L'essentiel en 3 points

Définition : qu'est-ce que l'assurance cyber ?

L'assurance cyber est un contrat qui protège l'entreprise contre les conséquences financières d'une cyberattaque ou d'un incident informatique malveillant : frais de gestion de crise, restauration des données et des systèmes, pertes d'exploitation, cyber-extorsion, et responsabilité civile envers les clients et partenaires dont les données auraient été compromises. Elle combine une prestation d'assistance immédiate et une indemnisation des dommages.

Concrètement, ce contrat intervient là où les polices traditionnelles s'arrêtent. La multirisque entreprise couvre l'incendie du local qui abrite les serveurs, mais rarement leur chiffrement par un rançongiciel ; la responsabilité civile professionnelle exclut le plus souvent les dommages immatériels liés à une atteinte aux systèmes d'information. L'assurance cyber comble ce vide, devenu critique : le panorama de la cybermenace 2025 de l'ANSSI recense 3 586 événements de sécurité signalés dans l'année, dont 1 366 incidents confirmés, et les PME, TPE et ETI représentent 48 % des victimes d'attaques par rançongiciel traitées par l'agence. Côté professionnels, Cybermalveillance.gouv.fr classe en tête des menaces 2025 le piratage de compte (21 % des demandes), l'hameçonnage (16 %) et les faux ordres de virement (13,5 %).

Le cadre légal en 2026

L'article L12-10-1 du Code des assurances : la règle des 72 heures

Créé par l'article 5 de la loi n° 2023-22 du 24 janvier 2023 (loi LOPMI), l'article L12-10-1 du Code des assurances pose une condition impérative : l'indemnisation des pertes et dommages causés par une atteinte à un système de traitement automatisé de données (infractions visées aux articles 323-1 à 323-3-1 du Code pénal) est subordonnée au dépôt d'une plainte de la victime au plus tard 72 heures après qu'elle a eu connaissance de l'atteinte. Cette règle, en vigueur depuis avril 2023, s'applique aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. Sans plainte dans le délai : pas d'indemnisation. Ce texte encadre notamment le remboursement des cyber-rançons, licite en France mais strictement conditionné.

Le RGPD : notifier la CNIL sous 72 heures

L'article 33 du RGPD impose au responsable de traitement de notifier toute violation de données à caractère personnel à la CNIL dans les 72 heures après en avoir pris connaissance, sauf si la violation ne présente pas de risque pour les personnes concernées. L'article 34 ajoute, en cas de risque élevé, une obligation d'information des personnes elles-mêmes. Les manquements au RGPD exposent l'entreprise à des amendes administratives pouvant atteindre, pour les infractions les plus graves, 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

À noter : les deux délais de 72 heures (plainte au titre du L12-10-1, notification CNIL au titre de l'article 33) sont distincts et cumulatifs. Une entreprise victime d'un rançongiciel avec fuite de données personnelles doit accomplir les deux démarches en parallèle.

NIS 2 : un périmètre d'obligations élargi

La directive européenne NIS 2 (directive (UE) 2022/2555) rehausse les exigences de cybersécurité pour un périmètre estimé entre 15 000 et 18 000 entités en France, classées en « entités essentielles » et « entités importantes » : de nombreuses ETI et PME de secteurs comme l'agroalimentaire, le transport, la santé ou le numérique sont concernées. Sa transposition française est portée par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, adopté par le Sénat en première lecture en mars 2025, qui renforce les pouvoirs de supervision de l'ANSSI. Depuis mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité de NIS 2. Pour les assureurs cyber, la conformité NIS 2 devient progressivement un critère d'appréciation du risque.

Ce que couvre un contrat d'assurance cyber

Un bon contrat s'organise en quatre blocs.

Assistance et gestion de crise, 24 heures sur 24. C'est souvent la garantie la plus précieuse pour une PME. Dès la détection de l'incident, l'assureur mobilise une équipe de réponse : experts en investigation numérique (forensic), avocats spécialisés en données personnelles, consultants en communication de crise, négociateurs en cas d'extorsion. Les premières 48 heures conditionnent l'ampleur finale du sinistre.

Dommages subis par l'entreprise. Ce bloc indemnise les frais de décontamination et de restauration des données et des systèmes, les pertes d'exploitation consécutives à l'interruption ou à la dégradation de l'activité (marge brute perdue, frais supplémentaires d'exploitation), et la cyber-extorsion : frais de gestion de la menace et, le cas échéant, remboursement de la rançon dans les conditions de l'article L12-10-1 et dans la limite de la sous-limite contractuelle.

Responsabilité civile cyber envers les tiers. L'assureur prend en charge les conséquences pécuniaires des réclamations de clients, fournisseurs ou partenaires dont les données ont été divulguées ou dont l'activité a été perturbée par la défaillance de vos systèmes, ainsi que les frais de défense associés.

Frais de notification et enquêtes administratives. Le contrat couvre les frais de notification aux personnes concernées et à la CNIL, les services de surveillance d'identité proposés aux victimes, et les frais de défense de l'entreprise dans le cadre d'une enquête ou d'une procédure administrative (CNIL notamment).

Ce que le contrat ne couvre pas : les exclusions courantes

Comment se calcule la prime

La tarification repose d'abord sur le chiffre d'affaires et le secteur d'activité : santé, e-commerce, services numériques ou industrie connectée sont jugés plus exposés. Viennent ensuite le volume et la sensibilité des données traitées, la dépendance de l'exploitation au système d'information, l'historique de sinistres, le montant de garantie et la franchise retenus.

Le facteur décisif reste la maturité de sécurité de l'entreprise. Les assureurs conditionnent leur offre à des prérequis techniques : authentification multifacteur (MFA) sur les accès distants et les messageries, sauvegardes régulières testées et déconnectées du réseau, solution de détection sur les postes et serveurs (EDR), politique de mise à jour des correctifs, sensibilisation des collaborateurs, plan de continuité. Sans ces briques, l'assureur refuse le risque ou le tarife lourdement. Conjoncture favorable : après plusieurs années de hausse, l'étude LUCY de l'AMRAE relève des baisses de taux de prime en 2024 puis en 2025, notamment sur les grandes entreprises. Cette détente pourrait ne pas durer, la sinistralité des ETI s'étant fortement dégradée en 2025.

Les pièges à éviter à la souscription

Le questionnaire de sécurité rempli à la légère. C'est le piège numéro un. Les réponses au questionnaire (MFA déployée, sauvegardes testées, EDR actif) constituent la déclaration du risque. Une fausse déclaration intentionnelle expose à la nullité du contrat en application de l'article L113-8 du Code des assurances : l'assureur conserve les primes et ne verse rien. Une déclaration inexacte de bonne foi relève de l'article L113-9 : l'indemnité est réduite en proportion des primes payées par rapport à celles qui auraient été dues. Le questionnaire doit être rempli avec la DSI ou le prestataire informatique, jamais seul.

Les prérequis techniques non maintenus dans le temps. Certains contrats font des mesures déclarées de véritables conditions de garantie. Désactiver la MFA six mois après la souscription, c'est fragiliser toute la couverture.

Les doublons et trous de garantie avec la fraude. Vérifier l'articulation entre le contrat cyber, un éventuel contrat fraude et la RC professionnelle : les faux ordres de virement, en particulier, sont tantôt couverts, tantôt exclus du cyber.

Les sous-limites discrètes. La cyber-extorsion, les pertes d'exploitation ou les frais de notification sont fréquemment plafonnés à une fraction de la limite affichée. Un contrat à 2 millions d'euros de limite avec une sous-limite rançon très basse ne protège pas comme son montant facial le laisse croire. Il faut aussi examiner la période d'indemnisation des pertes d'exploitation et le délai de carence (franchise en heures).

Le réflexe des 72 heures non préparé. Dépôt de plainte sous 72 heures (article L12-10-1), notification CNIL sous 72 heures (article 33 du RGPD), appel de la hotline de l'assureur avant toute initiative : ces réflexes doivent figurer dans le plan de crise, avec les numéros utiles imprimés hors du système d'information (un plan stocké sur un serveur chiffré par l'attaquant ne sert à rien).

Un exemple concret

Une PME industrielle de 80 salariés subit un rançongiciel un vendredi soir : serveurs chiffrés, demande de rançon, soupçon d'exfiltration de données. Avec un contrat cyber bien construit, la hotline de l'assureur mobilise dans la nuit une équipe forensic qui isole le périmètre compromis, un avocat prépare la notification à la CNIL dans les 72 heures, et la plainte est déposée dans le même délai pour préserver le droit à indemnisation. L'assureur prend ensuite en charge la reconstruction des systèmes, la perte de marge pendant l'arrêt de production, la notification aux clients concernés et leurs réclamations éventuelles. Sans contrat, l'entreprise affronte seule chacune de ces étapes, au prix fort et dans l'urgence. La tendance relevée par l'ANSSI en 2025 (196 incidents d'exfiltration de données seule, contre 130 en 2024) montre que la menace ne se limite plus au chiffrement : le chantage à la divulgation suffit.

Pourquoi passer par le Cabinet Devorsine

Le Cabinet Devorsine est courtier indépendant depuis 1909 : mandataire de ses clients, jamais des assureurs, il compare les offres du marché cyber et négocie les clauses sensibles (sous-limites d'extorsion, exclusions d'attaques étatiques, conditions de garantie techniques) dans le seul intérêt de l'entreprise assurée. Ses équipes accompagnent le remplissage du questionnaire de sécurité pour sécuriser juridiquement la déclaration du risque. Et parce que le cabinet gère les sinistres en propre, depuis ses bureaux de Nantes, Vannes et Paris, ses clients PME et ETI du Grand Ouest sont défendus par leur courtier, pas seulement mis en relation avec un plateau téléphonique, au moment où tout se joue.

FAQ

L'assurance cyber est-elle obligatoire ?

Non, aucun texte n'impose aux entreprises françaises de souscrire une assurance cyber en 2026. En revanche, le cadre réglementaire (RGPD, directive NIS 2 pour les entités concernées) impose des obligations de sécurité et de notification dont la violation coûte cher. L'assurance cyber reste un choix de gestion des risques, fortement recommandé dès que l'activité dépend du système d'information ou traite des données personnelles.

Que se passe-t-il si je ne dépose pas plainte dans les 72 heures ?

L'article L12-10-1 du Code des assurances, issu de la loi LOPMI du 24 janvier 2023, subordonne le versement de toute indemnité liée à une cyberattaque au dépôt d'une plainte au plus tard 72 heures après que l'entreprise a eu connaissance de l'atteinte. Sans plainte dans ce délai, l'assureur est fondé à refuser l'indemnisation, même si le contrat couvre le sinistre. Ce réflexe doit figurer dans votre plan de crise.

L'assureur peut-il rembourser une cyber-rançon ?

Oui, le paiement d'une rançon peut être garanti par un contrat cyber en France, à condition que la victime ait déposé plainte dans les 72 heures (article L12-10-1 du Code des assurances) et dans la limite de la sous-limite prévue au contrat. Les autorités (ANSSI, Cybermalveillance.gouv.fr) recommandent toutefois de ne pas payer : le paiement ne garantit ni la restitution des données ni l'absence de récidive.

Les amendes de la CNIL sont-elles couvertes par l'assurance cyber ?

En principe non : les amendes administratives de la CNIL sont des sanctions à visée punitive, dont la prise en charge par un assureur est considérée comme contraire à l'ordre public, position rappelée par l'ACPR. Le contrat cyber couvre en revanche les frais de défense lors d'une enquête administrative, les frais de notification et les conséquences des réclamations des personnes concernées.

Combien coûte une assurance cyber pour une PME ?

La prime dépend du chiffre d'affaires, du secteur, de la sensibilité des données, du montant de garantie et surtout du niveau de sécurité (MFA, sauvegardes déconnectées, EDR). Le marché français s'est détendu : l'étude LUCY de l'AMRAE relève des baisses de taux de prime en 2024 puis en 2025. Un audit préalable des prérequis techniques permet d'obtenir les meilleures conditions ; le Cabinet Devorsine met les assureurs en concurrence sur cette base.

Sources

Maillage interne suggéré