N O T E D E R E C H E R C H E · PÔLES M O B I L I T É · I M M O B I L I E R · P R O T E C T I O N S O C I A L E Cyberassurance et intelligence artificielle : ce que l'ère des IA agentiques change pour l'assurance des entreprises françaises De la première cyberattaque autonome documentée au modèle d'IA que son éditeur a choisi de ne pas diffuser, lecture assurantielle d'une bascule. Juin 2026 · devorsine.com
N O T E D E R E C H E R C H E · J U I N 2 0 2 6 Sommaire Synthèse exécutive et cinq enseignements clés 3
- Cadrage : pourquoi cette question se pose maintenant
4
- État des lieux : menace, marché, réglementation
6
- Analyse : ce que l'IA agentique change vraiment
11
- Implications opérationnelles
14
- Recommandations pratiques du Cabinet Devorsine
16
- Comment le Cabinet Devorsine vous accompagne
17 Annexes méthodologiques et sources 19 Cette note distingue trois statuts d'information : donnée publique sourcée, estimation de marché publiée par un acteur identifié, lecture du Cabinet Devorsine. Les périmètres internationaux sont systématiquement signalés. Méthodologie détaillée en annexe.
S Y N T H È S E E X É C U T I V E Un risque qui change de nature, un marché qui se détend L'année écoulée a fait basculer le risque cyber dans une nouvelle ère. En novembre 2025, un éditeur américain de modèles d'intelligence artificielle (IA) documentait la première cyberat‐ taque de grande ampleur exécutée à 80 ou 90 % par une IA, avec une intervention humaine réduite à quelques points de décision[1]. En avril 2026, le même éditeur annonçait un modèle de nouvelle génération si performant en matière de découverte et d'exploitation de vulnérabilités qu'il a choisi de ne pas le diffuser publiquement[2]. Ces deux signaux, venus du cœur de l'industrie, valident ce que les autorités françaises constatent sur le terrain. Le paradoxe est là. Au moment précis où la menace change d'échelle, le marché français de la cyberassu‐ rance n'a jamais été aussi accommodant. Les cotisations reculent pour la troisième année consécutive, les franchises baissent, les capacités s'élargissent, alors que la sinistralité repart à la hausse en fréquence comme en intensité(s]. Pour les entreprises de 50 à 1 000 salariés, cette fenêtre est une opportunité tarifaire réelle, mais elle est temporaire. Elle se referme à mesure que la vague réglementaire de 2026 (loi Résilience transposant NIS2, DORA, règlement européen sur l'IA] transforme la maturité cyber en condition d'accès à la couverture. Cette note établit les faits, décompose le phénomène et formule sept recommandations actionnables pour les dirigeants, directeurs administratifs et financiers, syndics, transporteurs et directions des ressources humaines concernés. 80-90 % part des opérations exécutées par l'IA lors de la première cyberattaque autonome documentée, fin 2025 (périmètre mondial, signalé)[1] 1 366 incidents traités par l'ANSSI en France en 2025, un plateau haut[4] 306 M€ cotisations cyber collectées en France en 2025, troisième année de baisse(s] 10 000 et + entités françaises bientôt assujetties à NIS2, contre environ 500 sous l'ancien régime N°1 rang du risque cyber dans les réponses des dirigeants français, enquête mondiale Aon 2025 (perception, signalé)[5]
Cinq enseignements clés
L'IA exécute désormais des attaques, elle ne se contente plus de les conseiller. Première campagne documentée fin 2025 : environ trente cibles mondiales, 80 à 90 % des opérations menées par l'IA[1]. Donnée internationale, signalée comme telle. La France reste sous pression constante. 1 366 incidents traités par l'ANSSI en 2025. Les PME, TPE et ETI concentrent environ 48 % des compromissions par rançongiciel[4]. Le marché s'assouplit à contretemps. Cotisations cyber France : 328 millions d'euros en 202s, 317 millions en 2024, 306 millions en 2025, pendant que la sinistralité indemnisée progresse(s]. 2026 est l'année du basculement réglementaire. Loi Résilience (NIS2) attendue à l'été, DORA en vigueur depuis janvier 2025, règlement IA applicable pour l'essentiel au 2 août 2026. Le cyber est le risque numéro un des dirigeants français. Il arrive en tête du classement des risques cités par les répondants français de l'enquête mondiale Aon 2025[5]. Donnée de perception, signalée comme telle. • • • • • NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
S E C T I O N 1 Cadrage : pourquoi cette question se pose maintenant
1.1 Un sujet qui a changé de nature en dix-huit mois
Pendant des années, le débat sur l'IA et la cybersécurité est resté largement théorique. Les modèles aidaient des attaquants humains à rédiger des courriels d'hameçonnage plus convaincants ou à accélérer l'écriture de code malveillant. L'humain restait l'opérateur. La machine restait l'outil. Cette frontière a cédé. Minseptembre 2025, l'éditeur américain Anthropic détecte une activité suspecte sur son outil de programmation Claude Code. L'enquête, publiée le 1s novembre 2025, conclut à une campagne d'espionnage attribuée avec un haut degré de confiance à un groupe lié à un État. Le constat central est in‐ édit : l'IA n'a pas conseillé l'attaque, elle l'a exécutée. Reconnaissance des systèmes, identification des bases de données à forte valeur, écriture du code d'exploitation, collecte d'identifiants, exfiltration et documentation de l'opération ont été menées de façon largement autonome. Les opérateurs humains ne sont intervenus que sur quatre à six points de décision par campagne[1]. Trois capacités récentes ont rendu cette bascule possible. L'intelligence générale des modèles, d'abord, qui leur permet de suivre des instructions complexes. L'agentivité, ensuite, c'estnàndire la capacité à enchaîner des tâches en boucle autonome sur de longues durées. L'accès aux outils, enfin : scanners de réseau, cas‐ seurs de mots de passe, bases de données, connectés aux modèles par des protocoles standardisés. Au‐ cune de ces trois briques, prise isolément, n'est nouvelle. C'est leur combinaison qui change la donne. LE DÉROULÉ D'UNE CYBERATTAQUE ORCHESTRÉE PAR IA, EN SIX PHASES Schéma Cabinet Devorsine, d'après Anthropic, novembre 2025, périmètre mondial[1].
1.2 Le signal Mythos : quand l'éditeur lui-même tire la so--ette d'alarme
Le second signal est venu en avril 2026, et il est d'une nature inhabituelle. Anthropic a annoncé un modèle de nouvelle génération, Claude Mythos Preview, présenté comme capable de surpasser la quasintotalité des ex‐ perts humains dans la découverte et l'exploitation de failles logicielles. L'éditeur indique avoir identifié avec ce modèle des milliers de vulnérabilités jusqu'alors inconnues, dont beaucoup de critiques, dans l'ensemble des grands systèmes d'exploitation et navigateurs[2]. Le point remarquable n'est pas la performance. C'est la décision commerciale qui l'accompagne. Le modèle n'a pas été mis sur le marché. Son accès est restreint à un cercle d'organisations de confiance (grands édi‐ teurs, opérateurs d'infrastructures critiques, autorités), réuni au sein d'une initiative baptisée Project Glasswing, élargie depuis à environ 150 organisations dans plus de quinze pays[2]. Un acteur dont le métier est de vendre des modèles d'IA a jugé que celuinci était trop capable, sur le terrain cyber, pour être diffusé PHASE 1 Ciblage et cadre d'attaque pilotage humain PHASE 2 Reconnaissance autonome PHASE 3 Découverte et exploitation de failles PHASE 4 Collecte d'identifiants PHASE 5 Exfiltration et tri des données PHASE 6 Documentation automatique exécution par l'IA, validations humaines ponctuelles (4 à 6 points de décision par campagne) NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
sans précaution. L'éditeur ajoute une prévision qui concerne directement les assureurs et leurs clients : des modèles de classe comparable devraient apparaître chez d'autres acteurs sous six à douze mois, sans garantie qu'ils soient assortis des mêmes gardenfous[2]. Ces informations proviennent de l'éditeur luinmême et portent sur un périmètre mondial. Elles doivent être lues comme telles. Mais leur convergence avec les constats des autorités françaises, détaillés en section 2, leur donne un poids que le Cabinet Devorsine juge impossible à ignorer dans une réflexion assurantielle.
1.3 Qui est concerné
La réponse courte : toute entreprise dont l'activité repose sur un système d'information, c'estnàndire toute entreprise. La réponse utile est plus précise. Les entreprises de 50 à 1 000 salariés concentrent désormais l'essentiel de la croissance du marché de la cyberassurance et l'essentiel de la sinistralité en fréquence(s][4]. Elles sont aussi, pour des milliers d'entre elles, les nouvelles assujetties de la directive NIS2 en cours de transposition. Trois familles d'acteurs, au cœur des métiers du Cabinet Devorsine, sont particulièrement ex‐ posées : les opérateurs de mobilité et de transport, dont les flottes et les chaînes logistiques sont pilotées par des systèmes connectés ; les professionnels de l'immobilier, dépositaires de données personnelles et de fonds mandants ; les directions des ressources humaines et directions financières, qui administrent les données de santé et de prévoyance de leurs salariés. POUR ALLER PLUS LOIN Vous souhaitez situer votre entreprise face à ce nouveau paysage de menace ? Le Cabinet Devorsine a construit une grille de lecture des expositions cyber par métier, déclinée pour la mobilité, l'immobilier et la protection sociale. Demandeznla, elle vous sera adressée sans engagement : info@devorsine.com NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
S E C T I O N 2 État des lieux : menace, marché, réglementatio-
2.1 La menace en France : un plateau %aut, des modes opératoires qui
mutent Le Panorama de la cybermenace publié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI] le 11 mars 2026 dresse le bilan de l'année 2025[4]. L'Agence a traité 1 366 incidents de cybersécurité, un volume quasi identique à celui de 2024 (1 361] mais nettement supérieur aux niveaux de 202s (1 112] et 2022 (831]. Le directeur général de l'Agence résume la situation d'une formule : « on est sur un plateau très haut, pas sur un raz de marée »[4]. Derrière cette stabilité apparente, les modes opératoires évoluent. Les compromissions par rançongiciel re‐ culent légèrement, de 141 en 2024 à 128 en 2025. Dans le même temps, les exfiltrations de données pro‐ gressent fortement, de 130 à 196 incidents. Les attaquants chiffrent moins, volent plus, et monnayent la me‐ nace de divulgation. Cette approche est plus discrète, plus difficile à détecter, et déplace le centre de gravité du sinistre : moins d'interruption d'activité brutale, davantage d'atteintes aux données, de responsabilité civile et de gestion de crise réputationnelle. La typologie des victimes est sans ambiguïté pour le lectorat de cette note. Les PME, TPE et ETI restent la première catégorie touchée par les rançongiciels, avec environ 48 % des compromissions recensées, devant les collectivités territoriales et les établissements de santé, ces derniers en hausse à environ 8 %[4]. L'Agence souligne enfin l'effacement croissant des frontières entre groupes cybercriminels et acteurs étatiques, ainsi que le recours grandissant à des outils légitimes détournés, plus difficiles à repérer que les logiciels malveillants classiques. RANÇONGICIELS ET EXFILTRATIONS DE DONNÉES TRAITÉS PAR L'ANSSI, 2024 ET 2025 Source : ANSSI, Panorama de la cybermenace 2025, mars 2026[4]. Nombre d'incidents. Un point de méthode mérite d'être retenu. Sur 460 événements signalés en 2025 comme de possibles fuites de données, seuls 42 % ont pu être confirmés[4]. Une part significative des revendications relève du bluff ou du recyclage de données anciennes. Chaque revendication, même infondée, mobilise pourtant les équipes : qualification, notification à la Commission nationale de l'informatique et des libertés (CNIL], communication. Le coût du risque cyber ne se limite pas aux attaques réussies. 0 100 200 141 2024 128 2025 Compromissions par rançongiciel 130 2024 196 2025 Exfiltrations de données NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
La pression se lit aussi dans les notifications de violations de données. La CNIL en a enregistré 6 167 en 2025, en hausse de 9,5 % sur un an, un niveau record qui l'a conduite à annoncer un renforcement de ses contrôles[6]. LA MENACE EN FRANCE EN 2025 · DONNÉES OFFICIELLES 1 366 incidents traités par l'ANSSI, contre 831 en 2022 128 compromissions par rançongiciel, en léger recul 196 incidents d'exfiltration de données, en forte hausse Environ 48 % des rançongiciels visent des PME, TPE et ETI 6 167 violations de données notifiées à la CNIL, soit 9,5 % Sources : ANSSI[4], CNIL[6]
2.2 Le marché français de la cyberassurance : la détente à contretemps
La sixième édition de l'étude LUCY (Lumière sur la Cyberassurance), publiée début juin 2026 par l'Associa‐ tion pour le management des risques et des assurances de l'entreprise (AMRAE], constitue la photographie de référence du marché français pour l'exercice 2025. Elle s'appuie sur les données de douze courtiers, couvrant 20 996 polices et 1 251 sinistres(s]. Son sousntitre résume le diagnostic : une dynamique favorable mais un équilibre fragile. Le premier enseignement tient en une courbe. Le volume de cotisations collectées recule pour la troisième année consécutive : 328 millions d'euros en 202s, 317 millions en 2024, 306 millions en 2025, soit un peu plus de 3 % de baisse annuelle(s]. Ce repli ne traduit pas une désaffection. Le nombre d'entreprises assurées progresse, tiré par les ETI et les entreprises moyennes. Il traduit une guerre des prix. Le président de la commission cyber de l'AMRAE constate que 2025 a vu « une compétition féroce entre assureurs cyber » pour conserver ou conquérir des parts de marché(s]. L'arrivée d'acteurs spécialisés nés du numérique, qui ont sim‐ plifié la souscription pour les segments intermédiaires, a accéléré le mouvement. L'édition précédente de l'étude, portant sur l'exercice 2024, avait déjà documenté l'ampleur de la détente : taux de prime moyen des grands comptes en recul d'environ 18 %, de 2,37 % à 1,90 %, franchises en baisse de 15 % pour les grandes entreprises (à 6,5 millions d'euros) et de 50 % pour les ETI (à 110 000 euros), capacités souscrites moyennes en hausse de 2s % toutes catégories confondues[7]. La pénétration progres‐ sait dans le même temps de 32 % chez les ETI et de 33 % chez les entreprises moyennes[7]. COTISATIONS CYBER COLLECTÉES EN FRANCE ET RATIO SINISTRES SUR PRIMES Source : AMRAE, études LUCY, éditions 2025 et 2026(s][7]. • • • • • 0 175 350 M€ 328 202s 317 2024 306 2025 S/P 12 % S/P 17 % S/P 2025 : en hausse, valeur à reprendre du document AMRAE Barres : cotisations en millions d'euros. Points : ratio sinistres sur primes. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
Le second enseignement est le revers du premier. La sinistralité repart. Dès l'exercice 2024, le ratio sinistres sur primes remontait de 12 % à 17 %, avec un bond de la fréquence sur tous les segments : 82 % de sinistres déclarés chez les grandes entreprises, 117 % chez les ETI, s5s % chez les PME[7]. Une partie de cette hausse est statistiquement vertueuse : l'obligation de dépôt de plainte sous 72 heures instaurée par la loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI], applicable depuis avril 202s, et la maturité croissante des entreprises ont mécaniquement augmenté les déclarations[8]. Mais l'exercice 2025 confirme une dégradation réelle : la sinistralité progresse en fréquence et en intensité, les ETI étant le segment le plus affecté, tandis que les revenus techniques des assureurs s'érodent(s]. C'est le cœur du diagnostic de marché que pose cette note. Les conditions s'améliorent pour les assurés au moment où le risque s'aggrave. L'AMRAE ellenmême s'interroge sur la viabilité des prix actuels et alerte sur la fragilité de l'équilibre si un sinistre de grande ampleur venait à frapper le territoire national(s]. Pour mémoire, la première édition de l'étude rappelait qu'en 2020, un exercice marqué par quelques sinistres majeurs avait suffi à porter le ratio sinistres sur primes du marché français à 167 %, déclenchant trois années de durcissement brutal[9]. Le marché cyber a déjà démontré sa capacité à se retourner en quelques mois. GRILLE DE TENDANCE · CYBERASSURANCE, ENTREPRISES DE 50 À 1 000 SALARIÉS, SEMESTRE EN COURS INDICATEUR TENDANCE LECTURE Capacités disponibles ↗ Offre abondante, nouveaux entrants, plafonds accessibles en progression sur les segments intermédiaires. Franchises ↘ Recul marqué et continu depuis 2024, particulièrement net sur les ETI. Garanties ↔ Extensions nouvelles (carence de prestataire, frais de remplacement de matériel) mais vigilance sur les exclusions liées aux actes de guerre, au risque systémique et aux usages de l'IA. Primes ↘ Troisième année de détente, compétition forte sur les dossiers non sinistrés et bien prévenus. Sinistralité ↗ Progression en fréquence sur tous les segments et retour de l'intensité, ETI en première ligne. Sources : AMRAE LUCY 2025 et 2026(s][7]. Qualification des tendances : lecture du Cabinet Devorsine.
un confort. Les conditions actuelles (primes basses, franchises réduites, capacités larges) sont les meilleures observées depuis 2020, et rien ne garantit qu'elles survivront au premier sinistre systémique. Notre conviction : c'est maintenant qu'il faut structurer ou restructurer son programme cyber, négocier des engagements de durée et verrouiller des plafonds dimensionnés sur une exposition quantifiée, pas sur un budget historique. Attendre le durcissement, c'est acheter plus cher une couverture plus étroite, avec un questionnaire plus exigeant. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
2.3 La vague réglementaire 2026 : la conformité devient la clé d'accès à
l'assurance Le calendrier réglementaire fait de 2026 une année charnière, et il s'impose à toutes les entreprises du périmètre de cette note. Le règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA) s'applique di‐ rectement depuis le 17 janvier 2025. Il concerne les entités financières et, par capillarité contractuelle, leurs prestataires informatiques critiques[10]. La directive européenne NIS2, adoptée en décembre 2022, devait être transposée au plus tard le 17 octobre
- La France a manqué cette échéance et achève sa transposition par le projet de loi relatif à la résilience
des infrastructures critiques et au renforcement de la cybersécurité, dit loi Résilience, adopté par le Sénat en mars 2025, examiné par la commission spéciale de l'Assemblée nationale en septembre 2025, et dont l'adoption définitive est attendue au cours de l'été 2026[11]. Le changement d'échelle est considérable : d'en‐ viron 500 opérateurs régulés sous l'ancien régime, la France passera à plus de 10 000 entités assujetties, ré‐ parties sur 18 secteurs, dont le transport, la gestion de l'eau et des déchets, l'industrie manufacturière et les services numériques. Les sanctions encourues atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles[11]. Sans attendre la loi, l'ANSSI a publié le 17 mars 2026 une version de travail du Référentiel Cyber France (ReCyF], qui détaille les mesures attendues[12]. Le règlement européen sur l'intelligence artificielle complète le dispositif : l'essentiel de ses dispositions s'applique à compter du 2 août 2026. L'Autorité de contrôle prudentiel et de résolution (ACPR] est pressentie comme autorité de surveillance du marché pour le secteur financier français, ce qui inclut la tarification et l'évaluation des risques des personnes physiques en assurance santé et vie, classées à haut risque(1s]. L'ACPR a par ailleurs relayé en novembre 2025 la déclaration du groupe d'experts cyber du G7 consacrée aux effets de l'IA sur la sécurité du système financier mondial : l'IA renforce la résilience mais introduit de nouvelles vulnérabilités exploitables par des acteurs malveillants, et appelle une posture proactive[14]. Enfin, le règlement européen sur la cyberrésilience des produits (CRA) imposera dès le 11 septembre 2026 la notifica‐ tion sous 24 heures de toute vulnérabilité activement exploitée, avant une application complète fin 2027[10]. La conséquence assurantielle de cet empilement est directe. Les exigences de prévention que les assureurs cyber posaient contractuellement (authentification multifacteur, sauvegardes isolées, plan de réponse à inci‐ dent) deviennent des obligations légales pour des milliers d'entreprises qui n'y étaient pas soumises. La conformité cesse d'être un avantage de négociation pour devenir un prérequis. À l'inverse, une nonnconfor‐ mité avérée au moment d'un sinistre fragilisera la position de l'assuré, tant visnànvis de son assureur que du régulateur. ÉCHÉANCES RÉGLEMENTAIRES APPLICABLES AUX ENTREPRISES FRANÇAISES, 2025 À 2027 17 janv. 2025 Application de DORA 17 mars 2026 ReCyF (ANSSI), version de travail Été 2026 Loi Résilience (NIS2), adoption attendue 2 août 2026 Règlement IA, application générale 11 sept. 2026 CRA : notification des vulnérabilités sous 24 h 11 déc. 2027 CRA, application complète Sources : textes de l'Union européenne, calendrier parlementaire français, juin 2026. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
VOTRE ENTREPRISE EST-ELLE DANS LE PÉRIMÈTRE DE NIS2 ? Pour une part des entreprises de 50 à 1 000 salariés, la réponse est oui sans qu'elles le sachent encore. Le Cabi‐ net Devorsine propose un audit précis et synthétique de votre exposition réglementaire et de la cohérence de vos garanties cyber avec vos nouvelles obligations. Un échange suffit pour le déclencher : info@devorsine.com NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
S E C T I O N 3 Analyse : ce que l'IA agentique change vraiment
3.1 Trois déplacements du risque, pas un risque nouveau
Il serait inexact de présenter l'IA comme un risque cyber inédit. Les techniques restent connues : hameçon‐ nage, exploitation de vulnérabilités, vol d'identifiants, extorsion. Ce que l'IA agentique déplace, ce sont trois paramètres économiques de l'attaque. La vitesse, d'abord. Lors de la campagne documentée fin 2025, l'IA a émis au pic des milliers de requêtes, souvent plusieurs par seconde, un rythme hors de portée d'une équipe humaine[1]. La phase de reconnaissance, qui occupait des semaines, se compte en heures. Pour le défenseur, la fenêtre entre la première intrusion et le chiffrement ou l'exfiltration se rétrécit d'autant. L'échelle, ensuite. Un même cadre d'attaque automatisé peut être pointé simultanément vers des dizaines de cibles. La logique de l'attaquant s'inverse : il n'a plus besoin de choisir entre quelques cibles à forte valeur, il peut ratisser large et trier ensuite. Les entreprises moyennes, autrefois protégées par leur relative insignifiance, perdent ce bouclier statistique. La barrière à l'entrée, enfin, et c'est le déplacement le plus lourd de conséquences. Dès août 2025, les tra‐ vaux de veille de l'industrie documentaient des opérateurs peu qualifiés techniquement menant, grâce à l'IA, des opérations d'extorsion de données visant au moins dixnsept organisations, dont des acteurs de la santé et des services d'urgence[15]. L'analyse de la campagne de novembre 2025 conclut que des groupes moins expérimentés et moins dotés peuvent désormais conduire des attaques d'une ampleur réservée hier aux États[1]. La population des attaquants capables s'élargit. Ces constats portent sur un périmètre mondial et sont signalés comme tels ; ils convergent toutefois avec l'observation de l'ANSSI d'une professionnalisation continue de l'écosystème criminel visant la France[4]. Un contrepoint d'honnêteté intellectuelle s'impose. La même enquête relève que l'IA attaquante a commis des erreurs, inventant des identifiants ou surévaluant des données en réalité publiques[1]. L'autonomie com‐ plète n'est pas atteinte. Et les capacités en cause sont à double usage : détection automatisée, analyse de vulnérabilités et réponse à incident bénéficient des mêmes progrès. L'initiative Project Glasswing, qui mobi‐ lise le modèle Mythos pour corriger des failles avant qu'elles ne soient exploitées, illustre ce versant défen‐ sif[2]. La course entre l'épée et le bouclier s'accélère dans les deux sens. Le problème, pour une entreprise moyenne française, est qu'elle n'a accès ni à l'épée ni au bouclier de pointe : elle subit l'accélération sans en maîtriser les instruments. C'est précisément ce vide que le transfert assurantiel et l'accompagnement de courtage doivent combler.
3.2 Lecture par taille d'entreprise
La segmentation par taille est le bon prisme de lecture, et les données du marché la confirment. Les grandes entreprises subissent le retour des sinistres de forte intensité, supérieurs à 10 millions d'euros[7]. Les ETI concentrent la dégradation la plus nette : fréquence en forte hausse et, sur l'exercice 2025, coûts d'indemnisation en progression marquée(s]. Les PME connaissent l'explosion de la fréquence déclarée, par‐ tiellement expliquée par l'obligation de plainte sous 72 heures, avec des coûts unitaires encore modérés[7]. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
Pour la lecture opérationnelle, le Cabinet Devorsine retient trois bandes d'effectifs. De 50 à 100 salariés, l'enjeu dominant est la conformité et les fondamentaux : ces entreprises découvrent souvent simultanément leur assujettissement à NIS2, les exigences des questionnaires assureurs et leur dépendance à des presta‐ taires informatiques externes. De 100 à 250 salariés, l'enjeu est le dimensionnement : les plafonds souscrits par habitude y sont fréquemment décorrélés de l'exposition réelle, notamment sur la perte d'exploitation. Au- delà de 250 salariés, l'enjeu est l'architecture du programme : articulation des lignes, franchises supportables en trésorerie, scénarios de cumul, clauses d'exclusion systémique et de guerre, gouvernance de crise.
surtout au tarif actuel. C'est un problème de quantification. La plupart des plafonds que nous auditons ont été fixés par mimétisme sectoriel ou par arbitrage budgétaire, jamais par un chiffrage de scénario : com‐ bien coûtent dix jours d'arrêt du système de gestion, la reconstitution des données, la notification à des milliers de personnes concernées, la défense en responsabilité civile ? Tant que cette question n'a pas de réponse chiffrée, le programme d'assurance repose sur une intuition. À l'ère des attaques automatisées, l'intuition n'est plus un dispositif de gestion des risques.
3.3 Déclinaison par métier : trois expositions, trois priorités
RETOUR DE TERRAIN · PÔLE MOBILITÉ : LA FLOTTE EST DEVENUE UN SYSTÈME D'INFORMATION ROULANT Télématique embarquée, systèmes de gestion du transport et des entrepôts, bourses de fret, interfaces clients : un opérateur de transport ou un gestionnaire de flotte dépend aujourd'hui d'une chaîne numérique continue. Les retours de terrain convergent sur deux scénarios dominants : la paralysie de l'exploitation par compromission du système de planification, dont le coût se mesure en journées de véhicules immobilisés et en pénalités contrac‐ tuelles, et la fraude documentaire ou au faux donneur d'ordre dans la chaîne logistique, que l'ingénierie sociale assistée par IA rend nettement plus crédible. Point de vigilance assurantiel : l'articulation entre la police cyber, la responsabilité civile contractuelle du transporteur et la garantie marchandises transportées, où les angles morts de couverture sont fréquents. RETOUR DE TERRAIN · PÔLE IMMOBILIER : LES CABINETS CONCENTRENT DONNÉES ET FLUX FINANCIERS Un syndic ou un administrateur de biens cumule trois attributs recherchés par les attaquants : des données per‐ sonnelles en volume (copropriétaires, locataires, dossiers de candidature), des flux financiers réguliers sur des comptes mandants, et une surface de confiance qui rend ses courriels crédibles auprès de centaines de destina‐ taires. Le scénario le plus coûteux observé sur ce segment reste la fraude au virement par compromission ou imi‐ tation de messagerie, désormais industrialisable par IA, suivi de l'exfiltration de données déclenchant notification CNIL et mise en cause de la responsabilité civile professionnelle. Point de vigilance assurantiel : vérifier que la police cyber du cabinet couvre les fonds mandants et s'articule sans trou avec la responsabilité civile professionnelle et la garantie financière. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
RETOUR DE TERRAIN · PÔLE PROTECTION SOCIALE : LA DONNÉE DE SANTÉ, CIBLE DE CHOIX Les régimes collectifs de santé et de prévoyance font transiter par les directions des ressources humaines, les portails de gestion et les délégataires des données parmi les plus sensibles du droit français. La proportion d'incidents touchant la santé progresse dans les statistiques de l'ANSSI[4], et la valeur de revente de ces données en fait une cible durable. Pour l'employeur, l'exposition est triple : violation de données à caractère personnel avec notification et sanction potentielle, interruption des processus de paie et de prestations, et mise en cause au titre de son devoir de protection. Point de vigilance assurantiel : la chaîne de sousntraitance (gestionnaire, délégataire, éditeur de portail) doit être cartographiée et les responsabilités contractuelles alignées avec les couvertures de chacun. VOUS VOUS RECONNAISSEZ DANS L'UN DE CES TROIS SCÉNARIOS ? Le Cabinet Devorsine réalise un audit précis et synthétique de l'articulation entre votre police cyber et vos autres lignes (responsabilité civile professionnelle, marchandises, garantie financière, protection sociale). Cet audit identifie les angles morts avant qu'un sinistre ne le fasse. Contactez le pôle concerné pour le programmer : info@devorsine.com NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026 s
S E C T I O N 4 Implications opérationnelles 4.1 La couverture se mérite désormais Le premier changement concret pour un dirigeant est contractuel. Les assureurs cyber ont fait des mesures de prévention une condition d'acceptation du risque, et la détente tarifaire n'a pas assoupli cette exigence, elle l'a au contraire généralisée. Authentification multifacteur sur les accès distants et les comptes à privi‐ lèges, sauvegardes régulières testées et isolées du réseau, gestion des correctifs, sensibilisation des collabo‐ rateurs, plan de réponse à incident formalisé : ces cinq fondamentaux constituent le socle en deçà duquel l'accès au marché se complique, quel que soit le budget. L'investissement est rentable aundelà de la prime. Une enquête menée en 2025 auprès d'entreprises de quatre grands pays européens dont la France, donnée multinpays signalée comme telle, estime que les entre‐ prises appliquant les mesures de base subissent des attaques nettement moins fréquentes et un coût moyen d'attaque inférieur d'environ 87 % à celui des entreprises qui ne les appliquent pas[16]. La prévention ne rem‐ place pas l'assurance, elle en abaisse le prix et en conditionne l'efficacité. 4.2 L'audit de garanties devient plus urgent que la négociation de prime Le second changement concerne le contenu des contrats. Trois chantiers de relecture s'imposent ce se‐ mestre. Les exclusions, d'abord : clauses de guerre et d'acte étatique, dont la portée devient incertaine quand l'ANSSI documente l'effacement des frontières entre acteurs étatiques et criminels[4], et premières clauses relatives aux systèmes d'IA, qui apparaissent dans certains contrats. Les déclencheurs, ensuite : la bascule du chiffrement vers l'exfiltration déplace le sinistre type vers l'atteinte aux données et la responsabili‐ té civile, des garanties souvent moins dimensionnées que la perte d'exploitation. Les services, enfin : assis‐ tance 24 heures sur 24, équipe de réponse à incident, accompagnement de notification, qui font la valeur réelle d'une police cyber le jour du sinistre. Le troisième changement est le poids du facteur conformité. Pour les entreprises entrant dans le périmètre de NIS2, l'écart entre les obligations légales et l'état réel du système d'information devient un risque financier propre : sanctions administratives, mise en cause des dirigeants, fragilisation de la position en cas de sinistre. La lecture du Cabinet Devorsine, interprétation maison signalée comme telle, est que pour une entreprise moyenne, le risque financier porté par une nonnconformité dépasse fréquemment celui d'une hausse de prime, et qu'il doit donc être traité en priorité. LE DOUBLE CONTRÔLE DU SEMESTRE CINQ PRÉREQUIS DE PRÉVENTION EXIGÉS PAR LE MARCHÉ TROIS CHANTIERS DE RELECTURE CONTRACTUELLE
- Authentification multifacteur sur accès distants et comptes
à privilèges
- Sauvegardes isolées du réseau et testées
- Gestion des correctifs de sécurité
- Sensibilisation des collaborateurs
- Plan de réponse à incident formalisé
- Exclusions : guerre, acte étatique, clauses relatives à l'IA
- Déclencheurs et plafonds par garantie : équilibre entre
perte d'exploitation et atteintes aux données
- Services de crise : assistance, réponse à incident,
notification Lecture du Cabinet Devorsine, juin 2026. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
POINTS DE VIGILANCE DU SEMESTRE À VENIR Adoption de la loi Résilience et publication des décrets : confirmation des périmètres d'assujettissement NIS2 Application du règlement européen sur l'IA au 2 août 2026 : premières obligations pour les déployeurs Première échéance du règlement CRA le 11 septembre 2026 : notification des vulnérabilités exploitées sous 24 heures Prochaines publications de veille des éditeurs d'IA : diffusion annoncée de modèles de classe Mythos chez d'autres acteurs sous six à douze mois[2], donnée internationale signalée Tenue des conditions tarifaires : tout sinistre systémique majeur peut déclencher un retournement rapide du marché(s]
ligne cyber. Le marché a changé deux fois en quatre ans, la menace vient de changer de nature, la régle‐ mentation change cet été. Un contrat reconduit sans relecture depuis 202s est, au mieux, mal dimension‐ né, au pire, inopérant sur le scénario qui frappera. Notre position est sans ambiguïté : ce semestre, chaque entreprise de 50 à 1 000 salariés devrait consacrer une réunion de direction à son risque cyber, avec son courtier autour de la table. • • • • • NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
S E C T I O N 5 Recommandations pratiques du Cabinet Devorsine Les sept recommandations qui suivent relèvent de la lecture du Cabinet Devorsine, fondée sur les données publiques et de marché citées dans cette note. Elles sont classées par priorité et assorties d'un horizon de mise en œuvre. RECOMMANDATION PRIORITÉ HORIZON
- Quantifier l'exposition cyber par scénario (arrêt d'exploitation, exfiltration, fraude au
virement) et en déduire les plafonds, au lieu de reconduire les montants historiques Critique 0 à 3 mois
- Qualifier l'assujettissement NIS2 de l'entreprise et de ses entités, et cadrer le plan de
mise en conformité avant la publication des décrets Critique 0 à 3 mois
- Verrouiller les cinq fondamentaux de prévention exigés par le marché et en constituer la
preuve documentaire pour la souscription Élevée 0 à 6 mois
- Faire auditer les garanties : exclusions de guerre et d'acte étatique, clauses relatives à
l'IA, équilibre entre perte d'exploitation et atteintes aux données, services de réponse à incident Élevée 0 à 6 mois
- Traiter la fraude au virement et l'ingénierie sociale assistée par IA comme un risque
propre : doubles validations hors messagerie, procédures de rappel, couverture fraude dédiée Élevée 0 à 6 mois
- Tester le plan de réponse à incident par un exercice de crise associant direction
générale, finance et communication, en intégrant le scénario d'exfiltration sans chiffrement Moyenne 6 à 12 mois
- Profiter de la fenêtre tarifaire pour sécuriser la durée : engagements pluriannuels,
capacités élargies et franchises basses négociés avant tout retournement de marché Moyenne Avant le prochain renouvellement Deux précisions de méthode. La recommandation 1 conditionne toutes les autres : sans quantification, ni le plafond, ni la franchise, ni la priorité des investissements de prévention ne peuvent être arbitrés rationnelle‐ ment. La recommandation 7, enfin, n'est pas une incitation à acheter plus, mais à acheter mieux pendant que le rapport de force est favorable à l'assuré, ce que trois années de baisse des cotisations documentent objec‐ tivement(s]. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
S E C T I O N 6 Comment le Cabinet Devorsine vous accompagne Le Cabinet Devorsine, courtier d'assurance indépendant établi à Nantes, accompagne les entreprises fran‐ çaises sur trois pôles : la mobilité (flottes, transport de marchandises et de personnes, location, flottes muni‐ cipales), l'immobilier (syndics, administrateurs de biens, foncières, bailleurs sociaux, promoteurs) et la pro‐ tection sociale (santé, prévoyance et retraite supplémentaire des entreprises de 50 à 1 000 salariés et de leurs dirigeants). Le risque cyber traverse ces trois métiers, et c'est précisément ainsi que nous le traitons : non comme une ligne isolée, mais comme une exposition à articuler avec l'ensemble de votre programme d'assurance. Notre accompagnement suit cinq étapes. L'analyse, d'abord : cartographie de votre exposition cyber par scé‐ nario, revue de vos contrats en cours et de leur articulation avec vos autres lignes, qualification de votre situation réglementaire. Les recommandations personnalisées et la conconstruction du cahier des charges, ensuite : nous formalisons avec vous les garanties, plafonds, franchises et services attendus, puis nous interrogeons le marché sur cette base, pas sur un questionnaire générique. Le déploiement surnmesure auprès de vos équipes, troisième étape : présentation des couvertures aux fonctions concernées (direction financière, direction des systèmes d'information, ressources humaines, exploitation), pour que chacun sache ce que le contrat couvre et ce qu'il exige. Le pilotage, quatrième étape : suivi de la sinistralité, revue annuelle des plafonds au regard de l'évolution de votre activité et du marché, anticipation des renouvellements. L'ac‐ compagnement continu, enfin : assistance à déclaration et suivi de sinistre, veille réglementaire, information sur les évolutions du marché telles que celles documentées dans cette note. Prendre contact a particulièrement du sens dans cinq situations. Votre programme cyber arrive à renouvelle‐ ment dans les douze prochains mois et vous souhaitez bénéficier des conditions de marché actuelles. Votre entreprise entre, ou pourrait entrer, dans le périmètre de la directive NIS2 et vous devez aligner conformité et couverture. Vous avez connu un incident, même mineur ou non indemnisé, et souhaitez en tirer les consé‐ quences contractuelles. Votre entreprise conduit une opération de croissance, d'acquisition ou de digitalisa‐ tion qui modifie son exposition. Vous gérez des données de santé, des fonds mandants ou une exploitation logistique dépendante de systèmes connectés, et vous n'avez jamais fait auditer l'articulation de vos garan‐ ties. Dans chacun de ces cas, le point de départ est le même : un audit précis et synthétique de votre exposition et de vos couvertures, restitué à votre direction avec des préconisations hiérarchisées. Cet audit n'engage à rien d'autre qu'à y voir clair. DEMANDER L'AUDIT CYBER DU CABINET DEVORSINE Un échange de cadrage avec le pôle concerné (Mobilité, Immobilier ou Protection sociale), la collecte de vos contrats en cours, et la restitution d'un audit précis et synthétique : exposition par scénario, angles morts de couverture, situation réglementaire, préconisations hiérarchisées. Écrivez à info@devorsine.com ou appelez le cabinet, votre interlocuteur vous répondra sous 48 heures ouvrées. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
Annexes
Méthodologie et sources Méthodologie Cette note distingue systématiquement trois statuts d'information. Les données publiques sourcées, issues d'autorités et d'organismes officiels français (ANSSI, CNIL, ACPR, textes de l'Union européenne). Les estima‐ tions de marché publiées par des acteurs identifiés (AMRAE, Aon, Howden, Anthropic), dont le périmètre, français, multinpays ou mondial, est signalé dans le corps du texte. Les lectures du Cabinet Devorsine, inter‐ prétations maison explicitement signalées comme telles, notamment dans les encarts dédiés, la grille de tendance et les recommandations. Les données relatives à l'étude LUCY 2026 de l'AMRAE, publiée début juin 2026, ont été établies à partir du document et de ses reprises par la presse professionnelle ; les valeurs chiffrées de l'exercice 2025 sont à re‐ confirmer sur le document primaire de l'AMRAE avant toute reprise. Les données internationales (Anthropic, Howden) sont mobilisées en complément éclairant du périmètre français et toujours signalées. Aucune don‐ née des marchés américain ou suisse n'a été utilisée pour caractériser le marché français. Les citations directes sont limitées à moins de quinze mots par source. Sources, par ordre d'apparitio- [1] Source : Anthropic, Disrupting the first reported AInorchestrated cyber espionage campaign, novembre 2025, périmètre mondial, www.anthropic.com/news/disrupting-AInespionage. [2] Source : Anthropic, Project Glasswing et Expanding Project Glasswing, avril et mai 2026, périmètre mondial, www.anthropic.com/glasswing. (s] Source : AMRAE, LUCY, Lumière sur la Cyberassurance, édition 2026, juin 2026, www.amrae.fr. [4] Source : ANSSI, Panorama de la cybermenace 2025, mars 2026, www.cert.ssi.gouv.fr/uploads/CERTFR-2026-CTI-002.pdf. [5] Source : Aon, Global Risk Management Survey 2025, rapport France, 2025, enquête de perception, périmètre international si‐ gnalé. [6] Source : CNIL, rapport d'activité 2025, mai 2026, www.cnil.fr. [7] Source : AMRAE, LUCY, Lumière sur la Cyberassurance, édition 2025, juin 2025, www.amrae.fr. [8] Source : loi n° 202s-22 du 24 janvier 202s d'orientation et de programmation du ministère de l'Intérieur, article relatif à l'indemnisation des risques cyber, applicable depuis avril 202s, www.legifrance.gouv.fr. [9] Source : AMRAE, LUCY, Lumière sur la Cyberassurance, première édition, mai 2021 (donnée la plus récente disponible pour l'exercice 2020], www.amrae.fr. [10] Source : règlement (UE) 2022/2554 du 14 décembre 2022 (DORA) et règlement (UE) 2024/2847 (règlement sur la cyberrésilience), eurnlex.europa.eu. [11] Source : directive (UE) 2022/2555 du 14 décembre 2022 (NIS2) et projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, calendrier parlementaire, juin 2026, www.senat.fr et www.assembleennatio‐ nale.fr. [12] Source : ANSSI, Référentiel Cyber France (ReCyF], version de travail, mars 2026, cyber.gouv.fr. (1s] Source : ACPR, Le règlement européen sur l'intelligence artificielle (AI Act], 2025, acpr.banquenfrance.fr. [14] Source : ACPR, Déclaration relative à l'intelligence artificielle et à la cybersécurité, communiqué, novembre 2025, acpr.banquenfrance.fr. [15] Source : Anthropic, Detecting and countering misuse of AI, août 2025, périmètre mondial, www.anthropic.com/news/ detectingncounteringnmisusenaug-2025. NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026
[16] Source : Howden, Cyber Report 2025, Rebooting Growth, septembre 2025, enquête portant sur la France, l'Allemagne, l'Italie et l'Espagne, périmètre multinpays signalé, www.howdengroup.com. Note de recherche éditée par le Cabinet Devorsine · Signature collective, sans auteur nommé · Reproduction autorisée avec mention de la source · Les analyses signalées comme lecture du Cabinet Devorsine n'engagent que lui · Cette note ne constitue ni un conseil juridique ni une recommandation d'investissement · Réclamations : devorsine.com/reclamations · Mentions légales : devorsine.com/mentionsnlegales NOTE DE RECHERCHE · CYBERASSURANCE ET INTELLIGENCE ARTIFICIELLE · JUIN 2026