Le marché cyber français consolide ses données depuis 2020 grâce aux travaux du CESIN, de l'ANSSI, d'AMRAE et de France Assureurs. Voici les chiffres saillants observés sur les 24 derniers mois et les tendances qui se dégagent pour 2026-2027.
Volume d'attaques
49 % des entreprises françaises déclarent avoir subi au moins une cyberattaque significative dans l'année (baromètre CESIN 2025, donnée stable sur 2024-2025). Sur les PME spécifiquement, le chiffre monte à 54 %. Plus inquiétant : 15 % des entreprises ont subi plus de 5 attaques dans l'année. La récidive devient la norme, pas l'exception.
Vecteurs d'attaque
Phishing : 74 % des intrusions. Exploitation de vulnérabilité non patchée : 39 %. Compromission d'identifiants (credential stuffing, fuites précédentes) : 28 %. Faux ordre de virement / fraude au président : 22 %. Compromission via prestataire : 18 %, en forte hausse depuis 2024. Plusieurs vecteurs peuvent se combiner sur un même incident.
Secteurs les plus touchés
Santé : 18 % des incidents traités par l'ANSSI. Industrie : 14 %. Services aux entreprises : 13 %. Commerce et distribution : 11 %. Finance et assurance : 9 %. BTP et construction : 7 %. Administration publique : 18 % (souvent collectivités locales). Les secteurs jugés « pas concernés » il y a 5 ans (BTP, agroalimentaire) sont désormais ciblés activement.
Coût moyen et médian
Coût médian d'un sinistre cyber PME : 95 000 € en 2025 (vs 78 000 € en 2023). Coût moyen (tiré vers le haut par les sinistres extrêmes) : 245 000 €. Sinistres > 500 000 € : 12 % des dossiers. Le poste perte d'exploitation concentre 45 % du coût total, devant les frais d'experts (28 %), la RC cyber (18 %) et la rançon éventuelle (9 %).
Marché de l'assurance cyber
Primes acquises 2025 en France : 487 M€ (France Assureurs), en hausse de 12 % sur un an. Sinistres réglés 2025 : 312 M€. Le ratio sinistres/primes (S/P) est de 64 % — un marché à l'équilibre, sain et durable. Taux d'indemnisationmoyen : 92 % du dommage déclaré couvert sur les dossiers où la garantie s'applique. Taux de refus : 6,3 % (essentiellement pour non-respect des prérequis cyber).
Délai d'indemnisation
Avance de trésorerie sur frais de gestion de crise (forensic, avocats) : sous 5 jours en moyenne. Indemnisation perte d'exploitation : 30 à 75 jours selon la complexité. RC cyber et data breach : 90 à 180 jours, le temps de caractériser les recours. Sur l'ensemble, 87 % des dossiers sont soldés en moins de 6 mois.
Pénétration du marché PME
Seules 14 % des PME françaises sont assurées cyber en 2025 (vs 9 % en 2023). La progression est nette mais la France reste en retard : 42 % aux États-Unis, 28 % au Royaume-Uni, 22 % en Allemagne. Sur les ETI françaises (50-250 salariés), le taux d'équipement monte à 38 %. Les TPE restent à 6 %, malgré une exposition forte. La pédagogie reste à faire.
Tendances 2026-2027
Quatre tendances structurantes. 1. NIS2 qui pousse 10 000 à 15 000 nouvelles entreprises vers l'assurance comme outil de financement du risque résiduel. 2. IA générative côté attaquants (phishing parfait, deepfake vocal, automatisation d'intrusion). 3. Maturité des assureurs qui distinguent désormais les bons et mauvais profils, avec un écart de prime de 1 à 3 selon le score cyber. 4. Extension de la supply chain qui devient progressivement obligatoire dans les contrats — car la majorité des grands sinistres viennent des prestataires.