L'essentiel en une page
Le risque cyber change de nature, le marché de l'assurance cyber se détend : les entreprises françaises sont face à une fenêtre
Deux événements ont fait basculer le risque cyber des entreprises dans une nouvelle ère. En novembre 2025, l'éditeur américain Anthropic a documenté la première cyberattaque de grande ampleur exécutée à 80 ou 90 % par une intelligence artificielle, l'humain n'intervenant que sur quatre à six points de décision(1). En avril 2026, le même éditeur a annoncé Claude Mythos, un modèle si performant dans la découverte et l'exploitation de failles qu'il a choisi de ne pas le diffuser publiquement(2). Dans le même temps, le marché français de l'assurance cyber connaît sa troisième année consécutive de baisse des cotisations, à 306 millions d'euros en 2025, alors que la sinistralité progresse en fréquence et en intensité(3).
- L'IA exécute désormais des cyberattaques, elle ne se contente plus de les conseiller. Première campagne documentée fin 2025 : environ trente cibles mondiales, 80 à 90 % des opérations menées par l'IA(1). Donnée internationale, signalée comme telle.
- Les PME et ETI françaises sont la première cible. Elles concentrent environ 48 % des compromissions par rançongiciel recensées par l'ANSSI en 2025(4).
- Le marché de l'assurance cyber s'assouplit à contretemps. Cotisations en France : 328 millions d'euros en 2023, 317 millions en 2024, 306 millions en 2025, pendant que la sinistralité indemnisée progresse(3).
- 2026 est l'année du basculement réglementaire. Loi Résilience transposant NIS2 attendue à l'été, DORA en vigueur depuis janvier 2025, règlement européen sur l'IA applicable pour l'essentiel au 2 août 2026(10)(11)(13).
- La maturité cyber devient la clé d'accès à la couverture. Les cinq fondamentaux de prévention exigés par les assureurs deviennent des obligations légales pour des milliers d'entreprises.
Cette note de référence s'adresse aux dirigeants, directeurs administratifs et financiers, risk managers, syndics, transporteurs et directions des ressources humaines des entreprises françaises de 50 à 1 000 salariés. Elle établit les faits, répond aux questions les plus posées et formule sept recommandations actionnables, chacune assortie d'une priorité et d'un horizon.
1. Pourquoi 2026 marque une bascule du risque cyber
1.1 La première cyberattaque exécutée par une IA a été documentée fin 2025
Pendant des années, le débat sur l'intelligence artificielle et la cybersécurité est resté largement théorique. Les modèles aidaient des attaquants humains à rédiger des courriels d'hameçonnage plus convaincants ou à accélérer l'écriture de code malveillant. L'humain restait l'opérateur, la machine restait l'outil.
Cette frontière a cédé. Mi-septembre 2025, l'éditeur américain Anthropic détecte une activité suspecte sur son outil de programmation Claude Code. L'enquête, publiée le 13 novembre 2025, conclut à une campagne d'espionnage attribuée avec un haut degré de confiance à un groupe lié à un État. Le constat central est inédit : l'IA n'a pas conseillé l'attaque, elle l'a exécutée. Reconnaissance des systèmes, identification des bases de données à forte valeur, écriture du code d'exploitation, collecte d'identifiants, exfiltration et documentation de l'opération ont été menées de façon largement autonome, sur environ trente cibles mondiales. Les opérateurs humains ne sont intervenus que sur quatre à six points de décision par campagne(1).
Trois capacités récentes ont rendu cette bascule possible. L'intelligence générale des modèles, d'abord, qui leur permet de suivre des instructions complexes. L'agentivité, ensuite, c'est-à-dire la capacité à enchaîner des tâches en boucle autonome sur de longues durées. L'accès aux outils, enfin : scanners de réseau, casseurs de mots de passe, bases de données, connectés aux modèles par des protocoles standardisés. Aucune de ces trois briques, prise isolément, n'est nouvelle. C'est leur combinaison qui change la donne.
1.2 Le signal Mythos : un modèle jugé trop capable pour être diffusé
Le second signal est venu en avril 2026, et il est d'une nature inhabituelle. Anthropic a annoncé un modèle de nouvelle génération, Claude Mythos, présenté comme capable de surpasser la quasi-totalité des experts humains dans la découverte et l'exploitation de failles logicielles. L'éditeur indique avoir identifié avec ce modèle des milliers de vulnérabilités jusqu'alors inconnues, dont beaucoup de critiques, dans l'ensemble des grands systèmes d'exploitation et navigateurs(2).
Le point remarquable n'est pas la performance. C'est la décision commerciale qui l'accompagne. Le modèle n'a pas été mis sur le marché. Son accès est restreint à un cercle d'organisations de confiance (grands éditeurs, opérateurs d'infrastructures critiques, autorités), réuni au sein de l'initiative Project Glasswing, élargie depuis à environ 150 organisations dans plus de quinze pays(2). Un acteur dont le métier est de vendre des modèles d'IA a jugé que celui-ci était trop capable, sur le terrain cyber, pour être diffusé sans précaution. L'éditeur ajoute une prévision qui concerne directement les assureurs et leurs clients : des modèles de classe comparable devraient apparaître chez d'autres acteurs sous six à douze mois, sans garantie qu'ils soient assortis des mêmes garde-fous(2).
Ces informations proviennent de l'éditeur lui-même et portent sur un périmètre mondial. Elles doivent être lues comme telles. Mais leur convergence avec les constats des autorités françaises, détaillés en section 2, leur donne un poids que le Cabinet Devorsine juge impossible à ignorer dans une réflexion assurantielle.
1.3 Qui est concerné par cette bascule ?
La réponse courte : toute entreprise dont l'activité repose sur un système d'information, c'est-à-dire toute entreprise. La réponse utile est plus précise. Les entreprises de 50 à 1 000 salariés concentrent désormais l'essentiel de la croissance du marché de l'assurance cyber et l'essentiel de la sinistralité en fréquence(3)(4). Elles sont aussi, pour des milliers d'entre elles, les nouvelles assujetties de la directive NIS2 en cours de transposition. Trois familles d'acteurs, au cœur des métiers du Cabinet Devorsine, sont particulièrement exposées : les opérateurs de mobilité et de transport, dont les flottes et les chaînes logistiques sont pilotées par des systèmes connectés ; les professionnels de l'immobilier, dépositaires de données personnelles et de fonds mandants ; les directions des ressources humaines et directions financières, qui administrent les données de santé et de prévoyance de leurs salariés.
Vous souhaitez situer votre entreprise face à ce nouveau paysage de menace ? Le Cabinet Devorsine a construit une grille de lecture des expositions cyber par métier, déclinée pour la mobilité, l'immobilier et la protection sociale. Demandez-la, elle vous sera adressée sans engagement : info@devorsine.com
2. Quelle est la menace cyber réelle pour les entreprises françaises ?
Selon le Panorama de la cybermenace 2025 de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), publié le 11 mars 2026, la France se maintient sur un plateau haut : 1 366 incidents traités en 2025, contre 831 en 2022(4). Derrière la stabilité apparente, les modes opératoires mutent, et les PME et ETI restent la première cible.
2.1 Moins de chiffrement, plus de vol de données
Les compromissions par rançongiciel reculent légèrement, de 141 en 2024 à 128 en 2025. Dans le même temps, les exfiltrations de données progressent fortement, de 130 à 196 incidents(4). Les attaquants chiffrent moins, volent plus, et monnayent la menace de divulgation. Cette approche est plus discrète, plus difficile à détecter, et déplace le centre de gravité du sinistre : moins d'interruption d'activité brutale, davantage d'atteintes aux données, de responsabilité civile et de gestion de crise réputationnelle. Le directeur général de l'ANSSI résume la situation d'une formule : « on est sur un plateau très haut, pas sur un raz de marée »(4).
La typologie des victimes est sans ambiguïté pour le lectorat de cette note. Les PME, TPE et ETI restent la première catégorie touchée par les rançongiciels, avec environ 48 % des compromissions recensées(4). L'Agence souligne enfin l'effacement croissant des frontières entre groupes cybercriminels et acteurs étatiques, ainsi que le recours grandissant à des outils légitimes détournés, plus difficiles à repérer que les logiciels malveillants classiques.
2.2 Le coût du risque cyber ne se limite pas aux attaques réussies
Un point de méthode mérite d'être retenu. Sur 460 événements signalés en 2025 comme de possibles fuites de données, seuls 42 % ont pu être confirmés(4). Une part significative des revendications relève du bluff ou du recyclage de données anciennes. Chaque revendication, même infondée, mobilise pourtant les équipes : qualification, notification à la CNIL, communication.
La pression se lit aussi dans les notifications de violations de données. La CNIL en a enregistré 6 167 en 2025, en hausse de 9,5 % sur un an, un niveau record qui l'a conduite à annoncer un renforcement de ses contrôles(6).
- 1 366 incidents traités par l'ANSSI, contre 831 en 2022
- 128 compromissions par rançongiciel, en léger recul
- 196 incidents d'exfiltration de données, en forte hausse
- Environ 48 % des rançongiciels visent des PME, TPE et ETI
- 6 167 violations de données notifiées à la CNIL, soit +9,5 %
3. Que dit le marché français de l'assurance cyber ?
Selon l'étude LUCY 2026 de l'AMRAE, photographie de référence du marché français, les cotisations d'assurance cyber collectées en France ont reculé à 306 millions d'euros en 2025, leur troisième année consécutive de baisse, alors que la sinistralité progresse en fréquence et en intensité(3).
3.1 Trois années de baisse des prix, portées par la concurrence
La sixième édition de l'étude LUCY, publiée début juin 2026, s'appuie sur les données de douze courtiers, couvrant 20 996 polices et 1 251 sinistres(3). Son sous-titre résume le diagnostic : une dynamique favorable mais un équilibre fragile. Le volume de cotisations recule d'un peu plus de 3 % par an depuis 2023 : 328 millions d'euros, puis 317, puis 306(3). Ce repli ne traduit pas une désaffection. Le nombre d'entreprises assurées progresse, tiré par les ETI et les entreprises moyennes. Il traduit une guerre des prix. Le président de la commission cyber de l'AMRAE constate que 2025 a vu « une compétition féroce entre assureurs cyber »(3).
3.2 La sinistralité repart, et le marché le sait
Dès l'exercice 2024, le ratio sinistres sur primes remontait de 12 % à 17 %, avec un bond de la fréquence sur tous les segments : +82 % de sinistres déclarés chez les grandes entreprises, +117 % chez les ETI, +353 % chez les PME(7). L'exercice 2025 confirme une dégradation réelle. L'AMRAE elle-même s'interroge sur la viabilité des prix actuels et alerte sur la fragilité de l'équilibre si un sinistre de grande ampleur venait à frapper le territoire national(3). Pour mémoire, en 2020, un exercice marqué par quelques sinistres majeurs avait suffi à porter le ratio S/P du marché français à 167 %, déclenchant trois années de durcissement brutal(9).
Ce marché est en décalage assumé avec son risque. Pour un dirigeant, ce décalage est une fenêtre, pas un confort. Les conditions actuelles (primes basses, franchises réduites, capacités larges) sont les meilleures observées depuis 2020, et rien ne garantit qu'elles survivront au premier sinistre systémique. Notre conviction : c'est maintenant qu'il faut structurer ou restructurer son programme cyber, négocier des engagements de durée et verrouiller des plafonds dimensionnés sur une exposition quantifiée, pas sur un budget historique.
4. NIS2, DORA, règlement IA : quelles obligations pour votre entreprise ?
Le calendrier réglementaire fait de 2026 une année charnière pour la cybersécurité des entreprises françaises. La transposition de la directive NIS2 fera passer la France d'environ 500 opérateurs régulés à plus de 10 000 entités assujetties, réparties sur 18 secteurs(11).
Le règlement européen DORA s'applique directement depuis le 17 janvier 2025. Il concerne les entités financières et, par capillarité contractuelle, leurs prestataires informatiques critiques(10). La directive NIS2, via la loi Résilience attendue à l'été 2026, couvre 18 secteurs dont le transport, l'industrie manufacturière et les services numériques. Les sanctions encourues atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial(11). Le règlement européen sur l'IA complète le dispositif : l'essentiel de ses dispositions s'applique à compter du 2 août 2026. L'ACPR est pressentie comme autorité de surveillance pour le secteur financier(13).
La conséquence assurantielle de cet empilement est directe. Les exigences de prévention que les assureurs cyber posaient contractuellement deviennent des obligations légales pour des milliers d'entreprises qui n'y étaient pas soumises. La conformité cesse d'être un avantage de négociation pour devenir un prérequis.
Pour une part des entreprises de 50 à 1 000 salariés, la réponse est oui sans qu'elles le sachent encore. Le Cabinet Devorsine propose un audit précis et synthétique de votre exposition réglementaire et de la cohérence de vos garanties cyber avec vos nouvelles obligations : info@devorsine.com
5. Ce que l'IA agentique change vraiment pour votre exposition
5.1 Trois déplacements du risque, pas un risque nouveau
Il serait inexact de présenter l'IA comme un risque cyber inédit. Les techniques restent connues. Ce que l'IA agentique déplace, ce sont trois paramètres économiques de l'attaque.
La vitesse, d'abord. Lors de la campagne documentée fin 2025, l'IA a émis au pic des milliers de requêtes, souvent plusieurs par seconde, un rythme hors de portée d'une équipe humaine(1). La phase de reconnaissance, qui occupait des semaines, se compte en heures.
L'échelle, ensuite. Un même cadre d'attaque automatisé peut être pointé simultanément vers des dizaines de cibles. Les entreprises moyennes, autrefois protégées par leur relative insignifiance, perdent ce bouclier statistique.
La barrière à l'entrée, enfin. Dès août 2025, les travaux de veille de l'industrie documentaient des opérateurs peu qualifiés menant, grâce à l'IA, des opérations d'extorsion de données visant au moins dix-sept organisations(15). La population des attaquants capables s'élargit.
5.2 Mobilité, immobilier, protection sociale : trois expositions, trois priorités
Télématique embarquée, systèmes de gestion du transport, bourses de fret : un opérateur de transport dépend d'une chaîne numérique continue. Les retours de terrain convergent sur deux scénarios dominants : la paralysie de l'exploitation par compromission du système de planification, et la fraude documentaire ou au faux donneur d'ordre dans la chaîne logistique, que l'ingénierie sociale assistée par IA rend nettement plus crédible. Point de vigilance assurantiel : l'articulation entre la police cyber, la responsabilité civile contractuelle du transporteur et la garantie marchandises transportées.
Un syndic ou un administrateur de biens cumule trois attributs recherchés par les attaquants : des données personnelles en volume, des flux financiers réguliers sur des comptes mandants, et une surface de confiance qui rend ses courriels crédibles auprès de centaines de destinataires. Le scénario le plus coûteux reste la fraude au virement par compromission de messagerie, désormais industrialisable par IA.
Les régimes collectifs de santé et de prévoyance font transiter par les DRH, les portails de gestion et les délégataires des données parmi les plus sensibles du droit français. Pour l'employeur, l'exposition est triple : violation de données à caractère personnel avec notification et sanction potentielle, interruption des processus de paie et de prestations, et mise en cause au titre de son devoir de protection.
Le Cabinet Devorsine réalise un audit précis et synthétique de l'articulation entre votre police cyber et vos autres lignes : info@devorsine.com
6. Comment adapter sa couverture cyber dès ce semestre
6.1 La couverture se mérite désormais
Le premier changement concret pour un dirigeant est contractuel. Les assureurs cyber ont fait des mesures de prévention une condition d'acceptation du risque, et la détente tarifaire n'a pas assoupli cette exigence, elle l'a au contraire généralisée. Authentification multifacteur, sauvegardes régulières testées et isolées, gestion des correctifs, sensibilisation, plan de réponse à incident formalisé : ces cinq fondamentaux constituent le socle en deçà duquel l'accès au marché se complique.
6.2 L'audit de garanties devient plus urgent que la négociation de prime
Trois chantiers de relecture s'imposent ce semestre. Les exclusions (clauses de guerre, premières clauses relatives aux systèmes d'IA). Les déclencheurs (la bascule du chiffrement vers l'exfiltration déplace le sinistre type vers l'atteinte aux données et la RC). Les services (assistance 24h/24, équipe de réponse à incident, notification) qui font la valeur réelle d'une police le jour du sinistre.
Le réflexe du renouvellement à l'identique est devenu le principal risque assurantiel de nos clients sur la ligne cyber. Le marché a changé deux fois en quatre ans, la menace vient de changer de nature, la réglementation change cet été. Un contrat reconduit sans relecture depuis 2023 est, au mieux, mal dimensionné, au pire, inopérant sur le scénario qui frappera.
7. Les sept recommandations du Cabinet Devorsine
| Recommandation | Priorité | Horizon |
|---|---|---|
| 1. Quantifier l'exposition cyber par scénario (arrêt d'exploitation, exfiltration, fraude au virement) et en déduire les plafonds | Critique | 0-3 mois |
| 2. Qualifier l'assujettissement NIS2 et cadrer le plan de mise en conformité | Critique | 0-3 mois |
| 3. Verrouiller les cinq fondamentaux de prévention exigés par le marché | Élevée | 0-6 mois |
| 4. Faire auditer les garanties : exclusions, équilibre PE/atteintes aux données, services de crise | Élevée | 0-6 mois |
| 5. Traiter la fraude au virement assistée par IA comme un risque propre | Élevée | 0-6 mois |
| 6. Tester le plan de réponse à incident par un exercice de crise | Moyenne | 6-12 mois |
| 7. Profiter de la fenêtre tarifaire pour sécuriser la durée | Avant renouvellement |
8. FAQ : les questions que se posent les dirigeants
Une police cyber d'entreprise couvre classiquement quatre familles de garanties : les dommages propres (frais de reconstitution des données et systèmes, perte d'exploitation consécutive), la gestion de crise (assistance, réponse à incident, notification, communication), la responsabilité civile liée aux atteintes aux données de tiers, et selon les contrats la fraude et la cyberextorsion.
Parce que la concurrence entre assureurs s'est intensifiée : capacités abondantes, nouveaux entrants. Les cotisations reculent depuis trois ans, de 328 à 306 millions d'euros entre 2023 et 2025, alors que la sinistralité progresse. L'AMRAE qualifie cet équilibre de fragile(3).
Probablement si elle dépasse 50 salariés ou 10 M€ de chiffre d'affaires et opère dans l'un des 18 secteurs visés. La transposition française par la loi Résilience fera passer le périmètre d'environ 500 à plus de 10 000 entités(11).
Elle les rend plus rapides, plus massives et plus accessibles. La première campagne exécutée à 80-90 % par une IA a été documentée fin 2025 sur une trentaine de cibles mondiales. Des opérateurs peu qualifiés mènent désormais des opérations autrefois réservées à des groupes experts(1)(15).
Claude Mythos est un modèle d'IA annoncé par Anthropic en avril 2026, capable de découvrir et d'exploiter des failles logicielles mieux que la quasi-totalité des experts humains. Son éditeur a choisi de ne pas le diffuser et d'en réserver l'accès à environ 150 organisations de confiance via Project Glasswing(2).
Trois obligations et un réflexe. Activer sans délai l'assistance de votre police cyber. Déposer plainte sous 72 heures, condition LOPMI. Notifier la CNIL sous 72 heures en cas de violation de données (RGPD). Et ne rien payer ni négocier sans votre assureur.
De fait, oui. MFA, sauvegardes isolées, correctifs et plan de réponse conditionnent l'acceptation. Une enquête 2025 couvrant la France estime le coût d'attaque inférieur d'environ 87 % chez les entreprises qui appliquent ces mesures(16).
Le courtier quantifie l'exposition, construit le cahier des charges, met le marché en concurrence et audite les angles morts entre la police cyber et les autres lignes. Le jour du sinistre, il pilote la déclaration et la mobilisation des garanties.
9. Lexique du risque cyber et de l'IA
- IA agentique
- Système d'intelligence artificielle capable d'enchaîner de façon autonome des séquences de tâches (analyser, décider, agir via des outils connectés) avec une intervention humaine réduite à quelques points de validation. C'est cette autonomie, et non la seule puissance de calcul, qui a permis les premières cyberattaques exécutées par IA(1).
- Rançongiciel (ransomware)
- Logiciel malveillant qui chiffre les données d'une organisation et conditionne leur restitution au paiement d'une rançon. L'ANSSI a recensé 128 compromissions par rançongiciel en France en 2025(4).
- Exfiltration de données
- Vol de données sans chiffrement des systèmes, suivi le plus souvent d'une menace de divulgation. Mode opératoire en forte hausse en France : 196 incidents en 2025(4).
- Ratio sinistres sur primes (S/P)
- Rapport entre les sinistres indemnisés et les primes encaissées. Indicateur central de la santé technique d'un marché : le S/P du marché cyber français est passé de 12 % à 17 % entre 2023 et 2024(7).
- NIS2
- Directive européenne 2022/2555 sur la sécurité des réseaux. En cours de transposition en France, elle étendra les obligations à plus de 10 000 entités(11).
- Fraude au faux donneur d'ordre
- Manœuvre consistant à usurper l'identité d'un dirigeant ou fournisseur pour obtenir un virement. L'ingénierie sociale assistée par IA en industrialise la production.
- Project Glasswing
- Initiative d'Anthropic réservant l'accès de son modèle Mythos à environ 150 organisations de confiance pour corriger les vulnérabilités critiques avant leur exploitation(2).
Comment le Cabinet Devorsine vous accompagne
Le Cabinet Devorsine, courtier d'assurance indépendant établi à Nantes, accompagne les entreprises françaises sur trois pôles : Mobilité, Immobilier et Protection sociale. Le risque cyber traverse ces trois métiers, et c'est précisément ainsi que nous le traitons : non comme une ligne isolée, mais comme une exposition à articuler avec l'ensemble de votre programme d'assurance.
Notre accompagnement suit cinq étapes. L'analyse de votre exposition cyber par scénario. Les recommandations personnalisées et la co-construction du cahier des charges. Le déploiement sur-mesure auprès de vos équipes. Le pilotage annuel. L'accompagnement continu, le jour du sinistre.
Un échange de cadrage, la collecte de vos contrats, et la restitution d'un audit précis : exposition par scénario, angles morts, situation réglementaire, préconisations hiérarchisées. info@devorsine.com
Méthodologie, entité éditrice et sources
Cette note de référence est éditée par le Cabinet Devorsine, courtier d'assurance indépendant, immatriculé à l'ORIAS sous le numéro 07000309. Signature collective, sans auteur nommé. Première publication : juin 2026. Version : 1.0.
Cette note distingue trois statuts d'information : données publiques sourcées (ANSSI, CNIL, ACPR, textes UE), estimations de marché publiées (AMRAE, Aon, Howden, Anthropic), et lectures du Cabinet Devorsine explicitement signalées. Les données internationales sont mobilisées en complément du périmètre français et toujours signalées.
Sources : (1) Anthropic, Disrupting the first reported AI-orchestrated cyber espionage campaign, novembre 2025 · (2) Anthropic, Project Glasswing, avril-mai 2026 · (3) AMRAE, LUCY 2026 · (4) ANSSI, Panorama de la cybermenace 2025, mars 2026 · (5) Aon, Global Risk Management Survey 2025 · (6) CNIL, rapport 2025 · (7) AMRAE, LUCY 2025 · (9) AMRAE, LUCY 2021 · (10) Règlements UE DORA, CRA · (11) Directive NIS2, loi Résilience · (13) Règlement UE 2024/1689 (IA Act) · (15) Anthropic, Detecting and countering misuse of AI, août 2025 · (16) Howden, Cyber Report 2025.