1. Enjeux cyber PME en 2026
La menace cyber a EXPLOSÉ pour les PME françaises depuis 2020. Selon le rapport ANSSI 2024 : 41 % des PME ont subi une attaque cyber en 2024 (vs 28 % en 2022). Coût moyen d'une attaque pour une PME : 178 000 € (frais directs + indirects + perte exploitation).
Types d'attaques principales : ransomware (45 %), phishing ou fraude au président (28 %), fuite de données (15 %), DDoS (8 %), espionnage industriel (4 %). Les secteurs les plus visés : industrie ou manufacturing, santé, finance, services professionnels.
Conséquences typiques : arrêt activité 7 à 45 jours, perte de données critiques, atteinte réputation, sanction CNIL (jusqu'à 20 M€ ou 4 % du CA mondial), demandes de rançon (entre 5 K€ et 500 K€).
2. Sinistralité cyber 2024 (rapport AMRAE)
Le rapport AMRAE 2024 chiffre une explosion historique des sinistres cyber en France. Les PME absorbent le choc de plein fouet :
AMRAE
AMRAE
AMRAE
AMRAE
- Coût moyen sinistre ETI : 1,8 M€
- Coût moyen sinistre groupe (GE) : 8,5 M€
- Taux de paiement de rançons : 38 % des cas (en baisse depuis 2022 grâce à l'ANSSI)
- Sinistres RGPD ou CNIL : 850 sanctions en 2024 (vs 420 en 2023)
Les attaques ciblant les sous-traitants BTP ont triplé en 2024. Si vous êtes prestataire d'un grand groupe, votre exposition est désormais maximale.
“Aucune PME française ne peut plus se considérer comme une cible négligeable. La question n'est plus 'si' mais 'quand'.”
3. 7 garanties indispensables
Une cyber assurance PME complète doit inclure 7 garanties :
- 1**Ransomware** : prise en charge négociation, paiement rançon, restauration systèmes
- 2**Atteinte aux données** : notification clients, frais expertise CNIL, sanctions RGPD
- 3**Fraude au président — FOVI** : indemnisation des transferts frauduleux
- 4**Perte d'exploitation** : 60 à 180 jours de marge brute selon contrat
- 5**Frais de gestion de crise** : communicants, juristes, experts forensic
- 6**E-réputation** : nettoyage référencement, communication post-crise
- 7**Cyber-RC** : responsabilité civile vis-à-vis des tiers (clients dont les données ont fuité)
4. Garantie ransomware — la plus stratégique
La garantie ransomware couvre 5 postes :
- **Frais d'expertise forensic** : 5 000 à 50 000 € pour identifier l'attaque et contenir
- **Frais de négociation** : équipes spécialisées (15 à 30 K€)
- **Paiement rançon** (si jugé nécessaire) : 5 K€ à 500 K€ selon plafond
- **Restauration des systèmes** : reconstruction infrastructure, restauration sauvegardes
- **Audit post-incident** : recommandations pour éviter récidive
ATTENTION : le paiement de rançon n'est PAS systématiquement couvert. Certains assureurs (notamment depuis 2024) refusent de payer pour décourager les attaquants. Vérifier la clause précise.
5. Garantie RGPD ou CNIL
La garantie RGPD couvre :
- **Frais de notification clients** : envoi obligatoire dans les 72 h en cas de fuite (Art. 33 RGPD)
- **Frais d'expertise CNIL** : audit conformité post-incident (5 à 25 K€)
- **Sanction administrative CNIL** : limite légale 20 M€ ou 4 % CA mondial, plafonds contractuels souvent 500 K€ à 5 M€
- **Frais juridiques** : avocat RGPD pour défense devant la CNIL
Les sanctions CNIL ont EXPLOSÉ depuis 2024 : 850 sanctions en 2024 vs 420 en 2023. Sanctions moyennes PME : 25 K€ (vs 8 K€ en 2022).
6. Tarifs PME 2026
Tarifs moyens 2026 cyber assurance PME selon taille :
- **PME < 10 salariés (CA < 1 M€)** : 30 à ~80 € par mois (plafond 250 K€)
- **PME 10-50 salariés (CA 1-10 M€)** : 100 à ~300 € par mois (plafond 1 M€)
- **PME 50-250 salariés (CA 10-50 M€)** : 400 à 1 200 € par mois (plafond 2-5 M€)
- **Surcoût secteur santé — finance** : +30 à +50 % (risque accru)
- **Bonus mesures de sécurité** : -15 à -25 % avec MFA + sauvegardes externes + EDR
7. 7 mesures de prévention
Pour réduire vos risques (et votre prime) :
- 1**MFA généralisée** : authentification multi-facteurs sur tous les comptes critiques
- 2**Sauvegardes 3-2-1** : 3 copies, 2 supports différents, 1 hors site (idéalement déconnectée)
- 3**EDR ou XDR** : solution de détection avancée des menaces (CrowdStrike, SentinelOne)
- 4**Formation collaborateurs** : sensibilisation phishing 2x par an (40 % des attaques passent par les emails)
- 5**Patch management** : mise à jour systèmes < 30 jours, urgences < 72 h
- 6**Plan de continuité** : procédures écrites pour gérer une attaque, équipe identifiée
- 7**Audit annuel** : test d'intrusion + audit RGPD par un cabinet spécialisé
Les PME appliquant les 7 mesures réduisent leur sinistralité de 75 % et leur prime cyber de 25 %. ROI typique : 12 à 18 mois.
8. Évolutions du marché cyber assurance 2020-2026
Le marché de la cyber assurance a connu une transformation radicale depuis 2020. Quatre phases marquantes :
**2020-2021 — explosion de la demande** : la pandémie a généralisé le télétravail et exposé les PME aux risques cyber. Les attaques ransomware ont augmenté de +300 %. La demande de cyber assurance a explosé alors que peu d'assureurs étaient prêts.
**2022-2023 — durcissement** : face aux pertes massives, les assureurs ont durci les conditions : questionnaires de sécurité de 100+ questions, exigences MFA, sauvegardes immutables, plafonds réduits. Les primes ont doublé en 2 ans.
**2024-2025 — maturité** : marché stabilisé. Les insurtech (At-Bay, Coalition, Cowbell) ont apporté un nouveau modèle « assurance + sécurité active » avec monitoring inclus. Les primes commencent à se stabiliser pour les PME bien préparées.
**2026 — segmentation** : les PME bien sécurisées (MFA + EDR + sauvegardes) accèdent à des tarifs raisonnables. Les PME mal préparées sont soit refusées, soit acceptées à des tarifs prohibitifs avec exclusions importantes.
9. 5 cas réels de sinistres cyber PME
Pour illustrer concrètement les risques, voici 5 cas réels (anonymisés) de PME ayant subi une attaque cyber en 2024 :
- **Cabinet comptable 12 salariés** : ransomware « Black Cat ». Rançon demandée : 80 k€. Frais totaux : 145 k€ (négociation, expertise, restauration, perte exploit. 3 sem.). Cyber assurance a couvert 95 % moins franchise 8 k€.
- **E-commerce mode CA 1,8 M€** : phishing puis fraude au président. 45 k€ transférés à un faux fournisseur. Récupération partielle 15 k€ via banque. Solde 30 k€ pris en charge par cyber assurance moins franchise 3 k€.
- **Cabinet médical 5 médecins** : fuite données patients suite à malware. 1 200 patients impactés. Frais : notification CNIL, communication crise, sanction CNIL 25 k€. Cyber assurance couvre 90 % + frais juridiques.
- **PME industrielle 80 salariés** : ransomware « LockBit » avec exfiltration données. Rançon 250 k€ (refusée). Frais totaux 480 k€ (récupération, expertise, perte exploit. 6 sem.). Cyber assurance couvre 75 % du fait sous-couverture plafond.
- **Start-up SaaS 25 salariés** : ddos massif 2 semaines. Perte exploitation 180 k€. Cyber assurance couvre 100 % moins franchise 5 k€. Bonus : remboursement client perdu négocié.
10. Exclusions courantes à connaître
Les contrats cyber assurance comportent typiquement plusieurs exclusions importantes à bien comprendre avant de signer :
- **Acte de guerre cyber** : depuis 2022, beaucoup d'assureurs excluent les attaques attribuées à des États (Russie, Corée du Nord, Iran). Très problématique car la plupart des grosses attaques sont étatiques.
- **Défaut de mesures de sécurité de base** : si le client n'a pas mis en place MFA, sauvegardes 3-2-1, mises à jour régulières, l'assureur peut refuser.
- **Sinistre antérieur à la souscription** : période de carence typique 60-90 jours.
- **Frais de mise en conformité** : la cyber assurance couvre les frais d'urgence mais PAS les frais de mise à niveau de la sécurité (qui restent à votre charge).
- **Pertes liées à la réputation à long terme** : la couverture e-réputation est généralement plafonnée à 50-100 k€ et limitée à 12 mois.
11. Cyber assurance vs RC Pro : complémentarité
Une question fréquente : ma RC Pro inclut-elle déjà la cyber ? Réponse : généralement pas suffisamment.
**RC Pro classique** : couvre la responsabilité civile envers les tiers (clients, partenaires) en cas de défaut professionnel. Elle peut couvrir certains aspects cyber (fuite de données par négligence) mais avec des plafonds très limités (souvent <100 k€) et des exclusions fortes.
**Cyber assurance dédiée** : couvre l'ENSEMBLE des conséquences cyber : ransomware, fraude au président, perte d'exploitation, sanctions CNIL, e-réputation, frais d'expertise forensic. Plafonds plus élevés (250 k€ à 5 M€).
**Articulation optimale** : conserver une RC Pro avec cyber « extension » à 250 k€ pour les petits incidents + souscrire une cyber dédiée pour les risques majeurs (ransomware, RGPD). Coût total typique : 60 à 200 € par mois selon taille PME.
Pour les PME critiques (santé, finance, e-commerce gros volume), la cyber assurance dédiée n'est plus optionnelle en 2026 — elle est aussi essentielle que la décennale pour un artisan BTP.
12. Audit de sécurité préalable — 8 points clés
Avant de souscrire une cyber assurance, réaliser un audit de sécurité interne permet d'identifier vos faiblesses et de négocier de meilleures conditions. Les 8 points à auditer :
- 1**MFA généralisée** : tous les comptes administrateurs, emails, accès distants. Sans MFA, refus probable de l'assureur.
- 2**Sauvegardes 3-2-1** : 3 copies, 2 supports différents, 1 hors site. Tester les restaurations 1 fois par trimestre.
- 3**Patch management** : politique formalisée, mises à jour critiques sous 72 h, audits trimestriels.
- 4**EDR ou XDR déployé** : sur tous les endpoints. Solutions CrowdStrike, SentinelOne, Microsoft Defender for Business.
- 5**Formation collaborateurs** : 2 sessions par an minimum sur le phishing, l'ingénierie sociale, les bonnes pratiques.
- 6**Plan de réponse aux incidents** : document écrit, équipe de gestion de crise identifiée, procédures testées.
- 7**Conformité RGPD** : registre des traitements à jour, DPO désigné si > 250 salariés ou traitements sensibles.
- 8**Cyber assurance déjà en place** : niveau actuel de couverture, sinistralité antérieure, conditions de renouvellement.
13. Budget cyber sécurité optimal pour PME
Un budget cyber sécurité bien calibré représente typiquement 3 à 7 % du budget IT total. Répartition optimale :
- **EDR ou XDR (sécurité endpoints)** : ~30 % du budget cyber. Outil le plus impactant en prévention.
- **Sauvegardes & disaster recovery** : ~25 %. Garantit la continuité d'activité après incident.
- **Cyber assurance** : ~20 %. Filet de sécurité financière.
- **Formation & sensibilisation** : ~10 %. Souvent sous-investi, pourtant 40 % des attaques passent par les emails.
- **Audit & tests d'intrusion** : ~10 %. Identifier les faiblesses avant les attaquants.
- **Outils de monitoring (SIEM, SOC)** : ~5 %. Pour les PME > 50 salariés.
Pour une PME de 30 salariés avec budget IT 80 k€, prévoir 3 à 5 k€ par an de cyber sécurité (hors salaires) et 2 à 4 k€ par an de cyber assurance. ROI typique : retour sur investissement en moins de 18 mois.
FAQ
Réponses aux questions fréquentes sur la cyber assurance :
- **Cyber pour TPE 1 salarié : pertinent ?** OUI si données clients (RGPD) ou activité en ligne. Tarif minimum 20-30 € par mois pour plafond 100 K€.
- **Cyber et RC Pro : double emploi ?** NON. La RC Pro couvre la faute professionnelle classique. La cyber couvre les attaques externes. Complémentaires.
- **Refus cyber pour mauvaise hygiène IT : possible ?** OUI. Les assureurs auditent désormais le niveau de sécurité avant souscription (questionnaire 50-100 questions).
- **Cyber et garantie collaborative (groupements) : avantages ?** Possible chez certains assureurs : -30 à -40 % en mutualisant le risque avec d'autres PME du même secteur.
- **Notification CNIL 72 h : qui s'en occupe ?** Le DPO (obligatoire si > 250 salariés) ou l'expert externe mandaté par l'assureur. La cyber assurance inclut ce service.
