📌 En bref. La cyber-assurance PME est devenue quasi-obligatoire en 2026, mais elle ne remplace jamais la prévention. Une prime typique pour une PME de 50 salariés se situe entre 3 000 et 10 000 €/an avec un plafond de 500 K€ à 1 M€. Depuis 2024, les assureurs exigent un socle sécurité minimal (MFA généralisée, EDR moderne, sauvegardes testées) sous peine de refus d'indemnisation. Six exclusions clés sont à comprendre avant signature. Ce guide compare 5 assureurs de référence (Hiscox, AIG, AXA XL, Generali, Allianz), détaille les 8 postes couverts, la formule de calcul du bon montant et les 7 erreurs à éviter à la souscription.
📖 Sommaire
1. État du marché cyber-assurance 2026
Le marché français de la cyber-assurance a été bouleversé entre 2020 et 2025. Après une explosion de la sinistralité liée aux ransomwares (les assureurs ont payé plus qu'ils n'ont encaissé pendant 3 ans), les grandes tendances observées en 2026 sont :
3 mouvements structurels :
- Hausse des primes et généralisation d'un socle minimal de mesures préventives
- Sélection accrue à l'entrée : questionnaires détaillés (50 à 100 questions), demande d'audit préalable pour les gros risques
- Réduction des plafonds sur certains postes sensibles (rançon plafonnée à 50 % du plafond global, franchise sur la perte d'exploitation)
2. Les 8 postes couverts en général
Une cyber-assurance PME couvre en général les 8 postes suivants, avec des sous-plafonds spécifiques.
Poste 1 — Frais de remédiation technique
Reconstruction du SI, nettoyage, redéploiement des serveurs, changement des identifiants, durcissement post-incident. Généralement plafonné à 100 % du plafond global. Franchise typique : 5 000 à 15 000 €.
Poste 2 — Expertise forensique
Investigation par un expert accrédité pour identifier le point d'entrée, dater la compromission, identifier les données exfiltrées. Généralement inclus sans sous-plafond spécifique, mais l'assureur impose souvent l'expert (voir liste dans le contrat).
Poste 3 — Frais RGPD et notification CNIL
Rédaction et envoi de la notification CNIL (art. 33 RGPD), communication aux personnes concernées, gestion des demandes d'exercice de droits. Sous-plafond typique : 20 à 50 % du plafond global.
Poste 4 — Communication de crise
Agence de communication de crise, monitoring médias, gestion des réseaux sociaux, appels clients. Sous-plafond : 30 à 100 K€.
Poste 5 — Perte d'exploitation
Poste le plus complexe. Couvre les pertes de revenus pendant l'arrêt (avec franchise temporelle de 12 à 48 heures et durée maximale d'indemnisation de 30 à 180 jours). Base de calcul : marge brute historique. Sous-plafond typique : 30 à 50 % du plafond global.
Poste 6 — Responsabilité civile
Dommages causés à des tiers (clients, partenaires, sous-traitants) suite à la violation. Couvre les frais de défense juridique et les indemnisations. Sous-plafond : 50 à 100 % du plafond global.
Poste 7 — Cyber-extorsion et rançon
Frais de négociation avec l'attaquant (via société spécialisée), paiement de la rançon plafonné à 50 % du plafond global généralement. Depuis 2023, subordonné à un dépôt de plainte préalable dans un délai de 72h (art. L12-10-1 du Code des assurances).
Poste 8 — Défense pénale et frais juridiques du dirigeant
Frais d'avocat en cas de mise en cause pénale du dirigeant ou de l'entreprise. Sous-plafond : 100 à 300 K€.
3. Les 6 exclusions les plus fréquentes
Attention aux annexes d'exclusions : c'est là que se joue la vraie couverture. Voici les 6 exclusions systématiques ou fréquentes en 2026.
Exclusion 1 — Absence des mesures de sécurité minimales (systématique)
Si vous n'avez pas mis en place les mesures cochées dans le questionnaire de souscription (MFA généralisée, EDR moderne, sauvegardes testées récemment…), l'assureur peut refuser l'indemnisation. C'est la clause la plus fréquemment invoquée en 2025.
Exclusion 2 — Actes de guerre ou attribués à un État (clause NotPetya)
Suite à la jurisprudence NotPetya (2022 aux USA), tous les contrats incluent désormais une clause d'exclusion des cyber-actes de guerre. Attention : le doute joue contre l'assuré (charge de la preuve).
Exclusion 3 — Vulnérabilités connues non patchées
Si l'attaque exploite une vulnérabilité connue depuis plus de 30 à 90 jours (selon les contrats) et que vous ne l'aviez pas patchée, l'assureur peut refuser. Applicable notamment aux failles critiques (Log4Shell, EternalBlue, etc.).
Exclusion 4 — Dommages causés par un employé mal intentionné
Certains contrats excluent l'insider threat (attaque interne délibérée). D'autres l'incluent explicitement. À vérifier absolument selon votre profil.
Exclusion 5 — Fraude du dirigeant ou usage abusif
Exclusion systématique : si le dirigeant lui-même est complice ou auteur des faits, aucune indemnisation.
Exclusion 6 — Dommages matériels physiques
Les cyber-assurances ne couvrent que les dommages immatériels et financiers. Les dommages physiques (ex. : incendie provoqué par une intrusion sur système industriel) relèvent de la RC classique ou de l'assurance dommages aux biens.
4. Le socle sécurité exigé par les assureurs
Depuis 2024, tous les assureurs exigent un socle minimum pour accepter le risque. Voici les mesures typiquement exigées.
Socle technique (obligatoire chez tous)
- MFA généralisée sur tous les accès sensibles (messagerie, VPN, admin, banque)
- EDR moderne sur 100 % des postes et serveurs
- Sauvegardes 3-2-1-1-0 avec test de restauration récent (< 6 mois)
- Patch management avec délai < 30 jours sur vulnérabilités critiques
- Chiffrement disque sur les postes portables
Socle organisationnel (obligatoire chez la plupart)
- Politique de sécurité de l'information (PSSI) écrite
- Procédure d'incident cyber documentée
- Programme de sensibilisation annuel avec traçabilité
- Registre RGPD à jour
- Contact d'urgence 24/7 identifié (interne ou externe)
Socle renforcé (exigé pour les gros risques ou primes préférentielles)
- SOC managé (MDR) 24/7
- Journalisation centralisée (SIEM)
- Tests de pénétration annuels
- Audit organisationnel type ISO 27001 (même sans certification)
👉 Pour évaluer votre position par rapport à ce socle, utilisez notre Score Cyber MEDERI (4 min, gratuit).
5. Panorama des 5 principaux assureurs PME
| Assureur | Positionnement | Plafonds PME typiques | Points forts |
|---|---|---|---|
| Hiscox | Leader PME France | 250 K€ — 5 M€ | Réactivité, produit clair, indemnisation rapide, cellule crise incluse |
| AIG | ETI et internationaux | 500 K€ — 25 M€ | Couverture large, expertise ETI, réseau mondial |
| AXA XL | Généraliste large gamme | 250 K€ — 10 M€ | Présence banques et courtiers, produit intégré, tarifs compétitifs |
| Generali | PME industrielles | 250 K€ — 3 M€ | Rapport qualité/prix, produit adapté PME industrielles, souplesse |
| Allianz | Solide et internationale | 500 K€ — 15 M€ | Solidité financière, offre stable, présence internationale |
Comment souscrire ?
Le circuit courtier est fortement recommandé pour les PME. Un courtier spécialisé cyber :
- Compare 5 à 10 offres en une fois
- Vous aide à remplir le questionnaire (crucial pour ne pas se voir refuser)
- Négocie les exclusions et les sous-plafonds
- Vous accompagne en cas de sinistre
Courtiers spécialisés cyber recommandés : April Marine, Assurances Cyber, Diot-Siaci, Verlingue, Marsh, Aon, Verspieren. Les courtiers de proximité en Hauts-de-France (Amiens, Lille, Creil) offrent souvent un meilleur suivi personnalisé.
6. Comment calculer le bon montant de couverture
Formule simplifiée en 3 étapes
Étape 1 : Estimez le coût potentiel d'un incident majeur avec notre calculateur ou notre étude détaillée. Pour une PME 50 salariés, le montant typique se situe entre 200 K€ et 800 K€.
Étape 2 : Multipliez ce montant par un facteur de sécurité de 1,5 à 3 :
- x 1,5 si vous avez un socle sécurité solide et un secteur peu sensible
- x 2 pour un profil PME classique
- x 3 pour un profil à risque (industrie sensible, santé, données clients à grande échelle)
Étape 3 : Ajustez selon votre appétence au risque et votre capacité à absorber la franchise (généralement 5 à 25 K€).
Exemple concret — PME 50 salariés services BtoB, 5 M€ CA
- Coût potentiel estimé : 350 K€
- Facteur x 2 (profil classique) : 700 K€
- Plafond recommandé : 750 K€ — 1 M€
- Prime annuelle typique attendue : 4 000 — 8 000 €
7. Les 7 erreurs à éviter à la souscription
- Mentir sur le questionnaire. Cause n°1 de refus d'indemnisation. Toute inexactitude découverte lors du sinistre = déchéance de garantie. Répondez honnêtement.
- Signer sans lire les exclusions. C'est là que se joue 80 % de la couverture réelle. Faites relire par un courtier ou un avocat.
- Sous-assurer. Un incident qui dépasse votre plafond reste à votre charge intégralement au-delà. Ne prenez pas 250 K€ pour "faire des économies" si votre risque est estimé à 500 K€.
- Ignorer les sous-plafonds. Un plafond global de 1 M€ mais une perte d'exploitation plafonnée à 100 K€ peut vous coûter cher si l'arrêt dure.
- Oublier la franchise temporelle. Beaucoup de contrats ont une franchise de 24 à 48 heures sur la perte d'exploitation. Un arrêt de 30 heures = 0 € versé sur ce poste.
- Ne pas prévenir l'assureur dans les délais. Délai typique : 24 à 48 heures. Sinon déchéance possible. Ayez le numéro d'urgence dans le plan de crise.
- Croire que l'assurance remplace la prévention. Elle ne remplace jamais la préparation. Elle compense partiellement les conséquences quand la prévention a échoué.
🛡️ Besoin d'un courtier cyber qualifié ?
MEDERI CONSULTING a sélectionné des courtiers spécialisés cyber qualifiés en Hauts-de-France. Mise en relation gratuite, sans engagement, avec préparation du questionnaire assureur.
Questions fréquentes
Combien coûte une cyber-assurance pour une PME française en 2026 ?
Fourchettes indicatives : TPE 10-19 salariés : 1 000 à 2 500 €/an ; PME 20-49 : 1 500 à 5 000 €/an ; PME 50-99 : 3 000 à 10 000 €/an ; PME 100-249 : 6 000 à 25 000 €/an ; ETI 250+ : 15 000 à 60 000 €/an. Ces montants ont augmenté de 30 à 50 % depuis 2023.
Que couvre exactement une cyber-assurance PME ?
Une cyber-assurance PME couvre 8 postes principaux : remédiation technique, expertise forensique, notification CNIL, communication de crise, perte d'exploitation, responsabilité civile, cyber-extorsion et rançon plafonnée, défense pénale du dirigeant. Le plafond global se situe entre 250 K€ et 5 M€ pour les PME.
Quelles sont les principales exclusions d'une cyber-assurance ?
Six exclusions fréquentes : absence des mesures minimales exigées, employé mal intentionné (selon contrats), actes de guerre ou attribués à un État, vulnérabilités connues non patchées, fraude du dirigeant, dommages matériels physiques. Lire attentivement l'annexe des exclusions avant signature.
Quels sont les principaux assureurs cyber pour PME en France ?
Les 5 principaux acteurs en 2026 : Hiscox (leader PME), AIG (fort pour les ETI), AXA XL (large gamme), Generali (bon rapport qualité/prix, adapté PME industrielles), Allianz (solide et internationale). Passer par un courtier spécialisé cyber pour comparer plusieurs offres.
Comment calculer le bon montant de couverture cyber ?
Règle simple : plafond = 2 à 3 fois le coût potentiel d'un incident majeur pour votre entreprise. Pour une PME 50 salariés avec incident potentiel estimé à 300 K€, viser 750 K€ à 1 M€. Prime résultante : 0,3 à 0,8 % du CA. Ne jamais sous-assurer.