Votre assurance cyber vous demande une preuve de formation ?
Les assureurs cyber exigent des preuves de sensibilisation. Comment votre programme de formation réduit vos primes et protège vos indemnisations.
Votre formulaire de renouvellement d'assurance cyber a changé cette année. Entre les questions habituelles sur l'authentification multifacteur et les sauvegardes, une nouvelle ligne est apparue : « Disposez-vous d'un programme documenté de sensibilisation des collaborateurs aux risques cyber ? Fournissez les preuves. »
Ce n'est pas un détail administratif. Selon l'étude LUCY 2025 de l'AMRAE (Lumière sur la Cyberassurance), les sinistres cyber déclarés chez les PME ont bondi de 353 % en 2024 (AMRAE LUCY 2025). Le phishing reste le vecteur d'attaque n°1, impliqué dans 60 % des cyberattaques (baromètre CESIN 2026). Et les assureurs en tirent une conclusion opérationnelle directe : une entreprise qui ne forme pas ses employés est une entreprise qui ne gère pas son risque. Et une entreprise qui ne gère pas son risque coûte cher à assurer : ou ne mérite pas de l'être.
Cet article détaille ce que votre assureur attend concrètement, pourquoi le facteur humain est devenu le critère d'évaluation dominant, comment un programme de sensibilisation protège à la fois vos primes et vos indemnisations, et ce qui se passe quand un sinistre survient dans une entreprise sans preuve de formation. Toutes les données citées proviennent de sources identifiées : rapport LUCY 2025 de l'AMRAE, baromètre CESIN 2026 (OpinionWay), Hiscox Cyber Readiness Report 2025, loi LOPMI n°2023-22 et directive européenne NIS2.
Le marché de l'assurance cyber en France en 2026 : les chiffres qui expliquent la pression
Pour comprendre pourquoi votre assureur exige maintenant des preuves de formation, il faut comprendre l'état du marché dans lequel il opère. Et ce marché traverse une zone de turbulences.
Un marché en croissance mais fragile
L'étude LUCY 2025, publiée par l'AMRAE en juin 2025, porte sur 14 124 polices d'assurance cyber et 448 sinistres déclarés en France pour l'année 2024. C'est le jeu de données le plus complet disponible sur le marché français.
Les primes collectées ont atteint 317 millions d'euros en 2024, en léger recul par rapport aux 328 millions de 2023. C'est la première baisse depuis la création du baromètre en 2021. Mais ce recul des primes masque une explosion de la sinistralité : +82 % de sinistres chez les grands comptes, +117 % chez les ETI et +353 % chez les PME.
Le ratio sinistres/primes s'établit à 17 % en 2024, contre 12 % en 2023. Deux sinistres ont dépassé les dix millions d'euros d'indemnisation. Le montant total des indemnisations a atteint 55 millions d'euros, contre 38 millions l'année précédente.
Les PME entrent dans le radar, et dans la sinistralité
Le segment PME connaît la dynamique la plus forte, dans les deux sens. Le nombre de PME assurées a progressé de 33 % en 2024, avec une hausse des primes souscrites de 66 %. Mais c'est aussi le segment où la sinistralité explose le plus.
Le coût d'une prime pour une TPE ou PME de moins de 50 salariés se situe entre 1 000 et 5 000 euros par an, pour des garanties de 1 à 5 millions d'euros. Une attaque réussie coûte en moyenne 466 000 euros à une TPE/PME (Groupama 2025), soit 5 à 10 % du chiffre d'affaires annuel. Pour une analyse détaillée de ces coûts : Combien coûte une cyberattaque pour une PME de 50 personnes.
Pour les assureurs, l'équation est limpide : ils ouvrent le marché aux PME (parce que la demande est là et les primes sont rentables), mais ils ont besoin de filtrer les mauvais risques. La formation des employés est devenue leur filtre principal.
Le soft market ne va pas durer
Le marché est actuellement en phase de « soft market » : les taux baissent, les capacités augmentent, les franchises diminuent. Le taux de prime moyen a baissé de 18 % pour les grandes entreprises en 2024. Les franchises moyennes sont passées de 218 000 euros en 2022 à 110 000 euros pour les ETI.
Mais cette détente est trompeuse. Avec un ratio sinistres/primes qui remonte et des sinistres de plus en plus lourds, les assureurs anticipent un retournement. Quand les taux remonteront, les entreprises sans programme de prévention documenté seront les premières à voir leurs primes exploser : ou leur couverture refusée.
Pourquoi les assureurs exigent des preuves de formation
La question n'est pas théorique. Une souscriptrice d'un assureur français déclarait à l'Argus de l'Assurance : « Nous refusons en moyenne 50 % des saisines sur le cyber. Quand les prérequis en termes de sécurité informatique ne sont pas remplis, on ne prend pas l'affaire. »
Le facteur humain est le premier facteur de sinistre
Le phishing sous toutes ses formes (spear phishing, smishing, vishing) représente 60 % des vecteurs d'attaque (baromètre CESIN 2026) - voir les nouvelles formes de phishing en 2026 - loin devant l'exploitation de faille (41 %) et l'attaque via tiers (35 %). 95 % des incidents cyber impliquent une erreur humaine (Kaspersky / Cybermalveillance.gouv.fr).
Un assureur confronte ces deux statistiques et en tire une conclusion logique : si neuf incidents sur dix commencent par une erreur humaine, et si le phishing est la méthode d'erreur la plus fréquente, alors un programme de sensibilisation au phishing est la mesure de prévention au meilleur rapport coût/efficacité. Les statistiques du phishing en entreprise confirment cette tendance.
Les huit contrôles que les assureurs vérifient systématiquement
Les questionnaires de souscription cyber se sont standardisés autour de huit contrôles principaux, identifiés par Marsh, Beazley et Coalition comme les critères les plus discriminants :
- Authentification multifacteur (MFA) : sur les accès distants, la messagerie et les comptes à privilèges
- EDR (Endpoint Detection & Response) : protection des postes de travail
- Sécurité email : filtrage anti-phishing, anti-spam, analyse des pièces jointes
- Sauvegardes testées : politique de sauvegarde 3-2-1, avec tests de restauration documentés
- Plan de réponse à incident : procédure écrite, testée, avec les rôles identifiés
- Formation et sensibilisation des employés : programme documenté avec simulations de phishing
- Gestion des accès à privilèges (PAM) : comptes administrateurs séparés et contrôlés
- Gestion des correctifs (patch management) : délai de déploiement des mises à jour de sécurité
La formation des employés figure au même niveau que le MFA ou l'EDR. Elle fait partie des prérequis, au même titre que les contrôles techniques.
Le passage du questionnaire déclaratif à l'audit documenté
Le changement le plus marquant des deux dernières années est la nature des preuves demandées. Jusqu'en 2023, la plupart des questionnaires de souscription se contentaient de réponses « oui/non ». En 2025-2026, les assureurs demandent des preuves.
Un courtier spécialisé résume cette évolution : « En 2026, les questionnaires d'assurance cyber s'apparentent de plus en plus à des audits. Si l'entreprise ne peut pas démontrer sa préparation, l'assureur la traite comme un passif. »
Concrètement, il ne suffit plus de cocher « oui » à la question « Formez-vous vos employés ? ». L'assureur attend des captures d'écran des tableaux de bord, des rapports de campagne, des taux de complétion, des résultats de simulation. La déclaration a cédé la place à la preuve.
Ce que votre assureur attend concrètement : anatomie d'un questionnaire de souscription
Voici les questions types qu'un assureur cyber français pose aujourd'hui sur le volet formation et sensibilisation. Cette synthèse est construite à partir des questionnaires Hiscox, AXA, Allianz et Generali, analysés par des courtiers spécialisés.
Questions déclaratives (oui/non)
- Disposez-vous d'un programme de sensibilisation à la cybersécurité pour l'ensemble des collaborateurs ?
- Ce programme inclut-il des simulations de phishing ?
- Les nouveaux arrivants suivent-ils une formation de cybersécurité lors de leur intégration ?
- Les résultats des campagnes de sensibilisation sont-ils suivis dans le temps ?
- Les collaborateurs disposent-ils d'un moyen de signaler les emails suspects (bouton de signalement, adresse dédiée) ?
Questions quantitatives (avec justificatifs)
- Quelle est la fréquence des formations de sensibilisation ? (annuelle / semestrielle / trimestrielle / mensuelle)
- Quel est le taux de complétion des modules de formation sur les 12 derniers mois ?
- Combien de campagnes de simulation de phishing avez-vous conduites sur les 12 derniers mois ?
- Quel est votre taux de clic moyen sur les simulations de phishing ? Évolution sur 6/12 mois ?
- Quel pourcentage de collaborateurs a suivi au moins une formation dans les 6 derniers mois ?
Questions de gouvernance
- Qui est responsable du programme de sensibilisation ? (RSSI / DSI / DRH / prestataire externe)
- Les résultats des campagnes sont-ils présentés à la direction ?
- Le programme de formation couvre-t-il les sous-traitants et prestataires ayant accès au SI ?
- Disposez-vous d'une politique de sécurité des systèmes d'information (PSSI) formalisée ?
Le piège de la fausse déclaration
La tentation est grande de cocher « oui » partout pour obtenir une meilleure prime. C'est la pire stratégie possible.
Le cas International Control Services vs. Travelers, largement commenté dans le secteur, illustre le risque. L'entreprise avait déclaré utiliser l'authentification multifacteur sur tous ses accès. En réalité, le MFA n'était activé que sur le pare-feu, pas sur les serveurs ni les messageries. Après une attaque de ransomware, Travelers a refusé le sinistre pour fausse déclaration. L'entreprise n'a rien touché.
Le même mécanisme s'applique à la formation. Si vous déclarez « programme de sensibilisation en place » mais que vous n'avez aucun registre de formation, aucun rapport de simulation, aucune attestation : l'assureur peut invoquer la fausse déclaration et réduire ou refuser l'indemnisation.
Les 7 preuves que votre assureur veut voir
Quand l'assureur demande une « preuve de formation », que veut-il exactement ? Voici les sept documents qui constituent un dossier de souscription solide sur le volet sensibilisation.
1. Registre de formation avec taux de complétion
Un document daté montrant que chaque collaborateur a suivi au moins une formation de cybersécurité dans les 12 derniers mois. Le taux de complétion global doit dépasser 80 % pour être considéré comme acceptable. L'idéal : un export de votre plateforme de formation montrant la liste nominative (ou anonymisée par département), les dates de complétion et les scores obtenus.
2. Rapports de campagnes de simulation de phishing
Les résultats des campagnes de phishing simulé sur les 12 derniers mois : dates, nombre de destinataires, taux de clic, taux de soumission d'identifiants, taux de signalement. L'assureur cherche deux choses : la régularité (au moins une campagne par trimestre) et la tendance (le taux de clic doit baisser dans le temps).
Pour construire un programme de simulation efficace, consultez notre guide complet de la simulation de phishing en entreprise.
3. Attestations individuelles de formation
Des certificats ou attestations prouvant que les collaborateurs ont effectivement suivi les modules. Hiscox est l'assureur le plus explicite sur ce point : son programme CyberClear Academy délivre des certificats, et si 80 % des salariés ont suivi la formation, l'entreprise bénéficie d'une réduction de franchise. C'est l'un des rares cas où l'impact financier direct est formalisé dans les conditions contractuelles.
4. Politique de sécurité des systèmes d'information (PSSI)
Un document de politique interne couvrant au minimum : les règles d'usage de la messagerie, la gestion des mots de passe, la procédure de signalement des incidents, les règles d'accès aux données sensibles. La PSSI n'a pas besoin de faire 50 pages, mais elle doit exister, être datée, signée par la direction, et avoir été communiquée à l'ensemble des collaborateurs.
5. Procédure de réponse à incident testée
Un plan de réponse à incident documenté, avec les rôles identifiés (qui contacter en cas d'attaque, dans quel ordre), et la preuve qu'il a été testé au moins une fois dans les 12 derniers mois. Le test peut être un exercice sur table (« tabletop exercise ») ou une simulation grandeur nature.
Le baromètre CESIN 2026 indique que 67 % des entreprises disposent d'un programme d'entraînement à la crise cyber, dont 37 % avec des exercices périodiques. Être dans ces 37 % vous place au-dessus de la majorité des souscripteurs.
6. Tableau de bord de suivi des indicateurs
Un export de votre plateforme de sensibilisation montrant l'évolution des métriques dans le temps : taux de clic, taux de signalement, taux de complétion des formations, nombre de campagnes conduites. L'assureur ne veut pas juste une photographie : il veut une tendance. Une entreprise dont le taux de clic passe de 25 % à 8 % en 12 mois démontre un programme qui fonctionne.
Pour comprendre comment ces métriques se comparent aux standards du secteur, consultez nos benchmarks de taux de clic par secteur d'activité.
7. Preuves de sensibilisation des sous-traitants
Les attaques via tiers ont bondi de 8 points pour atteindre 35 % selon le CESIN 2026 (et jusqu'à 43 % pour les grandes entreprises). Les assureurs commencent à vérifier que les prestataires ayant accès au système d'information sont également sensibilisés. Un avenant à vos contrats de sous-traitance exigeant la formation cyber des intervenants, ou un rapport d'audit de votre prestataire, renforce votre dossier.
Exemples concrets : ce que les assureurs trouvent (et ne trouvent pas) lors de la souscription
Pour comprendre l'impact réel du dossier de formation sur la souscription, voici trois situations réelles reconstituées à partir d'échanges avec des courtiers cyber français. Les noms ont été modifiés.
Situation 1 : le cabinet comptable sans aucune formation (refus de couverture)
Un cabinet comptable de 35 salariés à Lyon (CA : 4 millions d'euros) souhaite souscrire une assurance cyber pour la première fois. Le questionnaire révèle : aucune PSSI, aucune formation de sensibilisation, mots de passe non imposés, pas de MFA sur la messagerie. Le courtier transmet le dossier à trois assureurs. Deux refusent immédiatement. Le troisième propose une couverture limitée à 500 000 euros (au lieu de 2 millions demandés), avec une franchise de 25 000 euros et une prime de 6 200 euros par an.
Le cabinet investit alors 1 800 euros dans une plateforme de sensibilisation, forme 90 % de ses collaborateurs en 3 mois, conduit deux simulations de phishing et rédige une PSSI. Six mois plus tard, le courtier resoumette le dossier. Résultat : couverture de 2 millions, franchise de 10 000 euros, prime de 3 800 euros. L'investissement de 1 800 euros a permis d'économiser 2 400 euros de prime annuelle et de tripler la couverture.
Situation 2 : l'ETI industrielle avec formation annuelle (couverture partielle)
Une entreprise industrielle de 180 salariés en Normandie (CA : 28 millions d'euros) dispose d'une formation de sensibilisation annuelle : une présentation PowerPoint de 45 minutes lors de la journée d'intégration. Aucune simulation de phishing, aucune mesure du taux de clic, aucune attestation individuelle.
Lors du renouvellement, l'assureur demande les « preuves de formation régulière ». L'entreprise fournit le PowerPoint et la feuille de présence de la dernière session. L'assureur accepte le renouvellement mais applique une surprime de 15 % et exclut la couverture « fraude au virement » de la garantie. Le courtier recommande de passer à un programme mensuel de simulation pour obtenir la suppression de ces restrictions l'année suivante.
Situation 3 : la startup tech avec programme complet (conditions optimales)
Une startup SaaS de 45 salariés à Paris (CA : 3 millions d'euros) utilise une plateforme de sensibilisation depuis 18 mois. Elle peut fournir : un tableau de bord montrant 12 campagnes de simulation sur les 12 derniers mois, un taux de clic passé de 22 % à 4 %, un taux de complétion de formation de 95 %, une PSSI mise à jour, un plan de réponse à incident testé, et un bouton de signalement avec un taux d'utilisation de 35 %.
L'assureur propose les meilleures conditions de son barème : couverture de 3 millions, franchise de 5 000 euros, prime de 2 100 euros. Le dossier est accepté en 48 heures, sans demande de pièce complémentaire. La qualité de la documentation a accéléré le processus et réduit le tarif.
Constituer votre dossier de preuves en 90 jours - rapports exportables dès la première campagne.
Ce que ces trois situations illustrent
Le programme de formation n'est pas un élément binaire (présent/absent). Les assureurs évaluent sa qualité : fréquence, documentation, résultats mesurables, tendance dans le temps. Une formation annuelle sans mesure est mieux que rien, mais reste insuffisante pour obtenir les meilleures conditions. Un programme mensuel avec des résultats documentés place l'entreprise dans la catégorie « risque maîtrisé » et ouvre l'accès aux tarifs les plus compétitifs.
Comment la formation réduit concrètement vos primes
La question que pose tout DAF : « Combien ça me fait économiser ? ». Voici les mécanismes concrets par lesquels un programme de sensibilisation agit sur votre prime d'assurance cyber.
Mécanisme 1 : la réduction de franchise contractuelle
Le cas le plus documenté est celui de Hiscox avec sa CyberClear Academy. Si au moins 80 % des salariés ont obtenu le certificat de formation, la franchise numéraire du contrat est réduite. Concrètement, si votre franchise standard est de 10 000 euros, elle peut passer à 5 000 ou 7 500 euros après validation de la formation.
Ce mécanisme est directement inscrit dans les conditions particulières du contrat. Il ne dépend pas d'une négociation commerciale : c'est un automatisme contractuel.
Mécanisme 2 : l'évaluation du risque lors de la souscription
Lors de la souscription ou du renouvellement, le questionnaire de cybersécurité détermine votre profil de risque. Chaque « oui » documenté à un contrôle de sécurité abaisse votre score de risque, et donc votre prime.
Des courtiers spécialisés rapportent que l'absence de programme de formation peut entraîner une surprime de 30 à 50 % par rapport au tarif de référence. À l'inverse, un programme documenté avec des résultats mesurables permet de négocier des conditions plus favorables.
Le programme Marsh Cyber Pathway, développé en partenariat avec Beazley, Chubb, Coalition et Resilience, formalise cette logique : les entreprises complètent un questionnaire d'auto-évaluation, reçoivent des recommandations de contrôles à implémenter, et une fois ces contrôles en place (dont la formation), accèdent à des extensions de garantie chez les assureurs partenaires.
Mécanisme 3 : la réduction de la sinistralité réelle
Au-delà de l'impact direct sur la prime, la formation réduit la probabilité d'un sinistre : ce qui, sur la durée, empêche les majorations liées à l'historique de sinistralité.
Le rapport SANS Security Awareness 2025 documente une réduction du taux de clic de 75 % en 12 mois chez les organisations avec un programme de simulation régulier. Moins de clics, moins d'incidents, moins de déclarations, moins de majorations au renouvellement.
Pour aller plus loin sur le calcul du ROI, consultez notre article dédié au ROI de la sensibilisation cybersécurité.
Comparatif : coût de la formation vs surcoût d'assurance
| Élément | Coût annuel (PME 50 salariés) |
|---|---|
| Programme de sensibilisation + simulation (plateforme SaaS) | 1 200 – 3 000 € |
| Surprime assurance sans programme de formation (+30 à 50 %) | 600 – 2 500 € |
| Franchise standard (sans formation) | 10 000 – 25 000 € |
| Franchise réduite (avec formation documentée, type Hiscox) | 5 000 – 15 000 € |
| Coût moyen d'un incident cyber PME (Groupama 2025) | 466 000 € |
L'investissement dans la formation est rentabilisé dès la première année par la seule réduction de prime et de franchise : sans même compter la réduction du risque d'incident.
Le piège : quand l'assurance refuse de payer
Le scénario le plus coûteux n'est pas de payer une prime trop élevée. C'est de payer une prime pendant des années, de subir un sinistre, et de découvrir que l'assureur refuse d'indemniser.
Les motifs de refus liés à la formation
Le droit français des assurances repose sur un principe fondamental : la garantie n'a de sens que si l'assuré prend toutes les mesures raisonnables pour prévenir le risque. L'assureur ne couvre pas les sinistres dont la cause découle d'une négligence manifeste dans la gestion du système d'information.
Si une entreprise subit un phishing massif et qu'il s'avère qu'aucun collaborateur n'a jamais été formé, qu'aucune simulation n'a été conduite et qu'aucune procédure de signalement n'existe, l'assureur dispose d'un arsenal juridique pour contester l'indemnisation :
- Fausse déclaration (article L. 113-8 du code des assurances) : si le questionnaire de souscription mentionnait un programme de formation inexistant, le contrat peut être annulé rétroactivement
- Négligence manifeste : si l'absence de formation constitue un manquement aux « mesures raisonnables de prévention » exigées par le contrat
- Non-respect des prérequis contractuels : si les conditions particulières exigent un programme de sensibilisation que l'entreprise n'a pas mis en place
L'obligation de dépôt de plainte en 72 heures (LOPMI)
Depuis le 24 avril 2023, la loi LOPMI (n°2023-22) impose une obligation supplémentaire : toute victime de cyberattaque qui souhaite être indemnisée par son assureur doit déposer plainte dans un délai de 72 heures à compter de la connaissance de l'attaque.
Ce délai court à partir de la découverte des pertes et dommages, pas à partir de l'attaque elle-même. Le dépôt de plainte doit se faire auprès de la police, de la gendarmerie, ou par lettre recommandée au Procureur de la République. Un pré-dépôt en ligne ne suffit pas.
Le non-respect de ce délai entraîne une déchéance de garantie quasi-systématique. Et c'est là que la formation joue un rôle indirect mais concret : une entreprise dont les employés sont formés à reconnaître un email frauduleux et signaler un incident détectera l'attaque plus vite, ce qui facilite le respect du délai de 72 heures.
Les cas documentés de refus d'indemnisation
Selon Fitch Ratings, près d'un sinistre cyber sur quatre déposé en 2024 a été rejeté pour non-respect des conditions de couverture. Les cas les plus documentés dans la presse spécialisée :
BitPay vs. Massachusetts Bay Insurance : L'assureur a refusé d'indemniser 1,8 million de dollars après une attaque de phishing, arguant que la compromission provenait d'un partenaire commercial et non directement des systèmes de l'assuré. L'absence de formation des partenaires a joué dans l'argumentation.
International Control Services vs. Travelers : Refus total d'indemnisation après une attaque de ransomware. L'entreprise avait déclaré utiliser le MFA sur tous ses accès, mais ne l'avait déployé que sur le pare-feu. Travelers a invoqué la fausse déclaration. Le même raisonnement s'applique à la formation : déclarer un programme inexistant expose au même risque.
Statistique globale : Les retours de courtiers spécialisés identifient la « négligence dans le maintien des standards de sécurité » et l'« absence de documentation » comme les deux premières causes de refus d'indemnisation, devant les exclusions contractuelles.
La chronologie d'un refus d'indemnisation : comment ça se passe en pratique
Voici comment se déroule concrètement un refus d'indemnisation lié au manque de formation, basé sur le processus décrit par les courtiers et cabinets d'avocats spécialisés.
Jour 0 : L'attaque. Un employé de la comptabilité clique sur un email de phishing imitant un message de la banque de l'entreprise. Il saisit ses identifiants sur une page frauduleuse. Les attaquants utilisent ces identifiants pour accéder à la messagerie professionnelle, puis initient un virement de 78 000 euros vers un compte à l'étranger.
Jour 1 : La découverte. Le DAF remarque le virement lors de la vérification quotidienne des mouvements bancaires. L'entreprise contacte sa banque (qui tente un rappel de fonds), son prestataire IT (qui sécurise les accès compromis) et son courtier d'assurance.
Jour 2 : Le dépôt de plainte. L'entreprise dépose plainte auprès de la gendarmerie dans le délai de 72 heures imposé par la LOPMI. La procédure est respectée.
Jour 7 : La déclaration de sinistre. L'entreprise transmet à son assureur la déclaration de sinistre avec les pièces justificatives : relevé bancaire, copie de la plainte, rapport du prestataire IT, copie de l'email de phishing.
Jour 30 : L'enquête de l'assureur. L'expert mandaté par l'assureur demande les preuves de conformité aux prérequis du contrat : politique de sécurité, registre de formation, rapports de simulation de phishing, procédure de double validation des virements. L'entreprise ne peut fournir aucun de ces documents.
Jour 60, Le refus partiel. L'assureur notifie un refus partiel d'indemnisation. Motifs invoqués : absence de programme de sensibilisation (condition contractuelle non respectée), absence de procédure de double validation des virements (négligence dans la prévention du risque), écart entre les déclarations du questionnaire de souscription et la réalité constatée. L'indemnisation est réduite de 70 %. Sur les 78 000 euros de perte, l'entreprise touche 23 400 euros, et absorbe 54 600 euros de perte sèche.
Ce scénario n'est pas hypothétique. Les courtiers spécialisés rapportent des situations comparables plusieurs fois par an. Et dans les cas les plus graves (fausse déclaration manifeste), le refus est total.
Le cas spécifique de la fraude au virement (BEC)
Les attaques de type Business Email Compromise (BEC), arnaque au président, fraude au changement de RIB fournisseur, sont souvent exclues des contrats d'assurance cyber de base. La couverture du « transfert de fonds frauduleux » nécessite généralement un avenant spécifique (appelé « garantie fraude par ingénierie sociale »).
Et cet avenant est conditionné à l'existence de procédures de vérification : double validation des virements, contre-appel au fournisseur, et, de plus en plus, formation des équipes finance au risque de BEC.
Sans cette couverture spécifique, une PME qui perd 45 000 euros par virement frauduleux après un phishing ciblé de son DAF ne sera tout simplement pas indemnisée : même avec un contrat d'assurance cyber en cours.
NIS2, assurance cyber et formation : le triangle réglementaire
La directive européenne NIS2, applicable en France depuis octobre 2024, ajoute une couche d'obligation qui renforce la position des assureurs.
Ce que NIS2 exige en matière de formation
L'article 21 de la directive NIS2 impose des « mesures de gestion des risques cyber incluant la sensibilisation et la formation du personnel ». Selon le cadre de conformité, cette formation doit être :
- Documentée : des preuves de formation doivent pouvoir être produites lors d'un audit
- Universelle : elle concerne l'ensemble du personnel, pas seulement les équipes IT
- Continue : une session unique sans suivi ni évaluation constitue un manquement
- Mesurable : le succès se mesure par le changement de comportement, pas par le nombre d'heures de formation
L'article 32 autorise l'ANSSI (autorité compétente en France) à effectuer des contrôles sur pièces ou sur site, y compris sans préavis. Les attestations de formation, les résultats de simulation et les rapports de sensibilisation font partie des documents auditables.
Pour un guide détaillé de la conformité NIS2, consultez notre guide NIS2 pour les PME.
NIS2 concerne 59 % des entreprises françaises
Le baromètre CESIN 2026 indique que 59 % des entreprises interrogées sont concernées par NIS2 (70 % des grandes entreprises, 44 % des TPE/PME). Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les dirigeants sont personnellement responsables de la conformité.
L'avantage pour l'assureur
L'existence de NIS2 renforce la position contractuelle de l'assureur. Si une entreprise soumise à NIS2 subit un sinistre et qu'il s'avère qu'elle ne respectait pas les exigences de formation de la directive, l'assureur dispose d'un argument supplémentaire pour contester l'indemnisation : l'entreprise était en infraction réglementaire au moment du sinistre.
À l'inverse, la conformité NIS2 constitue un signal fort pour l'assureur. Une entreprise qui peut produire un dossier de conformité NIS2, incluant les preuves de formation, démontre un niveau de maturité cyber supérieur à la moyenne. Les courtiers spécialisés recommandent d'ailleurs de fournir le dossier NIS2 comme pièce complémentaire au questionnaire de souscription.
Formation → conformité → assurabilité
La formation des employés se trouve à l'intersection de trois obligations :
| Obligation | Exigence de formation | Sanction en cas de manquement |
|---|---|---|
| NIS2 (réglementaire) | Formation documentée, continue, mesurable | Jusqu'à 10 M€ ou 2 % du CA mondial |
| Assurance cyber (contractuelle) | Programme de sensibilisation avec preuves | Surprime, refus de couverture, refus d'indemnisation |
| RGPD (protection des données) | Sensibilisation des personnes traitant des données | Jusqu'à 20 M€ ou 4 % du CA mondial |
Un programme de formation bien conçu répond simultanément à ces trois exigences. C'est un investissement unique pour une triple protection.
Comment construire un dossier assurance-ready en 90 jours
Votre renouvellement d'assurance cyber approche. Voici comment construire un dossier de souscription solide sur le volet formation et sensibilisation, étape par étape.
Semaines 1-2 : poser les fondations
Rédiger ou mettre à jour la PSSI. Si votre politique de sécurité des systèmes d'information date de plus de deux ans ou n'existe pas, commencez par là. Le document doit couvrir les règles de messagerie, la gestion des mots de passe, la procédure de signalement des incidents et les règles d'accès aux données. Faites signer la PSSI par la direction et communiquez-la à tous les collaborateurs avec accusé de réception.
Désigner un responsable du programme de sensibilisation. L'assureur demandera qui pilote le programme. Ce peut être le RSSI, le DSI, le DRH ou un prestataire externe, mais un nom doit être attaché au programme.
Semaines 3-6 : déployer la formation
Lancer un premier module de formation e-learning. Choisissez une plateforme qui fournit des attestations de complétion individuelles et un tableau de bord de suivi. Ciblez un taux de complétion de 80 % minimum. Les modules doivent couvrir le phishing, l'ingénierie sociale, la gestion des mots de passe et les bonnes pratiques de navigation. Notre guide de la formation cybersécurité pour les PME détaille le contenu recommandé.
Conduire une première simulation de phishing baseline. Envoyez un email de phishing simulé à l'ensemble de l'entreprise pour mesurer le taux de clic initial. Ce baseline est votre point de référence pour démontrer la progression dans le temps. Documentez les résultats : date, nombre de destinataires, taux d'ouverture, taux de clic, taux de signalement.
Semaines 7-10 : intensifier et documenter
Conduire une deuxième simulation. Variez le scénario (colis, facture, mise à jour de mot de passe) - comparer les approches : formation vs simulation. Comparez les résultats au baseline. Même une amélioration modeste (de 25 % à 18 % de taux de clic, par exemple) constitue une preuve de progrès pour l'assureur.
Mettre en place un bouton de signalement. Les assureurs valorisent le taux de signalement au moins autant que le taux de clic. Installez un bouton de signalement dans la messagerie de vos collaborateurs et mesurez son utilisation.
Préparer le plan de réponse à incident. Documentez la procédure : qui contacter, dans quel ordre, comment isoler les systèmes, comment déposer plainte dans les 72 heures. Testez-la au moins une fois sous forme d'exercice de table.
Semaines 11-12 : consolider le dossier
Compiler le dossier de souscription. Rassemblez les sept documents décrits dans la section précédente : registre de formation, rapports de simulation, attestations, PSSI, plan de réponse à incident, tableau de bord, preuves pour les sous-traitants.
Exporter les rapports de la plateforme de sensibilisation. Les exports PDF datés constituent les meilleures preuves. Incluez les graphiques de tendance montrant l'évolution du taux de clic dans le temps.
Préparer un mémo d'une page pour le courtier. Résumez votre programme en une page : nombre de collaborateurs formés, taux de complétion, nombre de simulations conduites, taux de clic initial vs actuel, gouvernance du programme. Ce document facilite le travail du courtier et accélère le processus de souscription.
Comment choisir la bonne plateforme de sensibilisation pour votre dossier assurance
Toutes les plateformes de sensibilisation ne se valent pas du point de vue de l'assureur. Les critères qui comptent pour constituer un dossier solide :
Rapports exportables en PDF. L'assureur (ou son expert) veut des documents datés, signés numériquement si possible, qu'il peut archiver dans votre dossier. Une plateforme qui ne fournit pas d'exports PDF exploitables crée un obstacle administratif.
Historique des campagnes. L'assureur veut une tendance, pas un instantané. Votre plateforme doit conserver l'historique complet des campagnes de simulation : dates, scénarios utilisés, taux de clic, taux de signalement, actions de remédiation. Un historique de 12 mois est le minimum attendu.
Attestations individuelles de complétion. Chaque collaborateur ayant terminé un module doit disposer d'une attestation datée. Ces attestations constituent la preuve la plus directe que la formation a eu lieu. Si votre plateforme ne les génère pas automatiquement, vous devrez les produire manuellement : ce qui est rapidement ingérable au-delà de 20 salariés.
Scénarios de simulation variés et réalistes. Les assureurs commencent à évaluer la qualité des simulations, pas seulement leur existence. Un programme qui répète le même scénario « colis en attente » tous les mois ne teste pas grand-chose. La plateforme doit proposer des scénarios variés couvrant les vecteurs réels : phishing générique, spear phishing, fraude au virement, usurpation de marque.
Micro-learning post-échec. La remédiation immédiate après un clic sur une simulation, un module court expliquant les indices que l'employé a manqués, est un signal fort pour l'assureur. Elle prouve que le programme ne se contente pas de mesurer la vulnérabilité, mais qu'il la corrige activement.
Pour comparer les solutions disponibles et choisir la plus adaptée à votre contexte, consultez notre guide pour choisir sa solution de sensibilisation au phishing en 2026.
Le calendrier idéal : 3 mois avant le renouvellement
| Semaine | Action | Livrable |
|---|---|---|
| 1-2 | PSSI + désignation du responsable | Document signé par la direction |
| 3-4 | Module de formation e-learning | Taux de complétion > 80 % |
| 5-6 | Simulation de phishing baseline | Rapport de campagne avec taux de clic |
| 7-8 | Deuxième simulation + bouton de signalement | Rapport comparatif + taux de signalement |
| 9-10 | Plan de réponse à incident + exercice | Plan documenté + compte-rendu d'exercice |
| 11-12 | Compilation du dossier + mémo courtier | Dossier de souscription complet |
Démarrer votre programme de sensibilisation - tableau de bord et rapports prêts pour votre courtier.
Ce que les assureurs français proposent en matière de prévention
Les assureurs ne se contentent plus de constater la présence ou l'absence de formation : certains la fournissent directement ou la facilitent.
Hiscox : CyberClear Academy
Hiscox France, spécialisé sur les TPE et PME de moins de 50 millions d'euros de chiffre d'affaires, a développé sa propre plateforme de formation : la CyberClear Academy. Les certificats délivrés par cette plateforme sont directement reconnus dans le processus de souscription. Quand 80 % des salariés obtiennent le certificat, la franchise du contrat est réduite, comme détaillé plus haut. C'est le mécanisme le plus formalisé du marché français.
Hiscox combine également des scans de vulnérabilités automatisés avec les questionnaires déclaratifs pour obtenir une vue complète du profil de risque de l'assuré.
AXA : prévention intégrée
AXA propose un accompagnement qui inclut la sensibilisation et la formation des collaborateurs, des audits de l'organisation, des tests de phishing, des scans de vulnérabilités et une évaluation de la maturité face aux risques. L'approche est intégrée : la prévention fait partie de l'offre d'assurance, pas un module séparé.
Generali : Protection Numérique
Generali Protection Numérique cible les PME avec un produit combinant assurance et sensibilisation. Le contrat inclut des modules de e-learning pour les collaborateurs, une liste d'experts cyber labellisés et un scan trimestriel de vulnérabilités dont les résultats ne sont pas communiqués à l'assureur (pour éviter le conflit d'intérêt). La démarche de Generali met l'accent sur la prévention et la gouvernance.
Allianz : e-learning et questionnaire Cyence
Chez Allianz, le contrat de base est accessible aux entreprises de moins de 25 millions d'euros de chiffre d'affaires. L'assureur propose du e-learning sur la protection contre les cyberattaques et s'est associé à Cyence pour affiner l'évaluation des risques de ses clients via un modèle quantitatif.
Les courtiers spécialisés : Cyber Cover, Stoïk, Dattak
Plusieurs courtiers spécialisés en assurance cyber proposent des solutions intégrées prévention + assurance. Cyber Cover combine des campagnes de simulation de phishing, une plateforme e-learning et des exercices de gestion de crise cyber avec le courtage d'assurance. Ces offres intégrées permettent de répondre aux exigences de formation tout en simplifiant le processus de souscription.
Calcul : coût de la formation vs coût de l'absence de formation
Pour une PME de 50 salariés avec un chiffre d'affaires de 5 millions d'euros, voici le calcul comparé sur 3 ans.
Scénario A : sans programme de formation
| Poste | Coût annuel | Coût sur 3 ans |
|---|---|---|
| Prime d'assurance cyber (profil « risque élevé ») | 4 500 € | 13 500 € |
| Franchise en cas de sinistre | 15 000 € | 15 000 € (si 1 sinistre) |
| Risque de refus d'indemnisation | Incalculable | Incalculable |
| Total (sans sinistre) | 4 500 €/an | 13 500 € |
| Total (avec 1 sinistre partiellement indemnisé) | : | 28 500 € + dommages |
Scénario B : avec programme de formation
| Poste | Coût annuel | Coût sur 3 ans |
|---|---|---|
| Plateforme de sensibilisation (50 utilisateurs) | 2 400 € | 7 200 € |
| Prime d'assurance cyber (profil « risque maîtrisé ») | 3 000 € | 9 000 € |
| Franchise en cas de sinistre (réduite) | 8 000 € | 8 000 € (si 1 sinistre) |
| Indemnisation garantie (conformité documentée) | Couverte | Couverte |
| Total (sans sinistre) | 5 400 €/an | 16 200 € |
| Total (avec 1 sinistre pleinement indemnisé) | : | 24 200 € |
Analyse
Le surcoût apparent de la formation (900 euros par an dans cet exemple) est compensé dès la première année par la réduction de prime (1 500 euros d'économie). Sur 3 ans, le scénario avec formation coûte 2 700 euros de plus hors sinistre, mais en cas de sinistre, l'écart s'inverse : l'entreprise formée économise 4 300 euros sur la franchise et bénéficie d'une indemnisation garantie.
Le vrai différentiel est ailleurs : en cas de sinistre grave (rançongiciel, fuite de données massive), l'entreprise sans formation risque un refus total d'indemnisation. Sur un incident moyen à 466 000 euros (chiffre Groupama 2025), la différence n'est plus de 4 300 euros : elle atteint 466 000 euros.
L'argument pour le DAF : le ratio coût/bénéfice
Le calcul peut se résumer en une phrase : pour chaque euro investi dans la formation, l'entreprise économise entre 1,5 et 3 euros sur sa prime et sa franchise d'assurance, tout en protégeant son indemnisation en cas de sinistre.
En termes de retour sur investissement, la sensibilisation cybersécurité affiche un ratio coût/bénéfice élevé : le coût est faible et prévisible, mais le risque couvert est élevé et imprévisible. La psychologie des biais cognitifs exploités par le phishing explique pourquoi la formation comportementale est plus efficace que la sensibilisation théorique.
Pour les DAF qui raisonnent en probabilité, voici le calcul complet. Si la probabilité annuelle de subir un sinistre cyber est de 10 % (estimation basse pour une PME exposée), et que le coût moyen d'un sinistre est de 466 000 euros, l'espérance de perte annuelle est de 46 600 euros. Un programme de formation qui réduit cette probabilité de 30 % économise 13 980 euros d'espérance de perte par an : pour un investissement de 2 400 euros. Le ratio est de 1 pour 5,8.
Ce calcul ne prend même pas en compte les coûts indirects d'un sinistre : perte de chiffre d'affaires pendant l'interruption, atteinte à la réputation, coûts juridiques, temps de gestion interne, notification CNIL. L'étude IBM Cost of a Data Breach 2025 estime ces coûts indirects à 40 % du coût total d'un incident.
Spécificités par secteur : ce que votre assureur regarde en fonction de votre activité
Les exigences de formation varient selon le secteur d'activité de l'entreprise. L'assureur calibre son évaluation en fonction du profil de risque spécifique au métier.
Cabinets comptables et juridiques
Les cabinets manipulent des données financières et juridiques sensibles pour le compte de tiers. Le risque de compromission a un impact direct sur les clients du cabinet, ce qui expose à des actions en responsabilité professionnelle en plus du sinistre cyber lui-même. Les assureurs exigent un programme renforcé couvrant la protection des données clients, la gestion des accès aux dossiers et la sensibilisation au phishing ciblé (les cabinets sont une cible privilégiée pour le spear phishing). La conformité RGPD est systématiquement vérifiée en complément.
Secteur santé (cliniques, laboratoires, cabinets médicaux)
Les données de santé sont classées « sensibles » au sens du RGPD, ce qui alourdit les obligations de protection et les sanctions en cas de fuite. Les assureurs vérifient la formation du personnel soignant (qui utilise des postes partagés, souvent sans MFA), la gestion des terminaux mobiles et la sensibilisation aux arnaques ciblant le secteur santé (faux ordres de laboratoire, faux messages de l'Assurance Maladie). Le secteur santé présente traditionnellement des taux de clic élevés en simulation de phishing (entre 25 % et 35 % en baseline, selon les données agrégées des plateformes de simulation) en raison de la surcharge cognitive du personnel et du volume d'emails quotidiens.
Commerce et e-commerce
Les risques principaux sont la fraude au paiement, la compromission de données bancaires clients et le ransomware bloquant l'activité. Les assureurs vérifient la conformité PCI-DSS pour les entreprises traitant des données bancaires, la formation des équipes aux risques de fraude (faux fournisseurs, faux clients) et la sécurisation de la chaîne logistique numérique. La saisonnalité est un facteur : les attaques se concentrent sur les périodes de forte activité (Black Friday, Noël, soldes) quand la vigilance baisse et la pression opérationnelle augmente.
Industrie et production
Le risque de ransomware paralysant la production est le scénario le plus redouté. L'arrêt d'une chaîne de production coûte entre 10 000 et 100 000 euros par jour selon la taille de l'entreprise (données CESIN). Les assureurs vérifient la segmentation entre le réseau bureautique et le réseau OT (technologies opérationnelles), la formation du personnel de production (qui a souvent un accès limité aux outils numériques et donc une exposition moindre, mais un impact maximal en cas de compromission) et les procédures de continuité d'activité.
Services financiers et assurance
Les entreprises de services financiers sont soumises à des exigences réglementaires supplémentaires via la directive DORA (Digital Operational Resilience Act), qui impose des tests de résilience numérique et une formation spécifique du personnel. Les assureurs alignent leurs exigences sur DORA : formation documentée, tests d'intrusion réguliers, exercices de gestion de crise, et reporting au régulateur. Le baromètre CESIN 2026 indique que 32 % des entreprises françaises sont concernées par DORA.
Le facteur commun : la preuve documentée
Quel que soit le secteur, le dénominateur commun est la capacité à produire une preuve documentée du programme de sensibilisation. Un tableau de bord de simulation de phishing avec l'historique des campagnes, les taux de clic et les taux de signalement vaut plus que n'importe quel discours rassurant lors de la souscription. Les assureurs évaluent ce qu'ils voient, pas ce qu'on leur dit.
Questions fréquentes
Mon assureur peut-il refuser de m'assurer si je n'ai pas de programme de formation ?
Oui. Plusieurs assureurs refusent les souscriptions qui ne remplissent pas les prérequis de sécurité. Une souscriptrice citée par l'Argus de l'Assurance confirme un taux de refus de 50 % des saisines cyber. La formation fait partie des prérequis vérifiés. En pratique, un refus pur est moins fréquent qu'une surprime significative ou une limitation de couverture (exclusion de la fraude au virement, franchise élevée).
Quelle fréquence de formation les assureurs attendent-ils ?
La fréquence minimale attendue est trimestrielle pour les simulations de phishing et annuelle pour la formation e-learning. Les assureurs les plus exigeants (et les plus favorables en termes de tarifs) attendent une cadence mensuelle de simulation et une formation continue avec des micro-modules réguliers. Le SANS Institute recommande une à deux simulations par mois pour maintenir les réflexes.
La formation de sensibilisation est-elle déductible fiscalement ?
Les dépenses de formation cybersécurité sont des charges d'exploitation déductibles du résultat imposable de l'entreprise. Pour les entreprises de moins de 50 salariés, le crédit d'impôt formation des dirigeants peut également s'appliquer si le dirigeant suit personnellement la formation. Par ailleurs, des aides régionales existent pour accompagner les PME dans leur mise en conformité NIS2, et certaines couvrent les dépenses de sensibilisation.
Dois-je former aussi les stagiaires, intérimaires et sous-traitants ?
Toute personne ayant accès au système d'information doit être sensibilisée. Les assureurs commencent à vérifier ce point, notamment depuis que les attaques via tiers représentent 35 % des vecteurs (CESIN 2026). Pour les sous-traitants, un avenant contractuel exigeant la formation cyber est la solution la plus pratique. Pour les intérimaires et stagiaires, un module d'intégration de 15 minutes sur les règles de sécurité suffit, à condition d'être documenté.
Comment prouver ma formation si j'utilise des ressources gratuites (ANSSI, Cybermalveillance.gouv.fr) ?
Les kits gratuits de l'ANSSI et de Cybermalveillance.gouv.fr sont des ressources de qualité, mais ils ne fournissent pas d'attestations de complétion ni de tableau de bord de suivi. Pour constituer un dossier de preuve, vous devrez documenter vous-même les sessions : feuilles de présence signées, quiz de validation, dates de session. Une plateforme dédiée automatise cette documentation et génère les rapports directement exploitables par votre courtier.
La formation protège-t-elle aussi contre le refus de plainte en 72 heures ?
Indirectement, oui. La loi LOPMI impose un dépôt de plainte dans les 72 heures suivant la connaissance du sinistre. Or la « connaissance » dépend de la capacité de l'entreprise à détecter l'incident. Des employés formés au signalement détectent les incidents plus rapidement : ce qui donne plus de marge pour respecter le délai légal. Une entreprise sans culture de signalement peut mettre des semaines à réaliser qu'elle a été compromise, rendant le respect des 72 heures impossible.
Que se passe-t-il si je change d'assureur en cours de programme ?
Le dossier de preuves que vous constituez n'est pas lié à un assureur. Les rapports de simulation, attestations de formation et PSSI sont des documents d'entreprise que vous pouvez présenter à n'importe quel souscripteur. Au contraire, un historique documenté de 12 ou 24 mois de formation continue constitue un avantage lors d'un appel d'offres : il prouve que la démarche est ancrée dans les pratiques de l'entreprise et pas une réaction ponctuelle au questionnaire de souscription. Les courtiers recommandent de conserver les rapports sur au moins 3 ans, ce qui couvre la durée typique d'un contrat d'assurance cyber (renouvellement annuel, mais historique de sinistralité évalué sur 3 ans).
Mon assureur actuel ne me pose aucune question sur la formation. Dois-je quand même m'en préoccuper ?
Oui, pour deux raisons. La première est que le marché évolue rapidement : les questionnaires de souscription se durcissent d'année en année, et un assureur qui ne pose pas la question aujourd'hui la posera probablement au prochain renouvellement. Vous serez alors en meilleure position si vous avez déjà un historique de formation documenté. La deuxième raison est que l'absence de question ne signifie pas l'absence d'exigence. Les conditions générales de votre contrat contiennent presque certainement une clause de « mesures raisonnables de prévention » ou de « diligence de l'assuré ». En cas de sinistre, l'assureur peut invoquer cette clause même s'il n'a jamais posé de question explicite sur la formation lors de la souscription. Mieux vaut documenter votre programme maintenant que de découvrir cette clause le jour du sinistre.
Comment présenter le dossier de formation à mon courtier pour optimiser la négociation ?
Le courtier est votre allié dans la négociation avec l'assureur. Pour maximiser son efficacité, fournissez-lui un dossier structuré en trois parties. La partie 1 contient la synthèse exécutive : une page résumant le programme (nombre de salariés, fréquence, résultats). La partie 2 contient les preuves opérationnelles : exports de la plateforme de simulation (taux de clic, tendance sur 12 mois), attestations de formation, PSSI datée et signée. La partie 3 contient la gouvernance : nom du responsable du programme, fréquence des reportings à la direction, procédure de réponse à incident. Un courtier qui reçoit un dossier structuré peut le soumettre tel quel à plusieurs assureurs et obtenir des devis concurrentiels en quelques jours. Un courtier qui reçoit un « oui, on fait des trucs » au téléphone ne peut rien optimiser.
Conclusion
Le formulaire de souscription de votre assurance cyber ne pose plus la question « formez-vous vos employés ? » par formalisme. Il la pose parce que la réponse détermine votre niveau de risque, votre prime, votre franchise et, en cas de sinistre, votre droit à l'indemnisation.
Les données sont convergentes : le marché de l'assurance cyber en France se durcit sur le volet humain (AMRAE LUCY 2025), le phishing reste le vecteur n°1 (CESIN 2026, 60 % des attaques), les sinistres PME explosent (+353 % en 2024), et les assureurs refusent de plus en plus les entreprises qui ne documentent pas leur programme de prévention.
La bonne nouvelle : un programme de sensibilisation complet, formation e-learning, simulations de phishing, tableau de bord, rapports exportables, se met en place en 90 jours et coûte entre 2 et 5 euros par employé par mois. C'est moins cher que la surprime d'assurance que vous payez en son absence. Et infiniment moins cher qu'un sinistre refusé.
N'attendez pas votre prochain renouvellement pour découvrir que votre assureur exige des preuves. Constituez votre dossier maintenant.
Constituer mes preuves de formation | Lire le guide simulation de phishing