Assurance Cyber PME Cybersécurité Budget Ransomware

Assurance Cyber PME : Guide Complet 2026

Par Meldis

En résumé

  • 1,2 % des PME françaises seulement sont assurées contre le risque cyber (AMRAE LUCY 2025)
  • Prime dès 1 000 €/an pour une PME de 10-20 salariés avec un plafond de 500k à 2 M€
  • Sinistres PME en hausse de +353 % en 2024 — la tendance tarifaire pourrait s’inverser
  • Loi LOPMI : dépôt de plainte obligatoire dans les 72h pour être indemnisé
  • Prérequis clés : MFA, sauvegardes testées, mises à jour — sans eux, pas de couverture possible

Une cyberattaque coûte en moyenne entre 25 000 et 50 000 € à une PME française — et plusieurs centaines de milliers d’euros en cas de paralysie prolongée (CPME/Hiscox 2024). Sans assurance cyber, cette somme sort directement de la trésorerie. Les conséquences financières peuvent menacer la survie même de l’entreprise. Pourtant, selon le rapport AMRAE LUCY 2025, seulement 1,2 % des PME françaises sont assurées contre le risque cyber, contre 95 % des grandes entreprises. Pire : 72 % des PME croient être couvertes alors que seules 39 % le sont réellement (CLUSIF 2025). L’assurance cyber n’est pas obligatoire en France, mais elle est devenue un filet de sécurité indispensable. Encore faut-il comprendre ce qu’elle couvre, combien elle coûte et quels prérequis techniques les assureurs exigent. Ce guide fait le point pour les PME en 2026, avec un focus sur les prérequis que Meldis peut vous aider à remplir.

À retenir

Seules 1,2 % des PME françaises sont assurées contre le risque cyber (AMRAE LUCY 2025), contre 95 % des grandes entreprises. Pourtant, une attaque coûte en moyenne entre 25 000 et 50 000 € — sans compter les pertes d’exploitation qui peuvent s’étaler sur plusieurs semaines.

Qu’est-ce qu’une assurance cyber ?

Définition

L’assurance cyber est un contrat d’assurance couvrant les pertes financières résultant d’un incident de sécurité informatique. Elle prend en charge les dommages directs (remédiation, restauration des données, pertes d’exploitation) et la responsabilité civile envers les tiers affectés.

Concrètement, une assurance cyber couvre les conséquences d’un ransomware, d’un vol de données, d’une fraude par ingénierie sociale ou d’une interruption d’activité liée à une attaque informatique.

Contrairement à une assurance responsabilité civile classique ou à une assurance multirisque professionnelle, l’assurance cyber couvre spécifiquement les dommages numériques. La plupart des contrats RC Pro et multirisque excluent explicitement les incidents cyber ou ne les couvrent que de manière marginale — une erreur fréquente que découvrent les PME au moment de déclarer un sinistre.

Pour une PME, l’assurance cyber intervient comme un complément aux mesures de sécurité techniques. Elle ne remplace pas la protection, elle complète la stratégie de gestion des risques. Un assureur ne couvrira pas une entreprise qui n’a aucune mesure de sécurité en place.

Que couvre l’assurance cyber ? Les garanties détaillées

Les contrats d’assurance cyber pour PME couvrent généralement trois grandes catégories de risques.

Gestion de crise et réponse à incident

C’est souvent la garantie la plus précieuse pour une PME. En cas d’attaque, l’assureur mobilise immédiatement :

  • Experts forensiques pour analyser l’intrusion et contenir l’attaque.
  • Avocats spécialisés pour les obligations légales (notification CNIL, dépôt de plainte LOPMI).
  • Consultants en communication de crise pour gérer l’impact réputationnel.
  • Prestataires de restauration pour remettre les systèmes en état.

Pour une PME sans service de réponse à incident interne, cette mobilisation rapide d’experts peut faire la différence entre une interruption de quelques jours et une paralysie de plusieurs semaines.

Pertes d’exploitation

L’assurance couvre les conséquences financières de l’interruption d’activité :

  • Chiffre d’affaires perdu pendant la période d’arrêt.
  • Charges fixes maintenues malgré l’arrêt (loyers, salaires, abonnements).
  • Frais supplémentaires : location d’équipements, heures supplémentaires, prestataires ponctuels.
  • Perte de marge brute liée à la dégradation de l’activité.

Les meilleures polices étendent cette garantie aux interruptions causées par un incident chez un fournisseur critique déclaré au contrat.

Responsabilité civile et frais réglementaires

  • Frais de notification aux personnes concernées en cas de violation de données (obligation RGPD - CNIL).
  • Prise en charge des amendes administratives dans la limite de leur assurabilité légale.
  • Indemnisation des tiers lésés par la fuite de données.
  • Frais de cyber-extorsion : dans certains contrats, prise en charge de la rançon (sujet controversé).
  • Fraude par ingénierie sociale : arnaque au président, faux RIB, faux fournisseur.

Ce que l’assurance cyber ne couvre PAS

Exclusion Explication
Actes de guerre et terrorisme d'État Cyberattaques attribuées à un État (ex : guerre hybride)
Négligences manifestes Systèmes non mis à jour, absence totale de protection
Dommages antérieurs Incidents survenus avant la souscription
Cryptomonnaies Pertes liées aux actifs numériques
Amendes pénales Les amendes pénales ne sont pas assurables en France
Amélioration des systèmes L'assurance restaure, elle n'améliore pas

Combien coûte une assurance cyber pour une PME ?

En 2026, les tarifs sont en baisse pour les grandes entreprises grâce à une concurrence accrue (-18 % en moyenne selon l’AMRAE). Mais attention : les sinistres déclarés par les PME ont bondi de +353 % en 2024 (AMRAE LUCY 2025), ce qui pourrait inverser la tendance. Le nombre de PME assurées progresse de +33 % par an, signe d’une prise de conscience.

Tarifs par taille d’entreprise

Taille entreprise Prime annuelle Plafond garanti Franchise
TPE (1-10 salariés) 300 - 1 500 €/an 200k - 1 M€ 1 000 - 5 000 €
Petite PME (10-20 salariés) 1 000 - 3 000 €/an 500k - 2 M€ 5 000 - 10 000 €
PME (20-50 salariés) 3 000 - 7 000 €/an 1 - 3 M€ 10 000 - 25 000 €
PME (50-100 salariés) 5 000 - 12 000 €/an 2 - 5 M€ 15 000 - 50 000 €
ETI (100-500 salariés) 15 000 - 50 000 €/an 5 - 20 M€ 25 000 - 100 000 €

Source : données AMRAE 2025 et courtiers spécialisés.

Les facteurs qui influencent le prix

Le montant de la prime dépend de plusieurs critères :

  • Chiffre d’affaires : plus il est élevé, plus la prime augmente.
  • Secteur d’activité : santé, finance et tech paient plus cher (données sensibles).
  • Maturité cyber : une entreprise avec MFA, sauvegardes et formation obtient de meilleurs tarifs.
  • Historique de sinistres : zéro sinistre = tarif favorable.
  • Volume de données personnelles : bases clients importantes = surprime.
  • Plafond de garantie choisi : doublez le plafond, augmentez la prime de 40 à 60 %.

Comment réduire sa prime

  • Améliorez votre posture de sécurité : MFA, sauvegardes testées, formation = réduction de 15 à 30 %.
  • Certification ISO 27001 : réduction de 10 à 25 %.
  • Groupez vos contrats : un package RC Pro + multirisque + cyber chez le même assureur génère souvent une décote.
  • Comparez les offres : consultez au moins 3 courtiers ou insurtechs (Stoïk, Dattak, Hiscox, Onlynnov).
  • Historique sans sinistre : valorisez votre dossier auprès de l’assureur.

+353 % de sinistres PME en 2024 : la tendance tarifaire pourrait s'inverser

Les grandes entreprises bénéficient d'une baisse de 18 % des primes. Pour les PME, la hausse des sinistres risque de durcir les conditions de souscription. Mieux vaut souscrire avant que les tarifs ne remontent.

Évaluer ma protection

Les prérequis techniques pour souscrire une assurance cyber

Les assureurs ne couvrent pas les entreprises qui ne font aucun effort de protection. En 2026, les questionnaires de souscription sont de plus en plus précis.

Les mesures minimales exigées

Prérequis Niveau d'exigence Impact sur la prime
Authentification multifacteur (MFA) Obligatoire sur accès critiques Refus sans MFA
Sauvegardes testées hors-ligne Obligatoire Réduction 10-15 %
Mises à jour et correctifs Obligatoire Condition de couverture
Formation et sensibilisation Fortement recommandé Réduction 5-10 %
Chiffrement des données sensibles Recommandé Réduction 5 %
Segmentation réseau Recommandé Réduction 5-10 %
Plan de réponse à incident Recommandé Réduction 5 %
PCA / PRA documenté De plus en plus exigé Réduction 5-10 %
Responsable cyber identifié Fortement recommandé Valorisation du dossier

Le scan de vulnérabilités : nouveau critère d’évaluation

De plus en plus d’assureurs (notamment les insurtechs comme Stoïk) utilisent des scans de vulnérabilités automatisés pour évaluer l’exposition de l’entreprise avant de proposer un devis. Ces scans analysent la surface d’attaque externe : ports ouverts, certificats SSL, configurations DNS, vulnérabilités connues.

Si votre entreprise présente des failles critiques visibles de l’extérieur, l’assureur peut refuser la couverture ou appliquer une surprime significative.

Comment Meldis vous aide à remplir les prérequis

Un audit de sécurité informatique identifie les écarts par rapport aux exigences des assureurs et produit un plan d’action priorisé selon le référentiel ANSSI. Concrètement :

  • MFA : diagnostic et déploiement sur les accès critiques.
  • Sauvegardes : vérification de la règle 3-2-1, test de restauration.
  • Sensibilisation : campagnes de phishing simulé et formations.
  • PRA/PCA : élaboration des plans de continuité et de reprise.
  • Surveillance : mise en place d’un SOC externalisé pour la détection en temps réel.

Résultat : vous obtenez une meilleure couverture à un meilleur prix.

La loi LOPMI et ses implications pour l’assurance cyber

La loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), entrée en vigueur en avril 2023, a introduit une obligation qui change la donne pour les assurés.

Dépôt de plainte dans les 72 heures

Depuis le 24 avril 2023, toute entreprise victime d’une cyberattaque doit déposer plainte dans les 72 heures suivant la découverte de l’incident pour pouvoir prétendre à l’indemnisation de son assureur. Cette obligation est détaillée sur le portail cybermalveillance.gouv.fr.

Concrètement :

  • Le compteur de 72 heures démarre au moment où l’entreprise prend connaissance de l’attaque.
  • La plainte doit être déposée auprès de la police, de la gendarmerie ou du procureur de la République.
  • Sans dépôt de plainte dans le délai, l’assureur peut refuser l’indemnisation.

Pour une PME, cela implique d’intégrer le dépôt de plainte dans la procédure de réponse à incident. Si vous n’avez pas de procédure formalisée, c’est le moment de la créer.

L’assurance cyber est-elle obligatoire ?

Non. En 2026, l’assurance cyber n’est pas légalement obligatoire pour les PME françaises. Cependant :

  • La directive NIS2 impose des mesures de gestion des risques qui incluent le transfert de risque (donc l’assurance).
  • Les donneurs d’ordres exigent de plus en plus une attestation d’assurance cyber de leurs sous-traitants.
  • Le règlement DORA (Digital Operational Resilience Act) impose des tests de résilience pour le secteur financier.

Le coût de l’inaction : ne pas être assuré

Pour comprendre l’intérêt de l’assurance cyber, comparons le coût d’un incident avec et sans couverture.

Scénario : ransomware sur une PME de 40 salariés

Poste de coût Sans assurance Avec assurance (prime 4 000 €/an)
Expert forensique 15 000 - 25 000 € Pris en charge
Restauration des systèmes 20 000 - 50 000 € Pris en charge
Perte d'exploitation (2 semaines) 80 000 - 200 000 € Indemnisé
Notification CNIL + communication 5 000 - 15 000 € Pris en charge
Avocat / juridique 5 000 - 10 000 € Pris en charge
Total estimé 125 000 - 300 000 € 4 000 € (prime) + franchise (10-25k €)

L’écart est considérable. Pour une prime annuelle de 4 000 €, l’entreprise transfère un risque de plusieurs centaines de milliers d’euros à l’assureur. La franchise reste à la charge de l’entreprise (10 000 à 25 000 € typiquement), mais l’essentiel du choc financier est absorbé.

Pour en savoir plus sur les ransomwares et comment s’en protéger, consultez notre guide ransomware.

Comment choisir son assurance cyber : les critères clés

Les 7 points à vérifier avant de souscrire

  1. Plafond de garantie : suffisant pour couvrir vos pertes d’exploitation sur 2 à 4 semaines + frais de remédiation. Minimum recommandé : 500 000 € pour une PME.
  2. Franchise : acceptable par rapport à votre trésorerie disponible. Une franchise basse augmente la prime.
  3. Délai de carence : certains contrats prévoient un délai avant activation. Privilégiez les contrats sans carence.
  4. Couverture des sous-traitants : êtes-vous couvert si l’attaque vient d’un fournisseur IT ?
  5. Assistance 24/7 : vérifiez que l’assureur propose une hotline de crise disponible en permanence, pas seulement aux heures de bureau.
  6. Couverture fraude / ingénierie sociale : arnaque au président, faux RIB. Vérifiez si c’est inclus ou en option.
  7. Territoire de couverture : si vous avez des clients ou des serveurs hors France/UE, vérifiez l’étendue géographique.

Les assureurs spécialisés en France

Assureur / Courtier Spécificité Public cible
Hiscox Pionnier assurance cyber France TPE / PME
Stoïk Insurtech avec scan de vulnérabilités intégré PME tech
Dattak Insurtech, souscription simplifiée TPE / PME
AXA Offre grands comptes et PME Toutes tailles
Beazley Spécialiste cyber international ETI / Grands comptes
Onlynnov Courtier spécialisé tech / startup Startups et PME tech

Le bon moment pour souscrire

N’attendez pas d’être attaqué. L’assurance cyber ne couvre pas les dommages antérieurs à la souscription. De plus, le processus de souscription prend 2 à 4 semaines (questionnaire, scan, devis, négociation).

Si vous prévoyez un audit de sécurité ou une mise en conformité NIS2, réalisez-les avant de souscrire. Un dossier avec un audit récent et des mesures correctives en cours obtient de meilleurs tarifs.

Contactez Meldis pour un diagnostic qui prépare votre dossier d’assurance et identifie les mesures à mettre en place pour obtenir la meilleure couverture au meilleur prix.

FAQ : Assurance cyber pour PME

Combien coûte une assurance cyber pour une PME ?

Les primes varient selon la taille et le secteur. Pour une TPE (1-10 salariés), comptez 300 à 1 500 €/an. Pour une PME de 20 à 50 salariés, de 3 000 à 7 000 €/an avec un plafond de 1 à 3 M€. Les tarifs ont baissé de 18 à 20 % en 2025 grâce à l'amélioration de la sinistralité.

Que couvre exactement l'assurance cyber ?

Les garanties principales couvrent la gestion de crise (experts forensiques, avocats, communication), les pertes d'exploitation (chiffre d'affaires perdu, charges fixes), la responsabilité civile (notification CNIL, indemnisation des tiers) et souvent la cyber-extorsion. Les exclusions concernent les actes de guerre, les négligences manifestes et les dommages antérieurs à la souscription.

L'assurance cyber est-elle obligatoire en France ?

Non, l'assurance cyber n'est pas légalement obligatoire en 2026. Cependant, la directive NIS2 impose des mesures de gestion des risques qui incluent le transfert de risque. De plus en plus de donneurs d'ordres exigent une attestation d'assurance cyber de leurs sous-traitants.

Quels sont les prérequis pour souscrire ?

Les assureurs exigent au minimum l'authentification multifacteur (MFA) sur les accès critiques, des sauvegardes testées hors-ligne et des mises à jour régulières. La formation des salariés, la segmentation réseau et un PCA/PRA documenté améliorent les conditions de couverture et réduisent la prime de 15 à 30 %.

Faut-il déposer plainte en cas de cyberattaque ?

Oui. La loi LOPMI impose un dépôt de plainte dans les 72 heures suivant la découverte de l'attaque pour pouvoir prétendre à l'indemnisation de l'assureur. La plainte doit être déposée auprès de la police, de la gendarmerie ou du procureur de la République.

Comment faire baisser le prix de l'assurance cyber ?

Améliorez votre posture de sécurité (MFA, sauvegardes, formation) pour réduire la prime de 15 à 30 %. Visez la certification ISO 27001 (-10 à -25 %). Comparez au moins 3 offres. Regroupez vos contrats chez un même assureur. Valorisez un historique sans sinistre et un audit de sécurité récent.

Assurance cyber PME : par où commencer ?

L’assurance cyber est un outil de gestion des risques parmi d’autres — pas un substitut à la sécurité technique. Pour maximiser votre couverture et minimiser votre prime, voici les quatre étapes à suivre.

  1. Évaluez votre maturité cyber : MFA, sauvegardes testées, mises à jour appliquées — ces prérequis déterminent si vous êtes assurable et à quel tarif.
  2. Réalisez un audit avant de souscrire : un rapport d’audit récent améliore vos conditions de couverture et réduit la prime de 15 à 30 %. Les assureurs valorisent un dossier documenté.
  3. Comparez au moins trois offres : Hiscox, Stoïk, Dattak, AXA — les écarts de garanties et de prix sont significatifs selon votre secteur et votre taille.
  4. Formalisez votre procédure LOPMI : documentez la chaîne d’alerte interne et le processus de dépôt de plainte avant d’en avoir besoin. Sans ce réflexe, l’indemnisation peut être refusée.

L’assurance cyber n’est pas réservée aux grandes entreprises. Pour une PME de 20 à 50 salariés, une prime de 3 000 à 7 000 €/an transfère un risque de plusieurs centaines de milliers d’euros. Le calcul est simple.

Demandez votre diagnostic gratuit pour évaluer votre niveau de protection et préparer un dossier solide auprès des assureurs.