FAQ — Assurance cyber PME/TPE

L'assurance cyber est un contrat dédié qui couvre les conséquences financières d'une cyberattaque ou d'un incident numérique sur l'entreprise. Elle prend en charge les dommages aux systèmes (restauration des données, décontamination), la perte d'exploitation pendant l'arrêt d'activité, la responsabilité civile envers les tiers (clients dont les données ont fuité), les frais de gestion de crise (forensic, juridique, communication, notification CNIL) et la cyber-extorsion (ransomware). Elle inclut généralement une cellule de crise 24/7 mobilisable dès la détection de l'incident.

Aucune loi française n'impose aujourd'hui à une entreprise privée de souscrire une assurance cyber. Cependant, la directive européenne NIS2 (transposée en France depuis octobre 2024) oblige des milliers d'entreprises à mettre en place des mesures de cybersécurité robustes, et la responsabilité personnelle des dirigeants peut être engagée. De plus, certains donneurs d'ordre, marchés publics et compagnies d'assurance RC pro exigent désormais une couverture cyber comme condition contractuelle. Sans être obligatoire, elle devient un standard de marché.

Un contrat cyber sérieux couvre les ransomwares (rançongiciels), le phishing et l'usurpation d'identité, la fraude au virement (faux ordre de virement, fraude au président), le vol de données personnelles ou bancaires, l'attaque par déni de service (DDoS), l'intrusion et la prise de contrôle de systèmes, l'espionnage industriel numérique, ainsi que les erreurs humaines internes (mauvaise manipulation, suppression accidentelle de données). Les exclusions classiques portent sur les actes de guerre cyber, les attaques étatiques attribuées et le non-respect des prérequis de sécurité (MFA, sauvegardes, mises à jour).

Pour une PME de moins de 2 M€ de chiffre d'affaires, comptez 600 à 1 500 € de prime annuelle pour 250 000 € à 500 000 € de capital garanti. Entre 2 et 10 M€ de CA, la fourchette monte à 1 500 à 4 000 € pour 1 M€ de couverture. Au-delà de 10 M€ ou pour les secteurs sensibles (santé, finance, e-commerce), comptez 4 000 à 12 000 € pour 2 à 5 M€ de capital. La prime est ajustée selon le niveau de maturité cyber : MFA, sauvegardes hors site, EDR et formation phishing peuvent réduire la prime de 25 à 40 %.

La sauvegarde est une mesure de prévention technique : elle permet de restaurer ses données après un sinistre. L'assurance cyber est un mécanisme de transfert de risque financier : elle indemnise les pertes que la sauvegarde ne peut pas réparer (perte d'exploitation pendant l'arrêt, frais d'avocats, recours de tiers, notification CNIL, négociation de rançon, communication de crise). Les deux sont complémentaires et indispensables : la quasi-totalité des contrats cyber exigent d'ailleurs des sauvegardes hors ligne ou immuables comme prérequis de souscription.

Non, NIS2 n'impose pas formellement une assurance cyber. Mais la directive impose à plusieurs milliers d'entreprises françaises (entités essentielles et importantes) des obligations strictes en matière de gestion des risques cyber, de notification d'incident sous 24h à l'ANSSI et de responsabilité personnelle des dirigeants. En pratique, l'assurance cyber devient un outil naturel pour absorber les conséquences financières d'un manquement et démontrer une gestion proactive du risque, exigée par le texte. Les sanctions NIS2 peuvent atteindre 10 M€ ou 2 % du CA mondial.

L'évaluation du risque cyber repose sur cinq dimensions : la nature de l'activité (les e-commerces, cabinets médicaux, juridiques et comptables sont surexposés), le volume et la sensibilité des données traitées (données personnelles, bancaires, santé), la dépendance numérique (e-commerce, SaaS, télétravail, ERP), le niveau de maturité technique (MFA, sauvegardes, EDR, mises à jour) et l'historique d'incidents. MonAssureur propose un score de risque cyber gratuit en 3 minutes qui croise ces dimensions et donne une fourchette de prime indicative.

Cinq réflexes immédiats : (1) isoler les machines compromises du réseau sans les éteindre — on conserve les preuves volatiles ; (2) déclencher la cellule de crise de votre assureur cyber en moins de 4 heures, idéalement par téléphone ; (3) déposer plainte au commissariat ou à la gendarmerie et obtenir un récépissé ; (4) notifier la CNIL sous 72h si des données personnelles sont concernées (RGPD article 33) ; (5) préparer une communication interne et externe coordonnée avec vos avocats. Ne jamais payer une rançon sans avoir consulté l'assureur — cela peut entraîner la déchéance du contrat.

Oui, c'est même la garantie la plus emblématique des contrats cyber modernes. La couverture ransomware comprend : la prise en charge de la négociation par un négociateur professionnel agréé, le paiement éventuel de la rançon dans les pays où elle est légale (sous conditions strictes), les frais de décontamination et de restauration des systèmes, la perte d'exploitation pendant l'arrêt d'activité (90 à 180 jours en général), et l'accompagnement juridique et de communication. Attention : la quasi-totalité des assureurs exigent désormais des sauvegardes hors ligne testées et le MFA sur les comptes administrateurs comme prérequis.

Un bon contrat cyber pour PME doit inclure cinq familles de garanties : (1) les dommages aux systèmes (restauration, décontamination, réinstallation) ; (2) la perte d'exploitation (compensation du chiffre d'affaires perdu pendant l'arrêt) ; (3) la responsabilité civile cyber (recours des tiers dont les données ont fuité) ; (4) les frais de gestion de crise (forensic, juridique, communication, notification CNIL) ; (5) la cyber-extorsion (négociation et, le cas échéant, paiement de la rançon). Sans ces cinq piliers, le contrat est incomplet et risque de défaillir le jour du sinistre.