L'état de la menace cyber en 2026
Les cyberattaques contre les TPE et PME ont connu une explosion sans précédent depuis 2020. Contrairement à une idée reçue, les pirates ne ciblent pas uniquement les grandes entreprises : les petites structures sont devenues des cibles privilégiées, précisément parce qu'elles sont moins bien protégées.
| Type d'attaque | Fréquence TPE/PME | Coût moyen par incident |
|---|---|---|
| Ransomware (rançongiciel) | Attaque n°1 en 2026 | 50 000–500 000 € |
| Phishing (hameçonnage) | 90 % des intrusions initiales | 5 000–50 000 € |
| Fraude au président (BEC) | En hausse de +60 % en 2025 | 20 000–200 000 € |
| Violation de données (RGPD) | 1 entreprise sur 3 | 30 000–150 000 € |
| Déni de service (DDoS) | Fréquent pour e-commerce | 2 000–30 000 €/jour |
Selon l'ANSSI, 52 % des PME victimes d'un ransomware n'ont pas repris leur activité dans les 6 mois. Le délai moyen de remise en service des systèmes après une attaque sérieuse est de 23 jours. Sans couverture perte d'exploitation incluse dans votre cyber, ces 23 jours peuvent être fatals à votre trésorerie.
Ce que couvre l'assurance cyber
Un contrat cyber complet se divise en deux grandes familles de garanties : les dommages propres (subis par l'entreprise elle-même) et la responsabilité civile envers les tiers dont les données ont été compromises.
🛡️ Dommages propres à l'entreprise
- Frais de gestion de crise : experts informatiques (forensics), cellule de crise 24h/24, communication de crise
- Restauration des données : récupération ou reconstitution des données perdues ou chiffrées
- Remise en état des systèmes : désinfection, réinstallation, renforcement de la sécurité
- Perte d'exploitation cyber : compensation du chiffre d'affaires perdu pendant l'interruption
- Rançon : remboursement partiel ou total de la rançon payée (selon conditions contractuelles)
- Fraude au virement (BEC) : perte financière suite à une escroquerie par email
⚖️ Responsabilité envers les tiers
- Notification RGPD : frais d'information des personnes concernées et de notification à la CNIL (article 33 RGPD)
- Frais de défense : honoraires d'avocats en cas de plainte ou d'enquête CNIL
- Amendes et pénalités : sanctions RGPD (dans la limite de ce qui est assurable en droit français)
- Dommages aux clients : indemnisation des tiers dont les données ont été divulguées
- Atteinte à l'image : frais de relation presse et de réputation
Ce qui n'est PAS couvert — les exclusions critiques
L'assurance cyber comporte des exclusions importantes à connaître avant toute sinistre. Ignorer ces exclusions peut mener à de mauvaises surprises au moment de la déclaration.
| Exclusion | Pourquoi elle s'applique | Comment s'en prémunir |
|---|---|---|
| Faute intentionnelle ou fraude interne | Acte malveillant d'un salarié ou dirigeant | Contrôles d'accès stricts, séparation des droits |
| Guerre cyber (war exclusion) | Attaque attribuée à un État souverain (voir affaire Mondelez/NotPetya) | Vérifier si votre contrat précise « cyberguerre » vs « cyberterrorisme » |
| Infrastructure non maintenue | Systèmes non patchés depuis > 12 mois | Appliquer les mises à jour de sécurité régulièrement |
| Absence de sauvegarde | Négligence manifeste (pas de backup depuis >30 jours) | Sauvegardes automatiques quotidiennes hors-ligne |
| Attaques antérieures au contrat | Sinistre en cours lors de la souscription | Souscrire avant toute incident connu |
| Amendes RGPD importantes | Partie des amendes non assurable (caractère punitif) | Mettre en conformité RGPD avant le sinistre |
En 2017, le ransomware NotPetya (attribué par plusieurs gouvernements à la Russie) a détruit les systèmes de Mondelez (Oreo, LU). Zurich Insurance a refusé d'indemniser 100 M$ de dégâts, invoquant la clause « acte de guerre ». Ce précédent illustre l'importance de lire attentivement la définition de « cyberguerre » dans votre contrat.
Cas pratiques détaillés
🔒 Cas 1 : Ransomware sur un cabinet comptable (15 salariés)
Un email de phishing permet l'installation d'un ransomware. Tous les fichiers clients sont chiffrés. L'assurance cyber intervient pour : payer l'expert forensics (8 000 €), restaurer les données depuis les sauvegardes (3 jours, 6 000 €), compenser 5 jours d'interruption d'activité (22 000 € de perte d'exploitation), et gérer la communication clients. Coût total sans assurance : ~45 000 €.
📧 Cas 2 : Fraude au président dans une PME industrielle
Un faux email du PDG ordonne à la comptable de virer 85 000 € à un « fournisseur urgent ». Le virement est effectué un vendredi soir. L'assurance cyber rembourse la perte financière (sous conditions : dépôt de plainte immédiat, tentative de blocage du virement, absence de faute manifeste). Délai de déclaration : 48h maximum.
🗃️ Cas 3 : Violation de données dans un e-commerce (8 000 clients)
Une faille dans le site web expose les données de 8 000 clients (noms, emails, adresses). L'obligation RGPD de notification à la CNIL sous 72h est couverte. L'assurance prend en charge : l'envoi des lettres de notification aux clients (4 000 €), les honoraires d'avocat RGPD (6 000 €), les frais de remédiation technique (3 000 €) et le monitoring d'identité offert aux clients (2 500 €).
Comment choisir son assurance cyber
Face à la multiplication des offres, voici les critères objectifs à examiner pour comparer efficacement les contrats cyber.
| Critère | Ce qu'il faut vérifier | Seuil recommandé TPE/PME |
|---|---|---|
| Plafond de garantie | Montant max par sinistre pour tous postes confondus | ≥ 500 K€ pour PME de 10–50 salariés |
| Perte d'exploitation cyber | Indemnisation dès la 1re heure ou après franchise horaire | Franchise < 8 heures, durée ≥ 12 mois |
| Assistance 24/7 | Numéro d'urgence cyber disponible nuit et week-end | Exiger un accès direct à un expert, pas un standard |
| Couverture rançon | Conditions de prise en charge, plafond, dépôt de plainte requis | 50–100 % du montant payé, dépôt de plainte obligatoire |
| Exclusion cyberguerre | Périmètre exact de la clause war exclusion | Exclure uniquement les conflits armés entre États reconnus |
| Services de prévention inclus | Scan de vulnérabilités, formation anti-phishing, PCA | Un minimum de 2 services préventifs inclus |
NIS2 : les nouvelles obligations de sécurité 2024–2026
La directive européenne NIS2 (Network and Information Security), transposée en droit français par la loi du 17 octobre 2024, étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité.
Les entreprises de taille intermédiaire (50–250 salariés, CA 10–50 M€) dans 18 secteurs critiques : énergie, transport, santé, eau, infrastructure numérique, administrations publiques, espace. Si vous êtes sous-traitant d'une entité NIS2, les obligations de sécurité se transmettent à vous contractuellement.
Les obligations NIS2 incluent : la mise en place d'une politique de gestion des risques cyber, la déclaration des incidents graves à l'ANSSI sous 24h, la formation des dirigeants à la cybersécurité, et la sécurisation de la chaîne d'approvisionnement. Le non-respect peut entraîner des sanctions administratives et engage la responsabilité personnelle des dirigeants. Une assurance cyber conforme à NIS2 peut faciliter la démonstration de la « diligence raisonnable » en matière de cybersécurité.
Réduire sa prime cyber de 30 à 50 %
Les assureurs évaluent votre maturité cyber avant de tarifer votre contrat. Mettre en place les mesures suivantes peut réduire votre prime significativement — certains assureurs offrent jusqu'à 50 % de réduction pour les entreprises qui cochent toutes les cases.
| Mesure de sécurité | Réduction de prime estimée | Coût de mise en place |
|---|---|---|
| Authentification multifacteur (MFA) sur tous les accès | −15 à −25 % | Gratuit à 5 €/utilisateur/mois |
| Sauvegardes hors-ligne testées régulièrement | −10 à −20 % | 50–300 €/mois selon volume |
| Mises à jour et patchs de sécurité < 30 jours | −5 à −15 % | Procédure interne (0 € si bien organisé) |
| Formation annuelle des salariés au phishing | −5 à −10 % | 500–3 000 €/an pour une PME |
| Plan de continuité d'activité (PCA) documenté | −5 à −10 % | Journée de consultant (~1 500 €) |
| EDR/antivirus professionnel centralisé | −5 à −10 % | 3–8 €/poste/mois |
Ces investissements en sécurité sont doublement rentables : ils réduisent la prime d'assurance et diminuent la probabilité d'un sinistre. Un assureur qui vous propose un tarif sans évaluer ces points de sécurité préalables doit vous alerter sur la qualité de sa couverture.
FAQ — Assurance Cyber (7 questions)
Certains contrats cyber incluent une couverture pour le paiement de la rançon, mais cette pratique est juridiquement controversée en France. L'ANSSI et les autorités déconseillent officiellement de payer les rançons. Certains assureurs conditionnent la prise en charge au dépôt d'une plainte préalable. Lisez attentivement les conditions de votre contrat sur ce point.
Sans assurance cyber, vous devez financer vous-même les frais de notification aux personnes concernées, les frais juridiques pour notifier la CNIL sous 72h (art. 33 RGPD), les éventuelles amendes, les frais de forensics informatique et les pertes d'exploitation. Ces coûts peuvent dépasser 100 000 € pour une PME de taille moyenne.
Non, l'assurance cyber n'est pas légalement obligatoire en France. Cependant, la directive européenne NIS2 (transposée en droit français en 2024) impose des obligations de sécurité informatique aux entreprises dites essentielles. Une cyberattaque peut engager votre responsabilité si vous n'avez pas mis en place les mesures de sécurité adéquates.
Pour une TPE (moins de 10 salariés), les primes varient de 500 € à 2 000 € par an. Pour une PME (10–250 salariés), comptez entre 2 000 € et 15 000 € selon le secteur d'activité et les garanties choisies. La mise en place de mesures de sécurité (MFA, sauvegardes, formation) peut réduire la prime de 30 à 50 %.
La clause war exclusion exclut les cyberattaques considérées comme des actes de guerre ou de cyberguerre entre États. En 2022, Mondelez (Oreo) a perdu un procès contre Zurich Insurance qui refusait de couvrir les dommages de NotPetya (attaque russe), invoquant cette clause. Depuis, certains assureurs ont précisé leurs contrats pour définir plus clairement ce qui constitue une cyberguerre.
La MRP standard ne couvre pas les cyberattaques. Certains assureurs proposent une extension cyber dans leur MRP, mais avec des plafonds très limités (souvent 25 000 à 50 000 €). Pour une protection réelle, une assurance cyber dédiée avec des plafonds adaptés à votre activité est indispensable.
La fraude au président (Business Email Compromise ou BEC) consiste à usurper l'identité d'un dirigeant par email pour ordonner un virement frauduleux. L'assurance cyber peut couvrir les pertes financières liées à cette fraude sous certaines conditions : déclaration rapide, dépôt de plainte, et à condition que la fraude soit bien liée à une compromission informatique. Certains contrats excluent les virements frauduleux non liés à une intrusion technique.