L'assurance cyber n'est plus un produit pour grands groupes. Depuis 2023, le marché s'est ouvert aux TPE et PME avec des contrats taillés pour des entreprises de 5 à 250 salariés, et des primes qui démarrent autour de 600 € par an. Comprendre ce qu'elle couvre, ce qu'elle exclut et comment elle s'active est devenu un sujet de direction, pas un sujet IT.
Pourquoi une PME a besoin d'une assurance cyber
Les chiffres récents de l'ANSSI et du baromètre CESIN sont sans appel : plus de 60 % des PME victimes d'un ransomware sévère mettent la clé sous la porte dans les 18 mois. La raison n'est pas la rançon elle-même — souvent négociée à la baisse — mais la perte d'exploitation, les frais d'experts forensic, les avocats RGPD et la perte de confiance commerciale. Une assurance cyber prend en charge ces postes que la trésorerie d'une PME ne peut absorber.
Au-delà du financier, c'est l'accès à une cellule de crise 24/7 qui change tout. Quand un dirigeant découvre lundi matin que ses serveurs sont chiffrés, il n'a ni le temps ni l'expertise pour piloter en parallèle un négociateur, un forensic, un avocat, un communicant et la CNIL. L'assureur fournit l'orchestration. C'est probablement la valeur la plus sous-estimée du contrat.
Les 5 garanties que doit contenir un bon contrat
Un contrat cyber sérieux pour PME doit couvrir cinq familles de garanties. Premièrement, les dommages aux systèmes : restauration des données, réinstallation des systèmes, frais de décontamination. Deuxièmement, la perte d'exploitation : compensation du chiffre d'affaires perdu pendant l'arrêt, généralement sur 90 à 180 jours.
Troisièmement, la responsabilité civile cyber : recours des clients ou tiers dont les données ont fuité. Quatrièmement, les frais de gestion de crise : forensic, juridique, communication, notification CNIL. Cinquièmement, la cyber-extorsion : prise en charge de la négociation et, dans les pays où elle est autorisée, de la rançon. C'est cette combinaison qui sépare un vrai contrat cyber d'une simple extension de RC pro.
Combien ça coûte vraiment
Pour une PME de moins de 2 M€ de CA, comptez 600 à 1 500 € de prime annuelle pour une couverture de 250 000 € à 500 000 €. Entre 2 et 10 M€ de CA, la fourchette monte à 1 500 à 4 000 € pour 1 M€ de capital. Au-delà de 10 M€ ou pour des secteurs sensibles (santé, finance, e-commerce), il faut compter 4 000 à 12 000 € pour 2 à 5 M€ de capital. Ces montants évoluent selon le niveau de maturité cyber : une entreprise avec MFA, sauvegardes chiffrées hors site et EDR paie 25 à 40 % moins cher.
Ce que l'assurance n'efface pas
L'assurance n'est pas un substitut à l'hygiène cyber. La quasi-totalité des contrats imposent des prérequis : MFA sur les comptes administrateurs, sauvegardes hors ligne ou immuables testées, mises à jour critiques sous 30 jours, formation phishing annuelle. En cas de non-respect, l'assureur peut réduire ou refuser l'indemnisation. L'assurance achète du temps et de l'argent en cas de sinistre, elle n'achète pas la prévention. Les deux vont ensemble.
Comment choisir son contrat
Trois critères dominent : le plafond de garantie cohérent avec l'exposition réelle (CA, volume de données, dépendance numérique), les franchises raisonnables (idéalement < 5 % du CA mensuel), et la qualité de la cellule de crise. Sur ce dernier point, exigez les noms des prestataires forensic et juridiques mobilisables, leur délai d'intervention contractuel et la disponibilité 24/7. Un contrat qui ne précise pas ces éléments est probablement un contrat low-cost qui se révélera décevant le jour J.
Notre rôle de courtier indépendant est précisément d'analyser ces clauses pour vous, de comparer cinq à sept assureurs sur votre profil et de défendre votre dossier en cas de sinistre. Sans frais supplémentaire pour vous : la prime est identique, en direct ou via courtier, mais l'accompagnement fait toute la différence le jour où il faut activer la garantie.