AccueilComprendreChoisir son assurance cyber
Guide pratique

Choisir son assurance cyber PME : le guide complet 2026

Tous les contrats d’assurance cyber ne se valent pas. Plafonds insuffisants, exclusions cachées, délais de carence trop longs — les différences sont significatives. Ce guide vous donne les critères concrets pour comparer sans vous tromper.

Lecture : 9 min Mis à jour 2026

Les 5 garanties indispensables dans un contrat cyber

Avant de comparer les prix, il faut s’assurer que le contrat couvre les risques qui comptent vraiment pour votre entreprise. Voici les cinq garanties à vérifier en priorité, dans l’ordre de leur importance pour une PME.

Garantie Ce qu’elle couvre Criticité
Perte d’exploitation Compensation du CA perdu pendant l’arrêt d’activité dû à l’attaque Indispensable
Remédiation technique Frais du prestataire informatique mandaté pour restaurer vos systèmes Indispensable
Assistance RGPD Accompagnement notification CNIL, frais juridiques, information des personnes concernées Indispensable
Responsabilité civile cyber Indemnisation des tiers (clients, partenaires) dont les données ont été exposées Indispensable
Cellule de crise 24h/24 Numéro d’urgence joignable immédiatement, expert mandaté en quelques heures Indispensable
Fraude au virement Remboursement en cas de virement frauduleux suite à usurpation d’identité par email Selon secteur
Prise en charge de la rançon Remboursement partiel ou total de la rançon en cas de ransomware À évaluer
La garantie la plus souvent sous-estimée

La cellule de crise 24h/24 est souvent la garantie la plus précieuse en pratique. En cas d’attaque, vous n’avez pas le temps d’attendre les heures ouvrées pour trouver un prestataire. Un assureur qui mandate un expert en moins de 2 heures limite considérablement les dégâts. Demandez le délai d’intervention garanti par contrat.

Les exclusions cachées à repérer avant de signer

Les exclusions sont la partie du contrat que personne ne lit — jusqu’au jour du sinistre. Voici celles qui surprennent le plus les PME au mauvais moment.

  • Systèmes non maintenus à jour — si l’attaque exploite une faille connue sur un logiciel non mis à jour, certains assureurs peuvent invoquer un défaut de précaution élémentaire. Vérifiez exactement comment cette clause est formulée dans votre contrat.
  • Absence de double authentification — de plus en plus de contrats exigent la double authentification sur les accès cloud. Sans elle, la garantie peut être réduite ou refusée en cas de vol d’identifiants.
  • Données traitées pour le compte de tiers — critique pour les prestataires de services (cabinets comptables, agences, sous-traitants). Certains contrats excluent les données qui ne sont pas « les vôtres ». Pour les experts-comptables notamment, c’est rédhibitoire.
  • Erreur humaine volontaire — les actes malveillants d’un salarié sont souvent exclus. Les négligences involontaires (cliquer sur un phishing) sont généralement couvertes, mais la frontière peut être floue.
  • Guerre et cyberattaques d’États — la clause « war exclusion » adaptée au cyber fait débat juridiquement. Dans la pratique, peu de PME sont ciblées par des États, mais la formulation contractuelle mérite d’être lue.
  • Sinistres antérieurs non déclarés — si vous avez subi un incident avant la souscription sans le savoir ou sans le déclarer, l’assureur peut refuser une indemnisation sur des dommages liés à cet incident latent.

Comment évaluer le plafond de garantie adapté à votre taille

Le plafond de garantie est le montant maximum que l’assureur versera en cas de sinistre. C’est l’un des critères les plus importants — et l’un des plus mal calibrés dans les offres d’entrée de gamme.

Calculer votre plafond minimum

Une règle simple : votre plafond de perte d’exploitation doit couvrir au minimum 3 à 4 semaines de chiffre d’affaires. C’est la durée moyenne d’arrêt d’activité constatée après un ransomware sur une PME. Si votre CA mensuel est de 80 000 €, un plafond global de 50 000 € est insuffisant.

Ajoutez à cela une estimation des frais de remédiation technique (généralement 5 000 à 30 000 € selon la taille de l’entreprise) et des frais juridiques RGPD (2 000 à 15 000 €). Votre plafond minimum se dessine.

Plafond par sinistre vs plafond annuel

Certains contrats affichent un plafond annuel élevé mais un plafond par sinistre beaucoup plus bas. Si votre contrat prévoit 500 000 € annuels mais 100 000 € par sinistre, c’est le second qui s’applique en cas d’attaque. Vérifiez les deux montants.

Franchise et délai de carence : ce que ça change concrètement

La franchise

La franchise est la part du sinistre qui reste à votre charge. Une franchise de 2 000 € sur un sinistre de 50 000 € est négligeable. Une franchise de 10 000 € sur un sinistre de 15 000 € est très significative. En règle générale, une franchise élevée permet de réduire la prime — mais elle peut rendre l’assurance quasi-inutile pour les petits sinistres.

Le délai de carence

Le délai de carence est la période d’arrêt d’activité non couverte au début du sinistre. Un délai de carence de 8 heures signifie que les 8 premières heures d’interruption sont à votre charge. Pour une PME qui génère 2 000 € par jour, c’est environ 1 000 € non couverts. Pour une entreprise à 10 000 € par jour, c’est 5 000 €.

Les délais de carence varient de 4 heures à 48 heures selon les contrats. C’est un critère de comparaison souvent négligé.

Les questions à poser à votre courtier ou assureur

Ne signez jamais un contrat cyber sans avoir obtenu des réponses écrites à ces questions.

1
Que se passe-t-il si mon logiciel n’était pas à jour au moment de l’attaque ? La garantie est-elle maintenue intégralement ?
2
La fraude au virement par email est-elle couverte ? Pas uniquement les attaques informatiques directes — mais bien l’usurpation d’identité par courriel.
3
Quel est le délai d’intervention garanti de votre cellule de crise ? 2h ou 24h — la différence est énorme en situation réelle.
4
Quel est le plafond par sinistre (pas seulement le plafond annuel) ?
5
Les données que je traite pour le compte de mes clients sont-elles couvertes au même titre que mes propres données ?
6
Les frais de notification CNIL et d’information des personnes sont-ils inclus, et à hauteur de combien ?
7
Votre contrat prévoit-il une évolution des garanties face aux nouvelles typologies d’attaques, notamment les risques liés à l’informatique quantique ?

Faire appel à un comparateur : ce qu’il faut savoir

Les comparateurs en ligne d’assurance cyber se sont multipliés. Ils peuvent être utiles pour avoir une première idée des fourchettes de prix — mais ils ont des limites importantes à connaître.

Ce qu’un comparateur fait bien

Donner rapidement une fourchette de prix par taille d’entreprise et secteur. Identifier les assureurs présents sur le marché. Obtenir un premier devis sans engagement.

Ce qu’un comparateur ne fait pas

Analyser les exclusions spécifiques de chaque contrat. Adapter les garanties à votre situation réelle. Négocier les conditions en fonction de vos pratiques de sécurité. Vous accompagner en cas de sinistre.

Courtier vs comparateur : notre recommandation

Pour une PME, passer par un courtier spécialisé en risques d’entreprise est généralement plus avantageux qu’une souscription directe via comparateur. Le courtier compare les offres du marché, adapte les garanties à votre secteur, peut négocier les conditions — et surtout, il défend vos intérêts face à l’assureur en cas de sinistre. Son coût est généralement inclus dans la prime.

Questions fréquentes

Peut-on souscrire une assurance cyber après avoir subi une attaque ?

Techniquement oui, mais les conditions sont défavorables. Un historique de sinistre cyber récent entraîne généralement une prime plus élevée, des garanties réduites ou un délai de carence plus long. L’idéal est toujours de souscrire avant un incident — c’est le principe même de l’assurance.

Comment réduire le prix de sa prime d’assurance cyber ?

Les assureurs évaluent votre niveau de maturité en sécurité lors de la souscription. Trois éléments permettent généralement de réduire la prime de 15 à 30% : activer la double authentification sur vos outils cloud, mettre en place des sauvegardes testées régulièrement hors réseau, et former vos équipes au phishing au moins une fois par an. Ces pratiques sont documentées et présentées à l’assureur.

Une assurance cyber est-elle adaptée à une très petite entreprise (1 à 3 personnes) ?

Oui, des offres existent dès 300 à 500 € par an pour les micro-entreprises et auto-entrepreneurs. La question est surtout de bien calibrer les garanties : inutile de payer pour un plafond de 2 millions d’euros si votre CA annuel est de 80 000 €. Une couverture ciblée fraude au virement + perte d’exploitation + cellule de crise peut suffire pour commencer.

Mon assureur actuel peut-il ajouter une extension cyber à mon contrat existant ?

Certains assureurs proposent des extensions cyber sur les contrats MRP ou RC Pro existants. Ces extensions sont généralement moins complètes qu’un contrat dédié — plafonds plus bas, exclusions plus nombreuses, pas de cellule de crise intégrée. Elles peuvent convenir pour une très petite structure avec une exposition limitée, mais sont insuffisantes pour une PME avec des données sensibles ou une dépendance forte aux outils numériques.

🔬 Un critère à ajouter : l’évolutivité face au quantique

Les contrats cyber d’aujourd’hui ne couvrent pas encore les risques quantiques — les attaques quantiques n’existent pas encore à l’échelle commerciale. Mais dans quelques années, les chiffrements actuels seront rendus obsolètes et de nouvelles typologies d’attaques apparaîtront.

Un contrat avec une clause d’évolution des garanties face aux nouvelles menaces sera plus pérenne. Posez la question à votre courtier dès maintenant. Comprendre la menace quantique →

Vous voulez comprendre les menaces avant de choisir ?

Ransomware, phishing, fraude au virement — les 6 cyberattaques les plus fréquentes contre les PME françaises.

Voir les 6 menaces →