Skip to content
Retour au blog
assurance-cyber conformité PME budget

Assurance cyber : ce qui change pour les PME en 2026

Primes en hausse, refus de couverture, nouvelles exigences : ce qui change pour l'assurance cyber des PME en 2026 et comment réduire votre prime.

Thomas Ferreira 17 min de lecture

Votre courtier vous a prévenu : le questionnaire de renouvellement de votre assurance cyber a doublé de volume cette année. Nouvelles questions sur le MFA, la sécurité de la messagerie, les sauvegardes, le plan de réponse à incident. Et une section entière sur la sensibilisation des collaborateurs, avec demande de preuves.

Ce n’est pas un durcissement temporaire. C’est le nouveau standard. Les données AMRAE, CESIN et Hiscox convergent : les assureurs cyber français sont entrés dans un cycle de réévaluation, et les PME sans programme de prévention documenté vont payer plus cher — ou ne plus être couvertes.

L’état du marché de l’assurance cyber en France en 2026

Ce que dit le rapport LUCY de l’AMRAE

L’étude LUCY (Lumière sur la Cyberassurance) publiée chaque année par l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) est la référence sur le marché français de l’assurance cyber. Elle porte sur plus de 14 000 polices d’assurance et plusieurs centaines de sinistres déclarés.

Les données de la dernière édition révèlent un marché en tension. Les primes collectées se situent autour de 300 millions d’euros ces dernières années. Les dernières éditions font état d’une sinistralité en forte hausse, particulièrement pour les PME.

Le ratio sinistres/primes est en hausse. Deux sinistres individuels ont dépassé les dix millions d’euros d’indemnisation. Le montant total des indemnisations est en progression significative d’une année sur l’autre.

Pour les PME, le constat est double : le nombre de PME assurées progresse fortement, avec une hausse sensible des primes souscrites. Mais c’est aussi le segment où la sinistralité explose le plus — ce qui pousse les assureurs à renforcer leurs exigences de souscription.

Un soft market trompeur

Le marché est actuellement en phase de « soft market » : les taux baissent pour les bons profils, les capacités augmentent, les franchises diminuent. Le taux de prime moyen a sensiblement reculé pour les grandes entreprises ces dernières années. Les franchises moyennes ont également diminué pour les ETI.

Cette détente profite aux entreprises qui cochent toutes les cases du questionnaire de souscription. Pour les autres, la réalité est différente : surprimes, exclusions de garantie, franchises majorées, voire refus de couverture. Les courtiers spécialisés anticipent un retournement du cycle — et les entreprises sans programme de prévention seront les premières exposées.

Les PME : sous-assurées et surexposées

Seule une minorité des entreprises de moins de 250 salariés dispose d’une couverture cyber spécifique. Pourtant, les PME représentent la majorité des victimes traitées par l’ANSSI (source). Le coût moyen d’une cyberattaque se chiffre en dizaines, voire centaines de milliers d’euros pour une PME — entre 5 et 10 % du chiffre d’affaires annuel. Pour le détail poste par poste : Combien coûte une cyberattaque pour une PME de 50 personnes.

Le paradoxe : les PME qui ont le plus besoin d’une couverture sont celles qui ont le plus de mal à l’obtenir, faute de mesures de prévention.

Pourquoi votre prime augmente (ou va augmenter)

La sinistralité PME explose

La forte hausse des sinistres PME (AMRAE LUCY) reflète la combinaison de trois facteurs :

Plus de PME assurées, mais aussi plus de sinistres par assuré. Le nombre de PME couvertes a fortement augmenté, mais le taux de sinistralité (sinistres rapportés au nombre d’assurés) progresse aussi.

Des attaques plus sophistiquées. Le phishing par IA, le quishing, le vishing et les attaques de supply chain ciblent les PME avec des techniques autrefois réservées aux grandes entreprises. Le phishing sous toutes ses formes reste le premier vecteur d’attaque avec 60 % des cas (CESIN 2026).

Un déficit de prévention généralisé. Selon Cybermalveillance.gouv.fr, 80 % des TPE-PME ne sont pas préparées aux attaques. Trois quarts consacrent moins de 2 000 euros par an à la cybersécurité.

Pour les assureurs, l’équation est arithmétique : plus de sinistres = primes qui doivent augmenter pour maintenir l’équilibre du portefeuille.

Le phishing reste le facteur n°1

La majorité des incidents cyber impliquent une erreur humaine. La majorité des sinistres PME commencent par un email : un employé clique, saisit ses identifiants, ou ouvre une pièce jointe. La conclusion opérationnelle pour les assureurs est directe : pour réduire la sinistralité, il faut exiger que les assurés réduisent le risque de phishing. Les deux leviers les plus efficaces sont le MFA (qui bloque les identifiants volés) et la sensibilisation (qui réduit le nombre de clics).

Les réassureurs imposent leurs conditions

Derrière votre assureur se trouve un réassureur — Munich Re, Swiss Re, Lloyd’s of London — qui a durci ses exigences depuis 2020-2021. Le MFA et la sensibilisation des collaborateurs figurent parmi les conditions minimales de souscription imposées aux assureurs par la chaîne de réassurance. Quand votre assureur vous demande des preuves de formation, ce n’est pas une initiative locale — c’est une exigence structurelle.

Ce que les assureurs exigent en 2026

Les 8 contrôles du questionnaire de souscription

Les questionnaires de souscription cyber se sont standardisés autour de huit contrôles principaux, identifiés par Marsh, Beazley et Coalition comme les critères les plus discriminants :

  1. Authentification multifacteur (MFA) — sur les accès distants, la messagerie et les comptes à privilèges. Pour un guide de déploiement pas à pas : Déployer le MFA en entreprise.
  2. EDR (Endpoint Detection & Response) — protection avancée des postes de travail, au-delà de l’antivirus.
  3. Sécurité email — filtrage anti-phishing, anti-spam, analyse des pièces jointes et des liens. Vous pouvez tester votre sécurité email gratuitement pour évaluer votre niveau actuel.
  4. Sauvegardes testées — politique de sauvegarde 3-2-1 (3 copies, 2 supports, 1 externalisée), avec tests de restauration documentés.
  5. Plan de réponse à incident — procédure écrite, testée au moins une fois par an, avec les rôles identifiés. Consultez notre guide de rédaction d’un plan de réponse à incident.
  6. Formation et sensibilisation des employés — programme documenté avec simulations de phishing régulières et résultats mesurables.
  7. Gestion des accès à privilèges (PAM) — comptes administrateurs séparés, contrôlés et tracés.
  8. Gestion des correctifs (patch management) — délai de déploiement des mises à jour de sécurité inférieur à 30 jours pour les correctifs critiques.

Chacun de ces contrôles absents entraîne une conséquence directe sur votre contrat : surprime, franchise majorée, exclusion de garantie, ou refus de couverture.

Le passage des déclarations aux preuves

Le changement majeur des deux dernières années n’est pas la liste des contrôles — elle existait déjà. C’est le niveau de preuve exigé.

Jusqu’en 2023, la plupart des questionnaires de souscription se contentaient de réponses « oui/non ». Cochez « oui » à « Disposez-vous d’un programme de sensibilisation ? », et l’assureur passait à la question suivante.

En 2026, les assureurs demandent des preuves documentées : captures d’écran des tableaux de bord, rapports de campagne, attestations de formation, PSSI signée, compte-rendu d’exercice de réponse à incident. Les questionnaires s’apparentent à des audits — si l’entreprise ne peut pas démontrer sa préparation, l’assureur la traite comme un passif.

Pour le détail de ce que les assureurs attendent en matière de preuves : Votre assurance cyber vous demande une preuve de formation ?. Voir aussi notre page conformité assurance cyber pour les exigences spécifiques des questionnaires de souscription.

Le piège de la fausse déclaration

L’article L.113-8 du Code des assurances prévoit la nullité du contrat en cas de fausse déclaration intentionnelle. Déclarer un programme de sensibilisation inexistant expose à une annulation rétroactive du contrat — aucune indemnisation en cas de sinistre. Le cas International Control Services vs. Travelers illustre ce risque : l’entreprise avait déclaré le MFA sur tous ses accès alors qu’il n’était activé que sur le pare-feu. Après un ransomware, l’assureur a refusé le sinistre intégralement.

La loi LOPMI : la plainte en 72 heures

Ce que dit l’article 5

Depuis le 24 avril 2023, l’article 5 de la loi LOPMI (loi d’orientation et de programmation du ministère de l’intérieur, n°2023-22) impose une obligation aux victimes de cyberattaque : pour être indemnisé par son assureur, il faut déposer plainte dans un délai de 72 heures à compter de la connaissance de l’attaque.

Le dépôt de plainte doit se faire auprès de la police, de la gendarmerie, ou par lettre recommandée au Procureur de la République. Un pré-dépôt en ligne via le site pre-plainte-en-ligne.gouv.fr ne suffit pas — il faut une plainte formelle.

Le délai court à partir de la « connaissance » de l’attaque par la victime, pas à partir de l’attaque elle-même. La distinction est capitale, et c’est là que la formation joue un rôle indirect mais décisif.

Le lien entre formation et respect du délai

Des collaborateurs formés au signalement détectent les incidents plus vite — ce qui donne plus de marge pour respecter les 72 heures. Sans culture de signalement, une entreprise peut mettre des jours à réaliser qu’elle a été compromise. Les 72 heures sont alors dépassées avant même que le compteur ait commencé à tourner.

Sans procédure de signalement, sans formation à la détection d’incident et sans plan de réponse documenté, trois risques se cumulent : l’attaque n’est pas détectée à temps, l’obligation LOPMI n’est pas connue en interne, ou les preuves de conformité au contrat ne peuvent pas être fournies. La seule protection : un programme de sensibilisation qui couvre la détection, le signalement et les procédures post-incident. Pour structurer ce programme : Plan de sensibilisation cybersécurité sur 12 mois.

NIS2 et assurance cyber : le renforcement mutuel

La directive NIS2, applicable en France depuis octobre 2024, impose aux entités concernées des « mesures de gestion des risques cyber incluant la sensibilisation et la formation du personnel » (article 21). Cette formation doit être documentée, universelle (pas seulement l’IT), continue et mesurable. Une part importante des entreprises françaises interrogées sont concernées (CESIN), et l’ANSSI peut effectuer des contrôles sur pièces ou sur site, sans préavis (article 32).

L’effet croisé NIS2 / assurance joue dans les deux sens. Si une entreprise soumise à NIS2 subit un sinistre sans respecter les exigences de formation, l’assureur dispose d’un argument supplémentaire pour contester l’indemnisation — l’entreprise était en infraction réglementaire. À l’inverse, un dossier de conformité NIS2 constitue un signal de maturité qui facilite la négociation.

Pour le dirigeant, les enjeux se cumulent : NIS2 prévoit des sanctions jusqu’à 10 millions d’euros ou 2 % du CA mondial, avec responsabilité personnelle. Un programme de sensibilisation satisfait simultanément l’obligation NIS2, les exigences de l’assureur et les obligations RGPD — un investissement unique pour une triple protection.

Refus de couverture : une tendance qui s’accélère

Les chiffres des refus

Le phénomène n’est plus anecdotique. Une souscriptrice d’un assureur français déclarait à l’Argus de l’Assurance : « Nous refusons en moyenne 50 % des saisines sur le cyber. Quand les prérequis en termes de sécurité informatique ne sont pas remplis, on ne prend pas l’affaire. »

Les motifs de refus les plus fréquents :

  • Absence de MFA sur la messagerie et les accès distants — c’est le premier critère éliminatoire.
  • Aucun programme de sensibilisation ou programme déclaratif sans preuve (une présentation PowerPoint annuelle ne suffit plus).
  • Pas de plan de réponse à incident — l’assureur considère que l’entreprise ne saura pas réagir et que le sinistre sera plus coûteux.
  • Pas de sauvegardes testées — sans capacité de restauration, le coût d’un ransomware est maximal.
  • Antécédent de sinistre sans remédiation — une entreprise déjà attaquée qui n’a pas corrigé les vulnérabilités identifiées.

Ce qui se passe quand l’assureur dit non

Les alternatives restantes sont coûteuses : couverture partielle excluant les garanties les plus utiles (fraude au virement, interruption d’activité), franchise de 25 000 à 50 000 euros au lieu de 5 000 à 10 000 euros, prime doublée par rapport à une entreprise avec un programme de prévention, ou dans les cas extrêmes, aucune couverture du tout — l’entreprise porte l’intégralité du risque cyber sur ses fonds propres.

L’indemnisation refusée après sinistre

Une part croissante des sinistres cyber sont refusés pour non-respect des conditions de couverture. Les motifs principaux : fausse déclaration au questionnaire, non-respect des prérequis contractuels, négligence manifeste dans la gestion du SI, et non-dépôt de plainte dans les 72 heures (LOPMI).

Le droit français des assurances est clair : la garantie n’a de sens que si l’assuré prend les mesures raisonnables pour prévenir le risque. Un programme de sensibilisation au phishing fait partie de ces mesures — et son absence peut être invoquée pour réduire ou refuser l’indemnisation.

Comment réduire votre prime d’assurance cyber

Levier 1 : déployer un programme de simulation de phishing

C’est le levier avec le meilleur rapport coût/efficacité pour agir sur votre prime. Un programme de simulation régulier produit trois effets simultanés :

Les données de benchmarking (KnowBe4, 2024) montrent un taux de clic qui passe de ~33 % à moins de 5 % en 12 mois de simulation régulière. Chaque campagne génère un rapport exploitable pour le dossier de souscription. Un historique de 12 mois avec un taux de clic en baisse place votre entreprise dans la catégorie « risque maîtrisé ».

Des courtiers rapportent une surprime de 30 à 50 % pour les entreprises sans sensibilisation. L’investissement dans une plateforme (1 200 à 3 000 euros/an pour 50 collaborateurs) est rentabilisé par la seule réduction de prime. Pour le calcul complet : ROI de la sensibilisation cybersécurité.

Levier 2 : documenter votre politique de sécurité

Une PSSI formalisée, datée, signée par la direction et communiquée aux collaborateurs est un prérequis quasi universel. Elle doit couvrir au minimum : règles de messagerie, politique de mots de passe, procédure de signalement, règles d’accès aux données sensibles. Notre guide de rédaction d’une PSSI détaille la structure attendue.

Levier 3 : préparer un plan de réponse à incident

Les assureurs vérifient l’existence d’un plan et la preuve qu’il a été testé. Seule une minorité d’entreprises réalisent des exercices périodiques (CESIN). Un exercice de table d’une demi-journée, documenté avec un compte-rendu, suffit. Pour structurer votre plan : Construire un plan de réponse à incident.

Levier 4 : généraliser le MFA

Le MFA est le contrôle le plus discriminant — son absence est le premier motif de refus de couverture. Déploiement minimum : messagerie, accès distants (VPN, bureau à distance) et comptes administrateurs. Guide pas à pas : Déployer le MFA en entreprise.

Levier 5 : négocier avec un historique documenté

L’argument le plus puissant face à un assureur n’est pas une promesse — c’est un historique. 12 mois de rapports de simulation avec un taux de clic en baisse, un taux de complétion > 80 %, une PSSI signée, un plan de réponse à incident testé : ce dossier vous fait passer de « risque à évaluer » à « risque maîtrisé ». Le courtier peut le soumettre à plusieurs assureurs et obtenir des devis concurrentiels.

Checklist : êtes-vous prêt pour votre prochain renouvellement ?

Voici les 15 points que les assureurs vérifient lors de la souscription ou du renouvellement. Cochez chaque élément que vous pouvez documenter avec des preuves :

Contrôles techniques

  • MFA activé sur la messagerie professionnelle
  • MFA activé sur les accès distants (VPN, bureau à distance)
  • MFA activé sur les comptes administrateurs
  • EDR déployé sur l’ensemble des postes de travail
  • Sauvegardes testées (dernier test de restauration documenté < 6 mois)
  • Correctifs de sécurité critiques déployés sous 30 jours

Sécurité email

  • Filtrage anti-phishing et anti-spam en place
  • SPF, DKIM et DMARC configurés sur votre domaine
  • Bouton de signalement d’email suspect déployé dans la messagerie

Formation et sensibilisation

  • Programme de sensibilisation documenté (au moins trimestriel)
  • Simulations de phishing régulières avec rapports exportables
  • Taux de complétion de formation > 80 %
  • Attestations individuelles de formation disponibles

Gouvernance

  • PSSI formalisée, datée, signée par la direction et communiquée
  • Plan de réponse à incident documenté et testé (< 12 mois)

Moins de 10 cases cochées ? Votre prime va augmenter au prochain renouvellement, ou votre couverture va se réduire. Les trois mois avant le renouvellement sont la fenêtre pour corriger la situation.

Le calendrier de préparation en 90 jours

Mois 1 : poser les fondations

SemaineActionLivrable pour l’assureur
1Rédiger ou mettre à jour la PSSIDocument signé par la direction
2Désigner un responsable du programme de sensibilisationNom + périmètre de responsabilité
3Déployer le MFA sur la messagerie et les accès distantsCapture d’écran de la configuration
4Lancer un premier module de formation e-learningTaux de complétion > 80 %

Mois 2 : mesurer et démontrer

SemaineActionLivrable pour l’assureur
5-6Simulation de phishing baseline (première campagne)Rapport de campagne avec taux de clic initial
7-8Deuxième simulation + déploiement du bouton de signalementRapport comparatif + taux de signalement

Mois 3 : consolider le dossier

SemaineActionLivrable pour l’assureur
9-10Rédiger et tester le plan de réponse à incidentPlan documenté + compte-rendu d’exercice
11Tester la restauration des sauvegardesProcès-verbal de test de restauration
12Compiler le dossier + préparer le mémo pour le courtierDossier de souscription complet

Pour structurer un programme de sensibilisation qui couvre les 12 mois suivants : Plan de sensibilisation cybersécurité sur 12 mois.

Comparatif : coût de la prévention vs surcoût d’assurance

Pour une PME de 50 salariés (CA : 5 M€), voici le calcul comparé :

PosteSans programmeAvec programme
Prime d’assurance cyber annuelle4 500 € (profil « risque élevé »)3 000 € (profil « risque maîtrisé »)
Franchise en cas de sinistre15 000 – 25 000 €5 000 – 10 000 €
Plateforme de sensibilisation0 €1 200 – 2 400 €
Risque de refus d’indemnisationÉlevéMinimal
Coût total annuel (hors sinistre)4 500 €4 200 – 5 400 €
Coût en cas de sinistre4 500 € + 15 000 – 25 000 € franchise + risque de refus3 000 € + 5 000 – 10 000 € franchise + indemnisation garantie

Le surcoût apparent du programme de sensibilisation (900 à 2 400 euros par an) est compensé par la réduction de prime (1 500 euros d’économie annuelle) et par la réduction de franchise en cas de sinistre (économie de 5 000 à 15 000 euros). Sur un sinistre moyen se chiffrant en centaines de milliers d’euros, la différence entre une indemnisation garantie et un refus d’indemnisation rend la comparaison sans équivoque.

Ce que les assureurs proposent en prévention intégrée

Le marché évolue vers des offres combinées assurance + prévention :

  • Hiscox CyberClear Academy : plateforme de formation intégrée au contrat. Certains assureurs proposent des réductions de franchise pour les entreprises ayant un programme de formation certifié.
  • AXA et Generali : accompagnements incluant audits, e-learning et scans de vulnérabilités.
  • Courtiers spécialisés (Stoïk, Dattak, Cyber Cover) : courtage + outils de prévention (simulations, e-learning, exercices de crise) dans un même processus.

Ces offres intégrées sont pratiques mais lient votre programme de formation à votre contrat. Si vous changez d’assureur, vous perdez l’historique. Une plateforme indépendante vous donne un dossier portable, utilisable avec n’importe quel assureur.

Le scénario à éviter : l’indemnisation refusée

Un comptable d’une PME de 45 salariés clique sur un email imitant la banque de l’entreprise. Virement frauduleux de 68 000 euros. La plainte est déposée dans les 72 heures (LOPMI respectée). Mais quand l’expert de l’assureur demande les preuves de conformité — PSSI, registre de formation, rapports de simulation, procédure de double validation — l’entreprise ne peut rien fournir.

Résultat : indemnisation réduite de 70 %. Sur 68 000 euros de perte, l’entreprise touche 20 400 euros et absorbe 47 600 euros de perte sèche. Les courtiers rapportent des situations comparables plusieurs fois par an.

Ce qu’il faut retenir

Les données convergent — sinistralité PME en forte hausse (AMRAE LUCY), phishing à 60 % des vecteurs d’attaque (CESIN 2026), obligation LOPMI de plainte en 72 heures, exigences NIS2 de formation documentée. Les assureurs traduisent ces données en exigences concrètes.

La bonne nouvelle : les mesures qui satisfont les assureurs sont les mêmes qui réduisent le risque réel. Programme de simulation, PSSI, plan de réponse à incident, MFA — ces éléments coûtent moins cher que la surprime qu’ils permettent d’éviter. Votre prochain renouvellement approche. La fenêtre pour préparer votre dossier est maintenant.

Testez votre sécurité email gratuitement | Construire un programme de sensibilisation sur 12 mois

Articles similaires

Votre assurance cyber vous demande une preuve de formation ?

Les assureurs cyber exigent des preuves de sensibilisation. Comment votre programme de formation réduit vos primes et protège vos indemnisations.

Combien coûte vraiment une cyberattaque pour une PME de 50 personnes

Analyse détaillée du coût réel d'une cyberattaque pour une PME française : coûts directs, indirects, cachés et comparaison avec le coût de la prévention.

DORA pour les non-banquiers : qui est concerné et que faire

DORA ne concerne pas que les banques. Courtiers, CGP, fintechs, prestataires IT : qui est concerné et comment se mettre en conformité. Guide pratique.