000 et 5 000 euros par an** en 2026, pour des garanties de 1 à 5 millions d'euros. Le tarif dépend du secteur d'activité, du volume de données traitées, du niveau de maturité cyber et du montant de garantie souhaité. Le marché traverse actuellement une phase favorable avec des primes en baisse, c'est le moment idéal pour souscrire.

### Quels sont les prérequis techniques pour être éligible à une cyber assurance ?

Les assureurs exigent au minimum : l'**authentification multifacteur (MFA)** sur tous les accès critiques, des **sauvegardes externalisées** et déconnectées du réseau, un **antivirus ou EDR** sur tous les postes, et des **mises à jour régulières** des systèmes. Pour les entreprises de taille intermédiaire, un plan de continuité d'activité testé et une politique de sécurité formalisée sont également demandés. Le non-respect de ces prérequis peut entraîner un refus de couverture ou un refus d'indemnisation en cas de sinistre.

### La cyber assurance couvre t elle les amendes RGPD de la CNIL ?

Non. En France, les amendes administratives prononcées par la CNIL sont **non assurables** en raison de leur caractère punitif et dissuasif. L'assurance couvre en revanche les **frais périphériques** liés à un incident RGPD : frais d'avocat pour la défense devant la CNIL, coûts de notification aux personnes concernées, frais d'expert en protection des données, et accompagnement dans la mise en conformité imposée par la décision de la CNIL.

### Comment fonctionne la gestion de crise en cas de cyberattaque ?

Dès la déclaration du sinistre, l'assureur active une **cellule de crise** composée d'experts en cybersécurité, d'avocats spécialisés et de consultants en communication. L'équipe intervient en urgence pour contenir l'attaque, évaluer l'étendue des dommages, préserver les preuves numériques, et coordonner la réponse technique et juridique. Les meilleurs contrats proposent une hotline accessible **24 heures sur 24, 7 jours sur 7**, avec un délai d'intervention de quelques heures.

### Les actes malveillants d'un employé sont ils couverts ?

Cela dépend du contrat. Certaines polices couvrent les **actes malveillants internes** (sabotage informatique, vol de données par un employé), d'autres les excluent totalement. Ce point est crucial si votre entreprise emploie du personnel ayant des accès privilégiés à des systèmes critiques ou à des données sensibles. Vérifiez attentivement la clause relative aux « actes commis par un préposé » ou aux « actes de malveillance interne » dans les conditions générales.

### Quelle est la différence entre les insurtechs (Stoïk, Dattak) et les assureurs traditionnels ?

Les insurtechs proposent un modèle intégrant **assurance et cybersécurité** dans une offre unique. Stoïk et Dattak incluent des outils de prévention (scan de vulnérabilités, détection de compromission, simulation de phishing) dans le prix de la police. Les assureurs traditionnels (AXA, Allianz, Hiscox) offrent des capacités plus importantes et une couverture adaptée aux grandes entreprises et aux risques complexes. Pour les PME, les insurtechs proposent souvent le meilleur rapport qualité/prix.

### La directive NIS2 impacte t elle mon contrat de cyber assurance ?

Oui, significativement. La directive NIS2 impose des obligations de cybersécurité renforcées dans **18 secteurs d'activité**. Les assureurs utilisent désormais la conformité NIS2 comme critère de souscription. Une entreprise non conforme peut se voir **refuser la couverture** ou subir une majoration importante de sa prime. À l'inverse, démontrer sa conformité NIS2 constitue un argument pour négocier des conditions plus favorables.

### Que couvre la garantie perte d'exploitation cyber ?

La garantie perte d'exploitation indemnise la **perte de marge brute** résultant de l'interruption ou de la diminution de l'activité suite à un incident cyber couvert. Elle prend également en charge les **frais supplémentaires d'exploitation** engagés pour maintenir un niveau minimal de service (location de matériel de remplacement, recours à des prestataires externes). La période d'indemnisation varie de 1 à 3 ans selon les contrats. La durée médiane d'interruption après une cyberattaque étant de 8 jours, cette garantie est essentielle.

### Puis je souscrire une cyber assurance si mon entreprise a déjà été victime d'une cyberattaque ?

Oui, dans la plupart des cas. Un antécédent de sinistre n'est pas automatiquement rédhibitoire, mais il sera pris en compte dans l'évaluation du risque. L'assureur examinera les **mesures correctives** mises en place après l'incident et le niveau de maturité cyber actuel de l'entreprise. Il est possible que la prime soit majorée ou que certaines exclusions spécifiques soient ajoutées. Faire appel à un courtier spécialisé facilite la démarche dans ce contexte.

### La cyber assurance couvre t elle les sous traitants et les prestataires ?

La plupart des contrats couvrent les dommages subis par l'entreprise assurée du fait d'une défaillance d'un **sous traitant informatique** (hébergeur, prestataire cloud, éditeur de logiciel). En revanche, les dommages causés à un tiers par l'intermédiaire des systèmes de l'entreprise relèvent de la **garantie responsabilité civile cyber**. Pour les ETI et les grandes entreprises, des couvertures étendues incluant les filiales et les sous traitants critiques peuvent être négociées.

### Comment déclarer un sinistre cyber à mon assureur ?

En cas de cyberattaque, la première étape est de contacter immédiatement la **hotline de votre assureur** (numéro disponible 24/7 dans votre contrat) pour activer les garanties d'assistance. Parallèlement, vous devez **déposer plainte sous 72 heures** (obligation LOPMI) et **notifier la CNIL dans les 72 heures** si des données personnelles sont compromises (obligation RGPD). La déclaration formelle de sinistre doit ensuite être adressée par courrier recommandé à votre assureur dans le délai prévu par le contrat, généralement 5 jours ouvrés.

### La cyber assurance protège t elle contre les deepfakes et les fraudes à l'IA ?

Les deepfakes vocaux et vidéo sont devenus l'une des menaces les plus redoutées en 2026, cités par **39 % des responsables informatiques**. La plupart des contrats de cyber assurance couvrent les pertes financières résultant d'une **fraude informatique**, y compris lorsqu'elle utilise des deepfakes (fraude au président, usurpation d'identité). Certains assureurs commencent à proposer des garanties spécifiques liées aux risques de l'intelligence artificielle. Vérifiez que votre contrat ne limite pas la couverture aux seules « atteintes au système d'information ».

### Quel est le délai d'indemnisation après un sinistre cyber ?

Les garanties d'assistance sont activées **immédiatement** après la déclaration du sinistre, avec un délai d'intervention des experts de quelques heures. Pour l'indemnisation financière (perte d'exploitation, frais de restauration), le délai légal est de **30 jours** après accord entre l'assuré et l'assureur sur le montant. En pratique, l'évaluation des dommages peut prendre plusieurs semaines, notamment pour la perte d'exploitation qui nécessite l'intervention d'un expert-comptable mandaté par l'assureur.

### Comment choisir le bon montant de garantie pour ma cyber assurance ?

Le montant de garantie doit couvrir le **scénario catastrophe réaliste** pour votre entreprise. Estimez la perte de chiffre d'affaires en cas d'arrêt total de votre activité pendant 2 à 4 semaines, ajoutez les coûts de restauration informatique (30 000 à 200 000 euros selon la taille), les frais de notification RGPD (environ 10 euros par personne concernée), les frais juridiques et de gestion de crise. Pour une PME réalisant 5 millions d'euros de CA, une garantie de 1 à 3 millions d'euros constitue une base solide.

### Les associations et les collectivités peuvent elles souscrire une cyber assurance ?

Oui. Les associations, les collectivités territoriales et les établissements publics sont éligibles à la cyber assurance, et leur exposition aux risques est significative. En 2024, **20 % des cyberattaques** en France ont ciblé des collectivités territoriales. Des offres spécifiques existent pour ces structures, avec des primes adaptées à leur budget et à leur profil de risque. La directive NIS2 étend d'ailleurs ses obligations à certaines entités publiques.

### La cyber assurance couvre t elle le télétravail et les appareils personnels des salariés ?

La couverture du télétravail est devenue un standard des contrats de cyber assurance depuis 2020. Les incidents survenant sur des **postes distants connectés au réseau de l'entreprise** sont généralement couverts. En revanche, les appareils personnels des salariés (BYOD) peuvent poser problème si l'entreprise n'a pas mis en place une politique de sécurité adaptée (MDM, VPN, chiffrement). Vérifiez que votre contrat ne limite pas la couverture aux seuls équipements « propriété de l'entreprise ».

### Puis je résilier ma cyber assurance à tout moment ?

Oui. La **loi Hamon** vous permet de résilier votre contrat de cyber assurance **à tout moment après la première année** de souscription, sans frais ni pénalité. Il suffit d'envoyer une lettre recommandée à votre assureur ou de confier cette démarche à votre nouvel assureur. Cette flexibilité vous permet de profiter des meilleures offres du marché et de renégocier régulièrement vos conditions. Le préavis de résiliation est d'un mois.