Skip to content
Conformité

Assurance cyber et sensibilisation : les exigences des assureurs pour les PME

Les assureurs refusent de plus en plus de couvrir les entreprises qui ne forment pas leurs collaborateurs au phishing. Questionnaires de souscription, exclusions de garantie, franchises majorées — la sensibilisation est devenue un prérequis d'assurabilité.

13 min de lecture

Pourquoi les assureurs exigent la sensibilisation

Avant 2020, souscrire une assurance cyber était une formalité pour la plupart des PME. Les primes étaient basses, les questionnaires de souscription légers, les exclusions rares. Puis la vague de ransomware a tout changé.

En 2020 et 2021, les sinistres cyber ont explosé. Les attaques de ransomware contre des hôpitaux, des collectivités et des PME ont saturé les capacités des assureurs. Hiscox, l’un des pionniers de l’assurance cyber, a vu son ratio sinistres/primes dépasser 100 % sur certains segments. Les réassureurs — ces assureurs d’assureurs qui portent le risque ultime — ont commencé à sortir du marché ou à imposer des conditions draconiennes. Munich Re, Swiss Re, Lloyd’s of London ont chacun durci leurs exigences pour les risques cyber.

Pour les assureurs, le diagnostic était clair : les entreprises assurées n’avaient pas les mesures de sécurité minimales pour mériter leur couverture. Deux contrôles manquaient systématiquement dans les dossiers sinistres les plus coûteux : l’authentification multi-facteurs (MFA) et la sensibilisation des collaborateurs au phishing. Ces deux mesures sont devenues, en l’espace de trois ans, des conditions non négociables de souscription.

Ce que dit le rapport LUCY de l’AMRAE

L’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) publie chaque année l’étude LUCY (Lumière sur la Cyberassurance), qui fait référence sur le marché français. Les données de la dernière édition confirment ce durcissement :

  • Le marché français de l’assurance cyber représente plus d’un milliard d’euros de primes, avec une croissance soutenue portée par les nouvelles souscriptions
  • Les PME restent sous-assurées par rapport à leur exposition : seulement 12 % des entreprises de moins de 250 salariés disposent d’une couverture cyber spécifique
  • Les assureurs ont massivement élargi leurs questionnaires de souscription après 2021, et la sensibilisation des collaborateurs figure désormais dans les questions systématiques

Pour une PME française, cette évolution du marché crée une nouvelle réalité : sans programme de sensibilisation documenté, obtenir une couverture décente — ou la maintenir lors d’un renouvellement — devient difficile.

MFA et sensibilisation : le binôme des assureurs

Les exigences des assureurs cyber se concentrent sur quelques contrôles à fort impact sur le risque. Le Hiscox Cyber Readiness Report, publié chaque année, identifie les contrôles qui corrèlent le mieux avec la réduction des sinistres. Deux ressortent systématiquement en tête : l’authentification multi-facteurs sur les accès critiques et la sensibilisation régulière des collaborateurs au phishing.

La raison est statistique. Plus de 80 % des incidents cyber débutent par un email de phishing ou un credential compromis. La MFA bloque les credentials volés. La sensibilisation réduit le taux de clics sur les liens malveillants. Ensemble, ces deux contrôles coupent le vecteur d’entrée le plus fréquent à la source. Les assureurs qui ont modélisé leurs données sinistres arrivent à la même conclusion : les assurés qui les ont mis en place coûtent sensiblement moins cher.

Ce que les questionnaires de souscription demandent

Remplir un questionnaire d’assurance cyber pour la première fois est souvent une révélation. Les assureurs ne posent plus des questions vagues sur « votre politique de sécurité ». Ils posent des questions précises sur vos contrôles en place, avec des cases à cocher et des preuves à fournir.

Les questions sur la sensibilisation chez Hiscox, Stoïk et Dattak

Voici les types de questions que vous retrouverez dans les questionnaires de souscription des principaux assureurs cyber qui couvrent les PME françaises :

Hiscox pose des questions directes sur l’existence d’un programme de sensibilisation, sa fréquence (trimestrielle, semestrielle, annuelle) et le format utilisé (vidéo, présentiel, simulation). La question sur les simulations de phishing spécifiquement est présente depuis le questionnaire 2023.

Stoïk, assureur cyber-natif fondé en France, va plus loin. Son questionnaire demande le pourcentage de collaborateurs ayant reçu une formation dans les 12 derniers mois, si des tests de phishing simulé sont réalisés et à quelle fréquence, et si les résultats sont documentés. Stoïk a l’avantage de comprendre techniquement ce qu’il évalue — ses fondateurs ont un background en cybersécurité.

Dattak demande explicitement si des simulations de phishing ont été réalisées au cours des 12 derniers mois, si elles couvrent l’ensemble des collaborateurs ou seulement une partie, et si des actions correctives ont été mises en place après les campagnes.

Ce que nophi.sh répond à chaque question

Chaque question de ces questionnaires a une réponse directe dans la plateforme nophi.sh :

  • « Réalisez-vous des simulations de phishing ? » → Oui, campagnes automatiques configurables
  • « À quelle fréquence ? » → Mensuelle, trimestrielle ou personnalisée selon votre paramétrage
  • « Quel pourcentage de collaborateurs est couvert ? » → Rapport de couverture par département, exportable en PDF
  • « Disposez-vous de relevés documentés des formations ? » → Attestations individuelles et rapport de campagne avec horodatage
  • « Votre programme a-t-il démontré une amélioration du comportement ? » → Graphe d’évolution du taux de clic sur 12 mois, inclus dans le tableau de bord

Le rapport de campagne nophi.sh est conçu pour être joint directement à votre dossier de souscription ou transmis à votre courtier. Il contient les dates de campagne, le périmètre, les taux de clic, les taux de signalement et les attestations de formation — les cinq indicateurs que les questionnaires des assureurs demandent le plus fréquemment.

Le coût de l’assurance cyber pour une PME

L’assurance cyber pour une PME française n’est pas hors de prix. Mais le coût varie considérablement selon le profil de risque de l’entreprise — et la sensibilisation en fait partie.

Fourchettes de primes par taille et secteur

En France, les primes annuelles pour les PME se situent dans ces fourchettes indicatives (chiffres issus des études de marché AMRAE/LUCY et des données de courtiers spécialisés) :

  • 10 à 50 collaborateurs, secteur services : 1 500 à 3 000 euros/an
  • 50 à 150 collaborateurs, secteur commerce : 3 000 à 6 000 euros/an
  • 150 à 500 collaborateurs, secteur industrie : 5 000 à 15 000 euros/an
  • PME financières ou de santé (données sensibles, réglementations spécifiques) : prime multipliée par 1,5 à 2 selon les garanties

Ces fourchettes supposent des garanties de base : frais de remédiation, frais de notification RGPD, responsabilité civile cyber. Les garanties pertes d’exploitation après ransomware et extorsion augmentent sensiblement la prime.

Comment la sensibilisation influe sur la tarification

Les assureurs cyber utilisent des modèles de tarification qui intègrent les contrôles de sécurité comme variables explicites. L’absence de sensibilisation documentée se traduit concrètement par :

  • Un coefficient de majoration appliqué à la prime de base (de 10 à 30 % selon l’assureur)
  • Une franchise plus élevée sur les sinistres impliquant une compromission par phishing
  • Dans certains cas, une limitation des garanties pertes d’exploitation

À l’inverse, un programme de sensibilisation actif avec métriques documentées permet de négocier. Stoïk l’a formalisé : leur modèle de tarification intègre explicitement la maturité cyber de l’assuré. Une PME qui peut montrer un taux de clic sur les simulations en baisse de 40 % à 12 % sur 12 mois présente un profil de risque objectivement différent de celle qui n’a jamais lancé de campagne.

Pour un budget de sensibilisation de 249 euros par mois (plan Pro nophi.sh), l’économie potentielle sur la prime d’assurance cyber peut dépasser le coût annuel de la plateforme dès la première année de renouvellement.

Quand l’assureur refuse de couvrir

Le refus d’indemnisation sur un sinistre cyber est le scénario que chaque dirigeant veut éviter. Pourtant, il se produit. Et le motif le plus courant n’est pas technique : c’est la clause de négligence.

La clause de négligence caractérisée

La plupart des contrats d’assurance cyber contiennent une clause qui exclut les sinistres résultant d’une « négligence caractérisée » de l’assuré. Cette clause est l’équivalent en assurance auto du conducteur ivre : si vous avez clairement ignoré vos obligations de prudence, l’assureur peut refuser de payer.

En cybersécurité, la négligence caractérisée recouvre plusieurs situations. Parmi les plus fréquemment invoquées lors des sinistres ransomware : l’absence de MFA sur des accès critiques exposés sur Internet, l’absence de sauvegardes testées, et — de plus en plus — l’absence de tout programme de sensibilisation alors que l’attaque a débuté par un email de phishing.

Scénario réel : le sinistre partiellement refusé

Une PME industrielle de 80 collaborateurs souscrit une assurance cyber. Le questionnaire de souscription demandait si des formations à la cybersécurité étaient réalisées. La réponse : « Oui, lors de l’onboarding des nouveaux collaborateurs. » Dix-huit mois plus tard, un ransomware chiffre les serveurs de production. L’assureur mandate un expert pour analyser le vecteur d’entrée : un collaborateur a cliqué sur un email de phishing imitant une notification de partage de fichier.

L’expert constate que la formation citée à l’onboarding était une présentation PowerPoint de 20 minutes réalisée deux ans plus tôt, sans aucune mise à jour ni aucun test régulier. Le dernier collaborateur recruté n’en avait jamais bénéficié. L’assureur invoque la clause de négligence et réduit l’indemnisation de 40 %. Le solde de la remédiation — remplacement des serveurs, déchiffrement des données, frais de prestataire cyber — est à la charge de la PME.

Ce scénario se répète. Pas à chaque sinistre, mais assez souvent pour que les courtiers spécialisés en assurance cyber conseillent désormais systématiquement à leurs clients de documenter leur programme de sensibilisation avant la souscription.

La déclaration inexacte : un risque distinct

Au-delà de la négligence, la déclaration inexacte dans le questionnaire de souscription expose l’assuré à une nullité du contrat. Si vous avez coché « des simulations de phishing sont réalisées trimestriellement » pour obtenir une prime attractive, et que l’enquête post-sinistre révèle que ce n’était pas le cas, l’assureur peut aller jusqu’à annuler rétroactivement le contrat. L’indemnisation tombe à zéro.

La règle pratique est simple : ne déclarez que ce que vous pouvez documenter. Et mettez en place ce que vous déclarez.

Comment nophi.sh vous aide à décrocher (et garder) votre couverture

nophi.sh a été conçu pour les PME françaises qui cherchent à protéger leurs collaborateurs contre le phishing. Mais ses rapports répondent aussi directement aux exigences des assureurs cyber.

Les données prêtes pour votre questionnaire de souscription

La plateforme centralise les métriques que les assureurs demandent. À tout moment, vous pouvez exporter :

  • La liste des campagnes réalisées avec dates, périmètre (nombre de collaborateurs ciblés), et scénario utilisé
  • Les taux de clic et de signalement par campagne, avec comparaison à la campagne précédente
  • Le taux de couverture par département et par site — la question « quel pourcentage de vos collaborateurs a été sensibilisé dans les 12 derniers mois ? » a une réponse chiffrée en un clic
  • Les attestations de formation individuelles pour les collaborateurs ayant complété les micro-formations post-simulation

Ces exports PDF sont structurés pour être lisibles par un courtier ou un souscripteur d’assurance. Pas de jargon technique, pas de données brutes : un résumé de votre programme de sensibilisation dans le format attendu.

Le tableau de bord de conformité

Le tableau de bord de conformité nophi.sh donne une vue consolidée de votre programme de sensibilisation : évolution du score de risque, taux de clic global, taux de signalement, couverture des équipes. Ces indicateurs permettent à votre responsable sécurité de suivre la progression et de détecter les groupes qui nécessitent une attention particulière — avant que le questionnaire annuel de renouvellement ne l’exige.

La simulation de phishing continue comme preuve d’engagement

Un programme ponctuel — une formation annuelle, une campagne unique — ne suffit plus. Les assureurs demandent une fréquence minimale (trimestrielle pour la plupart) et une continuité dans le temps. Un programme continu prouve que la sensibilisation n’est pas une case cochée une fois, mais un processus intégré dans votre gestion des risques.

nophi.sh permet de configurer des campagnes automatiques à fréquence fixe. Les collaborateurs reçoivent des simulations régulières, avec des scénarios qui changent pour éviter la reconnaissance. Chaque campagne produit un rapport. Après 12 mois, vous avez un historique documenté de votre programme — exactement ce que demandent les renouvellements chez Hiscox, Stoïk et Dattak.

Le test de sécurité email pour compléter le dossier

Les questionnaires de souscription posent aussi des questions sur la configuration technique de votre messagerie : SPF, DKIM, DMARC. Un domaine sans DMARC en mode « reject » signifie que n’importe qui peut usurper votre identité par email. Les assureurs le savent et le notent. Le test de sécurité email de nophi.sh vérifie ces configurations en 30 secondes et produit un rapport que vous pouvez joindre à votre dossier.

Réduire votre franchise et vos primes

Décrocher une couverture cyber est un premier pas. La gérer dans la durée pour obtenir les meilleures conditions au renouvellement est l’objectif suivant.

Ce que les assureurs regardent au renouvellement

Lors d’un renouvellement, l’assureur ne repart pas de zéro. Il regarde l’évolution de votre profil de risque sur la période écoulée. Deux indicateurs retiennent particulièrement l’attention des souscripteurs cyber :

  • Le taux de clic sur les simulations de phishing : un taux en baisse de 35 % à 10 % sur 12 mois démontre que votre programme fonctionne. Les collaborateurs s’améliorent, le risque humain diminue.
  • Le taux de signalement : la progression du taux de signalement des emails suspects (collaborateurs qui utilisent le bouton de signalement plutôt que de cliquer ou de supprimer) est un indicateur encore plus fort. Cela montre que vos équipes sont passées de passives à actives dans la défense.

Ces deux métriques évoluent naturellement avec un programme de simulation continue. Après trois mois, le taux de clic baisse. Après six mois, le taux de signalement monte. Après un an, vous avez une courbe qui raconte une histoire lisible par n’importe quel souscripteur d’assurance.

La négociation avec votre courtier

Votre courtier est votre intermédiaire avec l’assureur. Plus vous lui fournissez de données, plus il peut défendre un tarif favorable. Un dossier de renouvellement qui contient :

  • L’historique des 4 campagnes trimestrielles de l’année écoulée
  • La progression du taux de clic (35 % → 12 % → 8 % → 6 %)
  • La couverture de l’ensemble des collaborateurs documentée
  • Les attestations de formation pour les 100 % de l’effectif

…est un dossier qui change la négociation. Ce n’est plus « nous avons une politique de sécurité » — c’est « voici les preuves chiffrées que notre programme réduit le risque ».

Certains courtiers spécialisés en assurance cyber pour PME — notamment ceux qui travaillent avec Stoïk ou Dattak — ont formalisé cette démarche. Ils demandent à leurs clients de fournir les rapports de simulation de phishing avant le renouvellement pour présenter le meilleur dossier possible.

Les actions complémentaires qui complètent le tableau

La sensibilisation est le levier humain. D’autres mesures techniques complètent le dossier et réduisent encore le profil de risque :

  • Sauvegardes testées et externalisées : les assureurs demandent systématiquement si vous avez des sauvegardes hors ligne ou hors réseau, et si elles sont testées régulièrement
  • MFA sur les accès email et VPN : sans MFA, les questionnaires de souscription signalent un risque élevé que la plupart des assureurs tarifieront en conséquence
  • Politique de gestion des mots de passe : gestionnaire de mots de passe d’entreprise ou politique de complexité enforced

Sur l’axe humain, nophi.sh couvre la sensibilisation au phishing, au smishing et à l’ingénierie sociale, avec des formations contextuelles et des métriques documentées. C’est le volet qui manquait à la plupart des PME qui s’interrogeaient sur leur refus de couverture ou leur prime élevée.

Prêt à préparer votre dossier d’assurance cyber ? Testez gratuitement la sécurité email de votre domaine en 30 secondes, puis lancez votre première simulation de phishing — essai gratuit 14 jours, aucune configuration réseau requise.

Sources : AMRAE — Étude LUCY sur la cyberassurance, Hiscox Cyber Readiness Report 2024, ANSSI — Panorama de la cybermenace 2024. Les fourchettes de primes sont indicatives et varient selon les garanties, le secteur et le profil de risque spécifique de chaque entreprise. Les informations sur les questionnaires de souscription sont basées sur les versions publiquement disponibles en avril 2026 et peuvent avoir évolué.

Questions fréquentes

Est-ce qu'une assurance cyber est obligatoire pour les PME françaises ?

Non, l'assurance cyber n'est pas légalement obligatoire en France pour les PME. Mais certaines réglementations sectorielles (DORA pour la finance, NIS2 pour les entités essentielles et importantes) imposent des niveaux de résilience qui rendent la couverture cyber quasi obligatoire en pratique. Par ailleurs, de nombreux donneurs d'ordre, clients grands comptes et appels d'offres publics demandent maintenant une attestation d'assurance cyber à leurs fournisseurs.

Combien coûte une assurance cyber pour une PME de 50 à 200 collaborateurs ?

En France, les primes annuelles pour une PME de 50 à 200 collaborateurs se situent entre 1 500 et 8 000 euros selon le secteur d'activité, le chiffre d'affaires, la maturité de sécurité et les garanties souscrites. Les PME qui peuvent prouver un programme de sensibilisation actif — simulations de phishing régulières, taux de clic documenté en baisse — obtiennent des conditions plus favorables. Le rapport LUCY 2024 de l'AMRAE indique que les entreprises avec des contrôles de sécurité documentés paient des primes sensiblement inférieures à leurs pairs.

Quels documents faut-il préparer pour un questionnaire d'assurance cyber ?

Les questionnaires de souscription des assureurs cyber (Hiscox, Stoïk, Dattak, AXA, Allianz) demandent généralement : la liste des mesures de sécurité en place (MFA, antivirus, sauvegardes), la preuve d'un programme de sensibilisation avec fréquence et taux de participation, la documentation des politiques de sécurité, les résultats des derniers tests de sécurité, et la description du plan de réponse aux incidents. nophi.sh génère automatiquement les rapports de campagne, le taux de clic par département et les attestations de formation — exactement ce que les questionnaires demandent.

L'assureur peut-il refuser d'indemniser si mes collaborateurs n'étaient pas formés ?

Oui. La clause de négligence caractérisée est présente dans la plupart des contrats d'assurance cyber. Si un incident de ransomware se produit et que l'assureur constate l'absence totale de sensibilisation des collaborateurs, il peut invoquer cette clause pour réduire ou refuser l'indemnisation. Plusieurs cas récents en France impliquent des sinistres partiellement refusés au motif que la victime n'avait pas mis en place les mesures de précaution déclarées à la souscription — notamment le programme de sensibilisation au phishing.

La sensibilisation au phishing réduit-elle vraiment la prime d'assurance ?

Les assureurs cyber utilisent des modèles actuariels qui intègrent les contrôles de sécurité comme variables de tarification. Un programme de sensibilisation actif, avec des métriques documentées (taux de clic en baisse, taux de signalement en hausse, couverture de 100 % des collaborateurs), réduit le profil de risque de l'assuré et peut se traduire par une réduction de prime de 10 à 30 % selon l'assureur. Stoïk, qui est aussi un assureur cyber-natif, a documenté cette corrélation dans ses analyses de portefeuille.

Quelle fréquence de simulation de phishing satisfait les questionnaires d'assureurs ?

La plupart des questionnaires de souscription demandent des simulations trimestrielles au minimum, certains demandent mensuelles. La question porte sur la fréquence et le pourcentage de collaborateurs couverts. nophi.sh permet de configurer des campagnes automatiques à la fréquence souhaitée et génère un rapport de couverture par département, format directement utilisable pour répondre au questionnaire de souscription.

nophi.sh fournit-il une attestation utilisable pour le dossier d'assurance ?

Oui. La plateforme génère des rapports exportables en PDF couvrant : la liste des campagnes de simulation réalisées avec dates et périmètre, les taux de clic et de signalement par campagne et par département, les attestations de formation pour les collaborateurs ayant suivi les micro-formations, et l'évolution du score de risque sur 12 mois. Ces documents répondent directement aux questions des questionnaires Hiscox, Stoïk et Dattak sur la preuve de sensibilisation.

Commencez votre mise en conformité

Testez gratuitement la sécurité email de votre domaine et découvrez comment nophi.sh génère automatiquement vos rapports de conformité.

Tester mon domaine Toutes les conformités