Assurance cyber PME en 2026 : combien ça coûte vraiment, ce qui est couvert (et les 6 pièges qui annulent votre indemnisation)

En 2026, 38 % des PME françaises ont souscrit une assurance cyber, contre 12 % en 2022. Mais 4 sinistres sur 10 sont partiellement ou totalement refusés au moment de la déclaration — pas par mauvaise foi de l'assureur, mais parce que les exclusions n'avaient pas été lues attentivement. Je passe en revue les 5 assureurs majeurs du marché français, leurs offres, et les pièges qui font perdre l'indemnisation au moment où on en a le plus besoin.

Pourquoi le marché de l'assurance cyber a explosé

Avant 2020, l'assurance cyber était une niche : prime moyenne 2 500 € pour une PME, couverture confortable, peu de questions posées. Puis la vague ransomware a frappé. Les assureurs ont payé des milliards (Colonial Pipeline 4,4 M$, Travelex 2,3 M£, Saint-Gobain 250 M€…). Conséquence : durcissement massif du marché.

Aujourd'hui pour une PME française de 20 salariés, la prime moyenne est de 6 500 €/an (vs 2 500 € en 2020), avec un questionnaire de souscription de 40 à 80 questions techniques. Vous devez prouver une posture de sécurité minimale avant même d'être assurable. Et si vous mentez sur le questionnaire, l'assureur peut refuser de payer en arguant de la fausse déclaration.

Ce qu'une assurance cyber couvre réellement en 2026

Frais de remédiation (toujours couverts)

Intervention forensique, restauration des systèmes, expertise IT externe. Plafond typique : 100 000 € à 500 000 € selon le contrat. C'est le poste le plus utile — un consultant DFIR (Digital Forensics & Incident Response) facture 1 500 € à 3 000 €/jour, et une crise ransomware mobilise 5 à 15 jours.

Pertes d'exploitation (souvent partielles)

Si votre activité est interrompue, l'assurance compense la marge brute perdue. Attention à la franchise temporelle — généralement 8 à 24h. Si vous remettez en route en 6h, vous n'avez aucune indemnisation sur ce poste. Plafond typique : 100 000 € à 1 M€.

Frais de notification et gestion de crise

Communication clients, frais juridiques RGPD, notification CNIL, ligne d'assistance. Plafond : 50 000 à 200 000 €. Très utile sur un incident avec fuite de données personnelles — la CNIL exige notification sous 72h et la gestion légale coûte 10-30 k€ rien que pour une PME de 50 salariés.

Cyber-extorsion (rançon)

Le sujet sensible. Certains contrats couvrent le paiement de rançon (jusqu'à un plafond, souvent 100-250 k€), d'autres pas du tout, d'autres seulement si l'assureur valide le paiement. En France depuis 2023, le paiement de rançon n'est plus interdit mais doit être déclaré aux autorités sous 72h (LOPMI). Vérifiez la clause précisément.

Responsabilité civile cyber

Si vos clients/partenaires sont impactés (fuite de leurs données, votre logiciel infecté qui les contamine), l'assurance couvre les dommages-intérêts. Crucial si vous êtes en B2B avec contrats imposant des SLAs sur la sécurité.

Les 6 pièges qui annulent l'indemnisation

Piège 1 : sauvegardes non testées

97 % des contrats incluent une clause "le souscripteur doit disposer de sauvegardes régulières et testées". Pas testées = pas couvert. La clause est même parfois plus précise : "test de restauration documenté dans les 12 derniers mois". Si vous n'avez pas la trace écrite, l'assureur peut refuser.

Piège 2 : MFA absent ou mal configuré

Depuis 2024, tous les contrats exigent du MFA sur les accès distants (VPN, RDP, M365 admin). Si l'intrusion s'est faite via un compte sans MFA, refus quasi-automatique. Cas réel chez un client à Carpentras en 2025 : intrusion via VPN avec MFA SMS désactivé pour un compte technique "temporaire" depuis 8 mois. Refus de l'assureur, 80 k€ de frais à charge du client.

Piège 3 : patches non appliqués

Si l'intrusion exploite une CVE corrigée depuis plus de 30/60/90 jours (selon le contrat) et que vous n'avez pas patché, l'assureur invoque la "faute de négligence". La preuve se fait via les logs : date de publication du patch vs date du compromis. C'est mécanique, pas négociable.

Piège 4 : actes intentionnels d'un dirigeant ou salarié

Toujours exclu. Si l'attaque vient d'un salarié qui a accédé volontairement ou par fraude, pas couvert. Y compris fraude au président où le comptable a transféré l'argent volontairement (même trompé). Sur ce dernier point, vérifier la clause "social engineering" — certains contrats l'ajoutent en option pour 500-1 500 €/an, c'est utile.

Piège 5 : guerre et acte de guerre

Depuis la guerre en Ukraine, toutes les assurances cyber ont une clause "war exclusion". Si l'attaque est attribuée à un acteur étatique (Russie, Chine, Iran, Corée du Nord), même indirectement, l'assureur peut refuser. Lloyd's a fait passer cette clause obligatoire en 2023. Conséquence : NotPetya, Sandworm, APT29 — pas couverts dans certains contrats. Lisez la clause précisément, négociez si possible un libellé restrictif.

Piège 6 : déclaration tardive ou incomplète

La majorité des contrats imposent notification sous 48 à 72h après découverte. Au-delà, l'assureur peut invoquer le préjudice causé par le retard. Ne tardez jamais à appeler — même si vous n'êtes pas sûr de l'ampleur, mieux vaut déclarer trop tôt que trop tard.

Les 5 assureurs cyber sur le marché français en 2026

Hiscox CyberClear

Le pionnier français. Bon dans la PME 10-100 salariés. Prime moyenne 4 000-8 000 €/an. Couverture rançon optionnelle. Réseau d'experts DFIR pré-validés en France. Questionnaire technique poussé. Adapté aux PME avec une posture sécurité déjà décente.

Generali Cyber Solutions

Plus accessible pour les TPE (5-20 salariés). Prime à partir de 1 500 €/an. Couverture plus standardisée, moins de personnalisation possible. Bon rapport prix/garantie pour les petites structures.

AIG CyberEdge

Le ténor international. Pour PME et ETI ayant des contraintes contractuelles (clients en B2B, US, RGPD strict). Prime plus élevée (8 000-25 000 €) mais garanties très complètes. Réseau DFIR international.

AXA CyberSécurité

Distribution massive via le réseau d'agents AXA. Bon pour les PME qui veulent garder un seul assureur multi-risques. Garanties correctes mais moins fines que Hiscox/AIG sur les cas tordus.

Allianz Cyber Protect

Equivalent AXA en termes de positionnement. Force : intégration avec les contrats RC pro existants pour les professions libérales et cabinets de conseil.

Combien ça doit coûter pour votre PME — fourchettes 2026

TPE 1-10 salariés, low-risk (pas de B2B critique) : 1 500 € à 3 500 €/an avec plafond global 250-500 k€.

PME 10-50 salariés, posture sécurité standard : 4 000 € à 8 000 €/an, plafond 500 k€ à 1 M€.

PME 50-200 salariés ou activité sensible (santé, finance, sous-traitant industrie) : 10 000 € à 30 000 €/an, plafond 1-5 M€.

Si vous payez beaucoup plus, c'est probablement que votre posture sécurité a été jugée insuffisante au questionnaire — auquel cas il est plus rentable de combler les manques (typiquement 5-15 k€ d'investissement initial) puis renégocier la prime.

La séquence optimale pour souscrire (ou renouveler)

Étape 1 — Audit interne avant souscription. Faites un mini-audit de votre posture sécurité avant de remplir le questionnaire. Ça vous fait gagner 30 à 50 % sur la prime. Coût d'un audit type Sérénité Cyber PME : 1 500-3 000 €, ROI immédiat sur la première année.

Étape 2 — Mettez en place les 5 contrôles "must-have" 2026. MFA partout, EDR sur les endpoints, sauvegardes immuables testées trimestriellement, patch management documenté, sensibilisation phishing trimestrielle. Sans ces 5 là, vous serez soit refusé, soit surtarifé.

Étape 3 — Demandez 3 devis minimum. Les écarts entre assureurs vont de 1 à 4 sur la même couverture. Faites jouer la concurrence — un courtier spécialisé cyber (type Diot-Siaci, Marsh, Verlingue) ne coûte rien et fait baisser le prix.

Étape 4 — Lisez les exclusions ligne par ligne. Si une clause est floue, demandez par écrit à l'assureur de la préciser. Ce mail vaut force probante en cas de litige.

Étape 5 — Documentez votre conformité aux exigences contractuelles. Si le contrat dit "MFA obligatoire", gardez la preuve dans un dossier dédié (capture d'écran de la config, date d'activation, périmètre). Le jour du sinistre, vous voulez pouvoir prouver en 5 minutes.

Faut-il une assurance cyber ou pas ?

Oui si : vous avez du chiffre à protéger (CA > 500 k€), vous traitez des données personnelles ou de paiement, vous avez des contrats B2B qui l'exigent, vous ne pourriez pas survivre 5-15 jours d'arrêt total.

Non urgent si : vous êtes une TPE 1-3 personnes avec peu de chiffre, pas de données sensibles, votre activité peut continuer "papier-crayon" pendant la remise en route. Mais même dans ce cas, une couverture minimale à 1 500 €/an reste un bon ratio coût/risque par rapport au coût moyen d'une crise (105 k€).

Ce que les assureurs ne vous diront pas

1. Une assurance n'évite pas l'attaque — elle compense après. Ne remplace JAMAIS les mesures de sécurité préventives.

2. Les assureurs partagent les sinistres entre eux (sectoriel). Si vous êtes attaqué et résiliez, votre prochaine prime sera très élevée — vous êtes "ficher". Mieux vaut renforcer votre posture pour éviter le sinistre que le subir.

3. La franchise est souvent élevée (5 000-25 000 €). Pour un petit sinistre, vous payez de votre poche. L'assurance protège du gros, pas du petit.

4. Le délai de paiement moyen est de 4 à 8 mois. L'expertise prend du temps. Donc même bien indemnisé, vous avancez tout pendant 6 mois. Prévoyez la trésorerie.

En résumé

L'assurance cyber est devenue un outil de gestion du risque incontournable pour les PME en 2026 — mais ce n'est PAS un substitut à la cybersécurité. Les assureurs exigent désormais un niveau de protection minimal pour vous couvrir. Avant de souscrire (ou renouveler), faites l'audit, mettez en place les 5 contrôles must-have, et lisez les exclusions à la loupe. Sinon vous payez 6 500 €/an pendant 5 ans pour être refusé le jour J.