📌 En bref. La cyber-assurance PME est devenue quasi-obligatoire en 2026, mais elle ne remplace jamais la prévention. Une prime typique pour une PME de 50 salariés se situe entre 3 000 et 10 000 €/an avec un plafond de 500 K€ à 1 M€. Depuis 2024, les assureurs exigent un socle sécurité minimal (MFA généralisée, EDR moderne, sauvegardes testées) sous peine de refus d'indemnisation. Six exclusions clés sont à comprendre avant signature. Ce guide compare 5 assureurs de référence (Hiscox, AIG, AXA XL, Generali, Allianz), détaille les 8 postes couverts, la formule de calcul du bon montant et les 7 erreurs à éviter à la souscription.

📖 Sommaire

  1. État du marché cyber-assurance 2026
  2. Les 8 postes couverts en général
  3. Les 6 exclusions les plus fréquentes
  4. Le socle sécurité exigé par les assureurs
  5. Panorama des 5 principaux assureurs PME
  6. Comment calculer le bon montant de couverture
  7. Les 7 erreurs à éviter à la souscription
  8. Questions fréquentes

1. État du marché cyber-assurance 2026

Le marché français de la cyber-assurance a été bouleversé entre 2020 et 2025. Après une explosion de la sinistralité liée aux ransomwares (les assureurs ont payé plus qu'ils n'ont encaissé pendant 3 ans), les grandes tendances observées en 2026 sont :

+40 %de hausse des primes moyennes depuis 2022
35 %des PME françaises couvertes en 2026 (vs 12 % en 2020)
28 %des demandes refusées par manque de socle sécurité
4 M€plafond médian négocié pour une PME 50-249 salariés

3 mouvements structurels :

💡 Bonne nouvelle. Une PME correctement sécurisée (avec MFA + EDR + sauvegardes testées) obtient facilement une couverture à un tarif raisonnable en 2026. Le vrai risque est le refus par manque de socle : 28 % des demandes sont refusées dès le questionnaire préalable.

2. Les 8 postes couverts en général

Une cyber-assurance PME couvre en général les 8 postes suivants, avec des sous-plafonds spécifiques.

Poste 1 — Frais de remédiation technique

Reconstruction du SI, nettoyage, redéploiement des serveurs, changement des identifiants, durcissement post-incident. Généralement plafonné à 100 % du plafond global. Franchise typique : 5 000 à 15 000 €.

Poste 2 — Expertise forensique

Investigation par un expert accrédité pour identifier le point d'entrée, dater la compromission, identifier les données exfiltrées. Généralement inclus sans sous-plafond spécifique, mais l'assureur impose souvent l'expert (voir liste dans le contrat).

Poste 3 — Frais RGPD et notification CNIL

Rédaction et envoi de la notification CNIL (art. 33 RGPD), communication aux personnes concernées, gestion des demandes d'exercice de droits. Sous-plafond typique : 20 à 50 % du plafond global.

Poste 4 — Communication de crise

Agence de communication de crise, monitoring médias, gestion des réseaux sociaux, appels clients. Sous-plafond : 30 à 100 K€.

Poste 5 — Perte d'exploitation

Poste le plus complexe. Couvre les pertes de revenus pendant l'arrêt (avec franchise temporelle de 12 à 48 heures et durée maximale d'indemnisation de 30 à 180 jours). Base de calcul : marge brute historique. Sous-plafond typique : 30 à 50 % du plafond global.

Poste 6 — Responsabilité civile

Dommages causés à des tiers (clients, partenaires, sous-traitants) suite à la violation. Couvre les frais de défense juridique et les indemnisations. Sous-plafond : 50 à 100 % du plafond global.

Poste 7 — Cyber-extorsion et rançon

Frais de négociation avec l'attaquant (via société spécialisée), paiement de la rançon plafonné à 50 % du plafond global généralement. Depuis 2023, subordonné à un dépôt de plainte préalable dans un délai de 72h (art. L12-10-1 du Code des assurances).

Poste 8 — Défense pénale et frais juridiques du dirigeant

Frais d'avocat en cas de mise en cause pénale du dirigeant ou de l'entreprise. Sous-plafond : 100 à 300 K€.

3. Les 6 exclusions les plus fréquentes

Attention aux annexes d'exclusions : c'est là que se joue la vraie couverture. Voici les 6 exclusions systématiques ou fréquentes en 2026.

Exclusion 1 — Absence des mesures de sécurité minimales (systématique)

Si vous n'avez pas mis en place les mesures cochées dans le questionnaire de souscription (MFA généralisée, EDR moderne, sauvegardes testées récemment…), l'assureur peut refuser l'indemnisation. C'est la clause la plus fréquemment invoquée en 2025.

Exclusion 2 — Actes de guerre ou attribués à un État (clause NotPetya)

Suite à la jurisprudence NotPetya (2022 aux USA), tous les contrats incluent désormais une clause d'exclusion des cyber-actes de guerre. Attention : le doute joue contre l'assuré (charge de la preuve).

Exclusion 3 — Vulnérabilités connues non patchées

Si l'attaque exploite une vulnérabilité connue depuis plus de 30 à 90 jours (selon les contrats) et que vous ne l'aviez pas patchée, l'assureur peut refuser. Applicable notamment aux failles critiques (Log4Shell, EternalBlue, etc.).

Exclusion 4 — Dommages causés par un employé mal intentionné

Certains contrats excluent l'insider threat (attaque interne délibérée). D'autres l'incluent explicitement. À vérifier absolument selon votre profil.

Exclusion 5 — Fraude du dirigeant ou usage abusif

Exclusion systématique : si le dirigeant lui-même est complice ou auteur des faits, aucune indemnisation.

Exclusion 6 — Dommages matériels physiques

Les cyber-assurances ne couvrent que les dommages immatériels et financiers. Les dommages physiques (ex. : incendie provoqué par une intrusion sur système industriel) relèvent de la RC classique ou de l'assurance dommages aux biens.

⚠️ Point de vigilance. Lisez systématiquement l'annexe des exclusions AVANT signature. Faites-la relire par un courtier spécialisé ou un avocat cyber. C'est là que se joue 80 % de la vraie couverture.

4. Le socle sécurité exigé par les assureurs

Depuis 2024, tous les assureurs exigent un socle minimum pour accepter le risque. Voici les mesures typiquement exigées.

Socle technique (obligatoire chez tous)

Socle organisationnel (obligatoire chez la plupart)

Socle renforcé (exigé pour les gros risques ou primes préférentielles)

👉 Pour évaluer votre position par rapport à ce socle, utilisez notre Score Cyber MEDERI (4 min, gratuit).

5. Panorama des 5 principaux assureurs PME

Assureur Positionnement Plafonds PME typiques Points forts
Hiscox Leader PME France 250 K€ — 5 M€ Réactivité, produit clair, indemnisation rapide, cellule crise incluse
AIG ETI et internationaux 500 K€ — 25 M€ Couverture large, expertise ETI, réseau mondial
AXA XL Généraliste large gamme 250 K€ — 10 M€ Présence banques et courtiers, produit intégré, tarifs compétitifs
Generali PME industrielles 250 K€ — 3 M€ Rapport qualité/prix, produit adapté PME industrielles, souplesse
Allianz Solide et internationale 500 K€ — 15 M€ Solidité financière, offre stable, présence internationale

Comment souscrire ?

Le circuit courtier est fortement recommandé pour les PME. Un courtier spécialisé cyber :

Courtiers spécialisés cyber recommandés : April Marine, Assurances Cyber, Diot-Siaci, Verlingue, Marsh, Aon, Verspieren. Les courtiers de proximité en Hauts-de-France (Amiens, Lille, Creil) offrent souvent un meilleur suivi personnalisé.

6. Comment calculer le bon montant de couverture

Formule simplifiée en 3 étapes

Étape 1 : Estimez le coût potentiel d'un incident majeur avec notre calculateur ou notre étude détaillée. Pour une PME 50 salariés, le montant typique se situe entre 200 K€ et 800 K€.

Étape 2 : Multipliez ce montant par un facteur de sécurité de 1,5 à 3 :

Étape 3 : Ajustez selon votre appétence au risque et votre capacité à absorber la franchise (généralement 5 à 25 K€).

Exemple concret — PME 50 salariés services BtoB, 5 M€ CA

7. Les 7 erreurs à éviter à la souscription

  1. Mentir sur le questionnaire. Cause n°1 de refus d'indemnisation. Toute inexactitude découverte lors du sinistre = déchéance de garantie. Répondez honnêtement.
  2. Signer sans lire les exclusions. C'est là que se joue 80 % de la couverture réelle. Faites relire par un courtier ou un avocat.
  3. Sous-assurer. Un incident qui dépasse votre plafond reste à votre charge intégralement au-delà. Ne prenez pas 250 K€ pour "faire des économies" si votre risque est estimé à 500 K€.
  4. Ignorer les sous-plafonds. Un plafond global de 1 M€ mais une perte d'exploitation plafonnée à 100 K€ peut vous coûter cher si l'arrêt dure.
  5. Oublier la franchise temporelle. Beaucoup de contrats ont une franchise de 24 à 48 heures sur la perte d'exploitation. Un arrêt de 30 heures = 0 € versé sur ce poste.
  6. Ne pas prévenir l'assureur dans les délais. Délai typique : 24 à 48 heures. Sinon déchéance possible. Ayez le numéro d'urgence dans le plan de crise.
  7. Croire que l'assurance remplace la prévention. Elle ne remplace jamais la préparation. Elle compense partiellement les conséquences quand la prévention a échoué.
Christophe Moisan

À propos de l'auteur

Christophe Moisan est consultant senior en cybersécurité et Cloud Computing, +20 ans d'expérience en management des SI. Fondateur de MEDERI CONSULTING (Amiens, Creil). Agréé Diagnostic Cybersécurité BPI France 2030 et référencé MonExpertCyber (ANSSI + Cybermalveillance.gouv.fr).

En savoir plus →

🛡️ Besoin d'un courtier cyber qualifié ?

MEDERI CONSULTING a sélectionné des courtiers spécialisés cyber qualifiés en Hauts-de-France. Mise en relation gratuite, sans engagement, avec préparation du questionnaire assureur.

Questions fréquentes

Combien coûte une cyber-assurance pour une PME française en 2026 ?

Fourchettes indicatives : TPE 10-19 salariés : 1 000 à 2 500 €/an ; PME 20-49 : 1 500 à 5 000 €/an ; PME 50-99 : 3 000 à 10 000 €/an ; PME 100-249 : 6 000 à 25 000 €/an ; ETI 250+ : 15 000 à 60 000 €/an. Ces montants ont augmenté de 30 à 50 % depuis 2023.

Que couvre exactement une cyber-assurance PME ?

Une cyber-assurance PME couvre 8 postes principaux : remédiation technique, expertise forensique, notification CNIL, communication de crise, perte d'exploitation, responsabilité civile, cyber-extorsion et rançon plafonnée, défense pénale du dirigeant. Le plafond global se situe entre 250 K€ et 5 M€ pour les PME.

Quelles sont les principales exclusions d'une cyber-assurance ?

Six exclusions fréquentes : absence des mesures minimales exigées, employé mal intentionné (selon contrats), actes de guerre ou attribués à un État, vulnérabilités connues non patchées, fraude du dirigeant, dommages matériels physiques. Lire attentivement l'annexe des exclusions avant signature.

Quels sont les principaux assureurs cyber pour PME en France ?

Les 5 principaux acteurs en 2026 : Hiscox (leader PME), AIG (fort pour les ETI), AXA XL (large gamme), Generali (bon rapport qualité/prix, adapté PME industrielles), Allianz (solide et internationale). Passer par un courtier spécialisé cyber pour comparer plusieurs offres.

Comment calculer le bon montant de couverture cyber ?

Règle simple : plafond = 2 à 3 fois le coût potentiel d'un incident majeur pour votre entreprise. Pour une PME 50 salariés avec incident potentiel estimé à 300 K€, viser 750 K€ à 1 M€. Prime résultante : 0,3 à 0,8 % du CA. Ne jamais sous-assurer.