En France, 70 % des victimes de cyberattaques sont des PME et TPE, pourtant moins de 36 % d'entre elles disposent d'une couverture adaptée. Le coût moyen d'une interruption d'activité de 48 heures dépasse 50 000 €. En 2026, deux textes réglementaires — la directive NIS2 et la loi LOPMI — redessinent les obligations des entreprises et les conditions d'indemnisation. Voici ce que vous devez savoir pour choisir la bonne couverture.
Le risque cyber en 2026 : chiffres clés
Le marché français de la cyber-assurance représente 317 millions d'euros de primes en 2024, selon le rapport LUCY de l'AMRAE. Malgré une légère baisse du volume global (-3 %), le nombre de polices actives progresse de 5 % et la sinistralité par sinistre explose : le sinistre moyen est passé à 121 718 euros en 2024, soit quasiment le double de l'année précédente.
Côté PME et TPE, le tableau est préoccupant :
- 74 % des TPE/PME françaises ne disposent pas d'une couverture cyber adaptée, selon Hiscox.
- Le coût moyen d'une cyberattaque pour une PME atteint 466 000 € toutes conséquences confondues.
- 60 % des PME non assurées déposent le bilan dans les 6 mois suivant une attaque majeure.
- Les primes pour les micro-entreprises ont augmenté de +44 % en un an, reflet de la sinistralité croissante de ce segment.
Ce marché reste donc très peu mature, avec une sous-assurance massive qui expose des millions d'entreprises françaises à un risque existentiel. Consultez notre guide sur la RC Pro et la responsabilité de l'entreprise pour comprendre comment la cyber-assurance s'articule avec les autres couvertures professionnelles.
Ce que NIS2 et LOPMI changent concrètement
La loi LOPMI : dépôt de plainte obligatoire en 72 heures
Condition d'indemnisation — À connaître impérativement
Depuis l'entrée en vigueur de la loi LOPMI, tout contrat d'assurance cyber est conditionné à un dépôt de plainte dans les 72 heures suivant la découverte de l'attaque. Sans ce dépôt de plainte auprès de la police nationale ou de la gendarmerie, votre assureur peut légalement refuser tout versement d'indemnisation, y compris le remboursement d'une rançon. Identifiez à l'avance les coordonnées de votre brigade ou commissariat compétent et intégrez ce réflexe dans votre plan de réponse aux incidents.
La directive NIS2 et la Loi Résilience
La directive européenne NIS2 est transposée en droit français via la Loi Résilience, dont les décrets d'application sont en cours de publication au premier semestre 2026. Elle concerne directement 15 000 à 18 000 entreprises françaises dans des secteurs critiques (énergie, santé, transports, finance, eau, numérique).
Sont concernées les entités importantes (50 à 249 salariés OU chiffre d'affaires supérieur à 10 millions d'euros dans les secteurs couverts) et les entités essentielles (plus de 250 salariés ET CA supérieur à 50 millions d'euros). Les PME sous-traitantes de ces secteurs sont également concernées par ricochet.
Les obligations concrètes incluent : déclaration sur le portail MonEspaceNIS2 de l'ANSSI, signalement des incidents majeurs sous 24 heures, authentification multifacteur obligatoire, chiffrement des données et audits de sécurité tous les 2 ans minimum. Les sanctions atteignent jusqu'à 10 millions d'euros ou 2 % du CA mondial, et les dirigeants sont personnellement responsables.
Pour les entreprises concernées par NIS2, la cyber-assurance devient un complément indispensable à la conformité, et non un substitut. Elle couvre les conséquences financières d'un incident, pas les amendes réglementaires.
Les garanties essentielles d'une cyber-assurance
Un contrat cyber complet doit couvrir deux dimensions : les frais et pertes subis par votre entreprise (premier poste) et la responsabilité civile cyber vis-à-vis des tiers (deuxième poste). Voici les postes à exiger :
| Garantie | Ce qu'elle couvre | Importance |
|---|---|---|
| Frais de remédiation informatique | Experts IT pour stopper l'attaque, restaurer systèmes et données | Essentielle |
| Pertes d'exploitation | Baisse de CA + frais supplémentaires pendant l'interruption | Essentielle |
| Notification RGPD | Frais de déclaration CNIL et de notification aux personnes concernées | Essentielle |
| Paiement de rançon | Remboursement de la rançon versée (sous conditions strictes) | Importante |
| Gestion de crise | Communication, cellule de crise, soutien juridique | Importante |
| RC cyber (tiers) | Réclamations de clients ou partenaires victimes de la fuite | Importante |
| Cyber-fraude / détournement | Fonds détournés via logiciel malveillant ou usurpation | Selon activité |
| Assistance 24/7 | Numéro d'urgence avec experts disponibles en continu | Importante |
Comparatif des principaux assureurs cyber pour PME/TPE
Stoik — L'assurtech cyber française
Stoik est la principale assurtech française spécialisée dans le cyber pour PME et ETI, avec plus de 10 000 entreprises assurées en Europe. Son positionnement unique : combiner assurance et cybersécurité proactive. Chaque assuré bénéficie d'un scan de vulnérabilités externe hebdomadaire automatique, d'une détection de compromissions en temps réel et de campagnes de simulation de phishing, sans surcoût.
Points forts de Stoik
- Monitoring proactif hebdomadaire inclus dans le contrat
- Couvre les PME jusqu'à 250 millions d'euros de CA
- Accepte des secteurs souvent refusés ailleurs (avocats, courtiers, services financiers)
- Plafonds jusqu'à 10 millions d'euros selon le profil
- Hotline 24/7 avec experts IT, juridiques et communication de crise
Points faibles de Stoik
- Souscription uniquement via courtier partenaire (pas de devis direct en ligne)
- RC professionnelle classique non couverte (contrat cyber seul)
- Secteurs exclus : jeux en ligne, crypto-monnaies, vente d'armes
Tech360 by Onlynnov — RC Pro + Cyber pour les entreprises tech
Tech360 est un produit conçu spécifiquement pour les entreprises technologiques (éditeurs de logiciels, ESN, consultants IT, startups SaaS, intégrateurs). Sa particularité : réunir la RC Professionnelle et le cyber dans un seul contrat, ce qui simplifie la gestion et élimine les risques de lacune de couverture entre les deux polices. Les garanties atteignent jusqu'à 5 millions d'euros, la couverture est mondiale d'emblée (USA/Canada inclus), et plus de 50 activités tech sont éligibles. Prix d'entrée : à partir de 49 €/mois.
Hiscox CyberClear — Le spécialiste historique
Hiscox est présent sur le cyber depuis près de 30 ans. Son offre CyberClear comprend une nouveauté 2025-2026 remarquable : CyberClear Premium, qui inclut des services Norton (antivirus, pare-feu, gestionnaire de mots de passe, backup cloud) et propose une franchise à zéro euro — unique sur le marché. L'offre standard part de 9,99 €/mois pour les petites structures, avec en bonus une réduction de 1 000 € sur la franchise si 80 % des collaborateurs suivent les modules de formation en ligne.
AXA Cyber Secure — La couverture la plus large
AXA est le premier assureur des entreprises en France (une PME sur trois est cliente). Son contrat Cyber Secure se distingue par une assistance 24/7 avec réponse garantie en moins de 30 minutes et une couverture de postes rarement inclus ailleurs : re-référencement SEO post-attaque, surfacturation téléphonique liée à une compromission, découverts bancaires. Les tarifs sont personnalisés via agence.
Allianz Cyber 25 / Cyber+ — La souscription simplifiée
Allianz propose deux offres claires : Cyber 25 pour les PME avec un CA inférieur à 25 millions d'euros, et Cyber+ pour les ETI jusqu'à 250 millions d'euros. La souscription ne nécessite pas de questionnaire long, et la franchise est réduite de moitié après 2 ans sans sinistre — un mécanisme incitatif original qui récompense les bons assurés.
Tarifs indicatifs selon votre profil
| Profil entreprise | Fourchette annuelle | Plafond courant | Franchise courante |
|---|---|---|---|
| TPE <5 sal., CA <200 k€ | 400 – 1 200 €/an | 100 000 – 500 000 € | 1 000 – 5 000 € |
| PME 10–50 sal., CA <5 M€ | 1 200 – 5 000 €/an | 500 000 – 2 M€ | 5 000 – 15 000 € |
| PME 50–100 sal., CA <25 M€ | 5 000 – 15 000 €/an | 1 – 5 M€ | 10 000 – 50 000 € |
| ETI 100–250 sal., CA <100 M€ | 15 000 – 80 000 €/an | 5 – 10 M€ | 50 000 – 150 000 € |
Ces fourchettes sont indicatives et varient selon le secteur d'activité, les données traitées, les mesures de sécurité en place et les garanties choisies. Un cabinet d'avocats ou une clinique paiera davantage qu'un commerce de détail de même taille, en raison de la sensibilité des données traitées.
Conditions d'assurabilité minimales en 2026
Les assureurs convergent vers les mêmes prérequis techniques, désormais quasi-systématiques pour accéder à une cyber-assurance :
- Authentification multifacteur (MFA) sur tous les accès critiques (messagerie, VPN, outils cloud, administration système).
- Sauvegardes régulières testées et chiffrées, stockées hors ligne ou sur une infrastructure séparée.
- Mises à jour des logiciels et systèmes documentées (politique de gestion des correctifs).
- Filtrage des flux réseau entrant et sortant (pare-feu actif et configuré).
- Formation minimale des collaborateurs aux risques de phishing et d'ingénierie sociale.
- Plan de réponse aux incidents documenté, même minimal, avec les contacts d'urgence (assureur, brigade cyber, prestataire IT).
Sans ces mesures en place, un assureur peut refuser la souscription, appliquer une surprime importante ou exclure certaines garanties (notamment le ransomware). L'ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF), qui sert de cadre de référence pour évaluer la maturité cyber d'une entreprise.
Quel assureur selon votre situation ?
Vous êtes une TPE de moins de 10 salariés peu équipée en IT : optez pour Hiscox CyberClear Premium (à partir de 9,99 €/mois, services Norton inclus, franchise à 0 €) ou Stoik si votre secteur est couvert (monitoring hebdomadaire inclus, dès 44 €/mois).
Vous êtes une entreprise tech ou un cabinet de conseil IT : Tech360 by Onlynnov est conçu pour vous — RC Pro + Cyber dans un seul contrat, couverture mondiale dès 49 €/mois, plus de 50 activités tech éligibles dont l'IA et la e-santé.
Vous êtes une PME tous secteurs avec CA entre 1 et 25 millions d'euros : Allianz Cyber 25 (souscription simple, franchise évolutive) ou AXA Cyber Secure (réponse en 30 minutes, couverture la plus large) sont les choix de référence.
Vous souhaitez une approche préventive avec monitoring en continu : Stoik est le seul à proposer des scans de vulnérabilités hebdomadaires automatiques inclus dans le contrat, ce qui réduit le risque d'attaque en amont et peut justifier une prime plus compétitive. Pour en savoir plus sur les assurances professionnelles et la protection des biens de votre entreprise, consultez notre guide sur la protection des biens et locaux professionnels.
Questions fréquentes
Non, l'assurance cyber n'est pas obligatoire en droit français. Cependant, la directive NIS2 impose des obligations de sécurité informatique à environ 15 000 entreprises françaises dans des secteurs critiques. Par ailleurs, la loi LOPMI conditionne le versement de l'indemnisation assurance à un dépôt de plainte dans les 72 heures suivant la découverte de l'attaque.
Pour une TPE de moins de 10 salariés avec un CA inférieur à 500 000 €, les tarifs varient de 400 à 1 500 €/an selon le secteur d'activité et les garanties choisies. Hiscox propose une entrée à 9,99 €/mois pour les petites structures, Stoik part de 44 €/mois pour certains profils. Les entreprises manipulant des données de santé ou bancaires paieront davantage.
Pas automatiquement. La plupart des contrats incluent une garantie "paiement de rançon" mais elle est soumise à des conditions strictes : déclaration préalable à l'assureur, dépôt de plainte (LOPMI), validation du paiement par l'assureur. Certains assureurs excluent le paiement si l'auteur de l'attaque est une entité sanctionnée. Lisez attentivement les conditions de cette garantie.
En cas de ransomware, une cyber-assurance peut couvrir : les frais d'experts informatiques pour stopper l'attaque, la restauration des données et systèmes, les pertes d'exploitation pendant l'interruption d'activité, le paiement de rançon (sous conditions), les frais juridiques et de notification aux clients touchés (obligation RGPD), et les frais de communication de crise. Le coût total peut dépasser 50 000 € pour 48h d'arrêt.
Les assureurs convergent vers 6 prérequis en 2026 : authentification multifacteur (MFA) sur les accès critiques, sauvegardes régulières testées et stockées hors ligne, mises à jour logicielles documentées, filtrage des flux réseau, formation minimale des collaborateurs au phishing, et un plan de réponse aux incidents. Sans ces mesures, un assureur peut refuser la souscription ou exclure certaines garanties.