AccueilComprendreAssurance cyber PME
Guide pédagogique

Qu’est-ce que la cyber assurance pour les PME ?

Une cyberattaque peut paralyser une entreprise en quelques heures. Pourtant, la plupart des PME françaises ne savent pas ce que couvre — ou ne couvre pas — une assurance cyber. Ce guide répond aux vraies questions, sans jargon.

Lecture : 8 min Mis à jour 2025

Pourquoi les PME sont la cible préférée des hackers

On imagine souvent que les cybercriminels s’attaquent en priorité aux grandes entreprises, aux banques ou aux hôpitaux. C’est en partie vrai — mais les PME représentent aujourd’hui la majorité des victimes de cyberattaques en France. La raison est simple : elles concentrent des données de valeur (données clients, coordonnées bancaires, fichiers comptables) tout en étant beaucoup moins protégées que les grands groupes.

Un hacker qui cible une PME sait qu’il n’y a généralement pas de DSI, pas d’équipe dédiée à la sécurité informatique, et souvent des logiciels non mis à jour. C’est ce qu’on appelle dans le métier une cible à faible résistance et valeur suffisante — exactement ce que recherchent les attaquants opportunistes.

Le chiffre à retenir

En France, plus de 60 % des cyberattaques déclarées visent des entreprises de moins de 250 salariés, selon les rapports annuels de l’ANSSI. La taille ne protège pas — elle rassure, à tort.

Ce qu’une cyberattaque coûte concrètement à une PME

Avant de parler d’assurance, il faut comprendre ce qu’on cherche à couvrir. Une cyberattaque n’est pas un simple incident informatique — c’est une crise qui touche simultanément plusieurs dimensions de l’entreprise.

Type de coût Ce que ça représente concrètement Montant estimé (PME 20 salariés)
Interruption d’activité Impossibilité de facturer, de livrer, de communiquer 5 000 à 50 000 €
Remédiation technique Prestataire informatique, récupération de données 3 000 à 30 000 €
Rançon Si ransomware et paiement envisagé 10 000 à 200 000 €
Notification RGPD Information des clients, déclaration CNIL, frais juridiques 2 000 à 15 000 €
Atteinte à la réputation Perte de clients, communication de crise Difficile à chiffrer

En cumulant ces postes, une attaque de moyenne intensité sur une PME peut facilement dépasser les 80 000 à 150 000 euros de coût total — une somme qui met en danger la pérennité de beaucoup d’entreprises de taille modeste.

Qu’est-ce que l’assurance cyber couvre vraiment ?

L’assurance cyber est un contrat qui prend en charge tout ou partie des conséquences financières d’une cyberattaque. Elle ne prévient pas l’attaque — elle aide à en absorber le choc. Un bon contrat couvre généralement quatre grandes familles de garanties.

1. Les pertes directes liées à l’incident

C’est la partie la plus immédiate : remboursement des frais de récupération de données, de restauration des systèmes, de remplacement du matériel endommagé. Certains contrats incluent aussi la prise en charge de la rançon en cas de ransomware, bien que cette option fasse débat.

2. La perte d’exploitation

Si votre activité est paralysée pendant 3, 5 ou 10 jours, vous continuez à payer vos charges (salaires, loyers, fournisseurs) sans encaisser de chiffre d’affaires. L’assurance cyber peut compenser cette perte de revenu, sous réserve du respect d’un délai de carence défini au contrat.

3. La responsabilité civile

Si des données de vos clients, partenaires ou fournisseurs ont été volées ou compromises lors de l’attaque, vous êtes potentiellement responsable des préjudices subis. L’assurance cyber couvre les frais de défense et les éventuelles indemnités à verser.

4. L’assistance en gestion de crise

Les meilleurs contrats incluent une assistance opérationnelle : un numéro d’urgence disponible 24h/24, un prestataire technique mandaté pour intervenir, un juriste pour la déclaration CNIL, parfois un expert en communication de crise. C’est souvent la partie la plus précieuse, surtout pour une PME sans ressources internes.

Ce qu’elle ne couvre pas — les angles morts à connaître

La lecture des exclusions d’un contrat cyber est aussi importante que celle des garanties. Les polices standard comportent des zones de non-couverture qui peuvent surprendre au moment du sinistre.

Attention aux exclusions fréquentes

Les systèmes non maintenus à jour : si votre attaque est rendue possible par une faille connue sur un logiciel non mis à jour, l’assureur peut invoquer un défaut de précaution élémentaire pour réduire ou refuser l’indemnisation.

Les attaques d’États souverains : la plupart des contrats excluent les cyberattaques attribuées à des États (la clause dite « war exclusion » adaptée au cyber). Une limite qui reste théorique pour la plupart des PME.

Le préjudice immatériel pur : certains contrats ne couvrent pas la perte de valeur d’une base de données ou d’un fichier clients — uniquement les coûts de reconstruction, pas la perte de la donnée elle-même.

La règle d’or : ne jamais signer un contrat sans avoir posé explicitement la question « que se passe-t-il si mon logiciel comptable n’était pas à jour ? » ou « que couvrez-vous en cas d’erreur humaine de mon côté ? » Les réponses varient beaucoup d’un assureur à l’autre.

Comment fonctionne la déclaration d’un sinistre cyber ?

L’une des différences majeures entre l’assurance cyber et une assurance classique, c’est la vitesse d’action. En cas de cyberattaque, chaque heure compte. Les contrats sérieux prévoient une déclaration dans les 24 à 72 heures suivant la détection de l’incident.

En pratique, voici ce que vous faites :

  1. Vous contactez le numéro d’urgence indiqué dans votre contrat — souvent disponible 7j/7 24h/24.
  2. Un expert technique est mandaté pour évaluer la situation et commencer la remédiation.
  3. Un interlocuteur juridique vous accompagne pour la déclaration CNIL si des données personnelles ont été compromises (délai légal de 72h).
  4. La déclaration formelle de sinistre est constituée avec l’aide de l’assureur ou du courtier.
  5. L’indemnisation intervient après expertise, selon les délais prévus au contrat.

La qualité de la cellule de crise disponible 24h/24 est souvent le critère le plus différenciant entre les offres — plus encore que le montant des plafonds de garantie.

Les questions que se posent les dirigeants de PME

Mon assurance multirisque professionnelle (MRP) ne suffit-elle pas ?

Non. Une MRP standard couvre les dommages matériels, la responsabilité civile et les pertes d’exploitation liées à des sinistres physiques (incendie, dégât des eaux…). Elle n’a pas été conçue pour couvrir les cyberattaques. Certains assureurs proposent des extensions cyber limitées sur leur MRP, mais elles sont généralement très insuffisantes pour couvrir un incident sérieux.

Quel est le prix d’une assurance cyber pour une PME ?

Les tarifs varient selon votre secteur d’activité, votre chiffre d’affaires et votre niveau de maturité en sécurité informatique. Pour une PME de 10 à 50 salariés dans un secteur standard, les primes annuelles se situent généralement entre 1 500 et 8 000 euros par an. Notre guide dédié au choix d’une assurance cyber détaille les fourchettes par taille d’entreprise.

L’assurance cyber oblige-t-elle à mettre en place des mesures de sécurité ?

Oui, de plus en plus. La plupart des assureurs exigent désormais un niveau minimal de précautions : antivirus à jour, sauvegardes régulières, authentification à double facteur pour les accès distants. Ces exigences varient selon les contrats — certains procèdent même à un audit de sécurité avant souscription pour les entreprises d’une certaine taille.

Faut-il passer par un courtier ou directement par un assureur ?

Pour une PME, passer par un courtier spécialisé en risques cyber est généralement conseillé. Le courtier compare les offres du marché, vous aide à définir vos besoins réels et peut négocier des conditions adaptées à votre secteur. Il joue également un rôle important en cas de sinistre, en défendant vos intérêts face à l’assureur.

Peut-on souscrire une assurance cyber après avoir déjà subi une attaque ?

Techniquement oui, mais les conditions sont souvent défavorables. Un historique de sinistre cyber récent entraîne généralement une prime plus élevée, des garanties réduites ou un délai de carence plus long. L’idéal est toujours de souscrire avant un incident — c’est le principe même de l’assurance.

🔬 Demain : le risque quantique

Les menaces cyber évoluent. Dans les prochaines années, l’informatique quantique va rendre obsolètes les méthodes de chiffrement actuellement utilisées pour protéger vos données — SSL, RSA et autres protocoles répandus. Les PME qui anticipent ce changement dès aujourd’hui auront une longueur d’avance décisive.

Ce sujet encore méconnu en France est au cœur de l’approche de CyberPilot. Pour comprendre ce qui va changer et ce que vous pouvez faire maintenant : notre guide sur la cryptographie quantique pour les PME.

Votre secteur a des risques spécifiques

Expert-comptable, BTP, profession de santé — chaque métier a ses vulnérabilités propres. Découvrez le guide adapté à votre activité.

Voir les guides par secteur →