Les PME concentrent 43 % des cyberattaques recensées en France selon le rapport 2025 de l’ANSSI. Seules 18 % d’entre elles disposent d’une couverture cyber dédiée. La directive européenne NIS 2, transposée en droit français par la loi du 30 mars 2025, impose désormais des obligations de sécurité renforcées à plus de 15 000 entités supplémentaires, dont une majorité de PME et d’ETI. La conformité est devenue un prérequis pour souscrire un contrat aux conditions du marché.
Une cyber-assurance PME couvre les frais de gestion de crise, les pertes d’exploitation, la responsabilité civile envers les tiers et les coûts de cyber-extorsion. En 2026, comptez entre 800 et 4 500 euros de cotisation annuelle pour une PME de moins de 5 millions d’euros de chiffre d’affaires, sous réserve d’avoir mis en place les mesures de sécurité exigées par les assureurs.
Nous détaillons dans cet exposé les obligations réglementaires applicables en 2026, les garanties indispensables, les tarifs constatés sur le marché ainsi que les critères pour choisir un contrat réellement adapté à votre structure.
Sommaire
- 1 Pourquoi les PME sont devenues la cible prioritaire des cybercriminels
- 2 Cyber-assurance et nouvelles obligations légales en 2026
- 3 Quelles garanties contient une cyber-assurance pour PME ?
- 4 Combien coûte une cyber-assurance PME en 2026 ?
- 5 Quels prérequis techniques pour être éligible ?
- 6 Comment choisir le bon contrat cyber pour votre PME
- 7 Cas concret : PME industrielle victime d’un ransomware
- 8 Cyber-assurance et autres garanties professionnelles : quelle articulation ?
- 9 FAQ cyber-assurance PME
- 9.1 La cyber-assurance est-elle obligatoire pour une PME en 2026 ?
- 9.2 Que se passe-t-il si je paie une rançon sans prévenir mon assureur ?
- 9.3 Mon contrat multirisque inclut déjà une garantie cyber, est-ce suffisant ?
- 9.4 Combien de temps faut-il pour souscrire une cyber-assurance PME ?
- 9.5 L’assureur peut-il résilier le contrat après un sinistre ?
- 9.6 Les sanctions CNIL liées à un piratage sont-elles couvertes ?
Pourquoi les PME sont devenues la cible prioritaire des cybercriminels
Les attaques visant les TPE et PME ont progressé de 30 % entre 2024 et 2025, avec un coût moyen par incident estimé entre 50 000 et 300 000 euros pour les structures de moins de 250 salariés. Les attaquants ciblent prioritairement ces entreprises pour deux raisons : leurs budgets de cybersécurité restent inférieurs à 1 % du chiffre d’affaires en moyenne et elles servent souvent de porte d’entrée vers leurs clients ou donneurs d’ordres via la chaîne de sous-traitance.
Les vecteurs d’attaque les plus fréquents restent le ransomware (45 % des incidents déclarés), le phishing avec compromission de messagerie (28 %) et la fraude au président (12 %). Une PME victime d’un chiffrement de ses serveurs subit en moyenne 21 jours d’interruption d’activité partielle ou totale, selon le panorama 2025 du Cesin. À noter que près d’une PME sur deux ferme dans les 18 mois suivant une cyberattaque majeure non assurée.
Les sous-traitants des opérateurs essentiels et importants (au sens de NIS 2) sont désormais tenus de démontrer un niveau de sécurité minimal à leurs donneurs d’ordres. Sans cyber-assurance et sans plan de sécurité documenté, vous risquez de perdre vos contrats B2B en 2026.
Cyber-assurance et nouvelles obligations légales en 2026
Trois textes structurent le cadre juridique applicable aux PME en matière de cybersécurité : la directive NIS 2, la loi LOPMI et le RGPD. Leur articulation conditionne directement votre éligibilité aux contrats du marché.
La directive NIS 2 et sa transposition française
Adoptée le 14 décembre 2022 et transposée par la loi du 30 mars 2025, NIS 2 étend les obligations de cybersécurité à 18 secteurs d’activité (énergie, transport, santé, alimentation, fournisseurs numériques, fabrication, services postaux, etc.) et à deux catégories d’entités : les entités essentielles (plus de 250 salariés) et les entités importantes (entre 50 et 250 salariés ou 10 à 50 millions d’euros de CA). Concrètement, une PME industrielle de 80 salariés dans l’agroalimentaire est désormais soumise à NIS 2, contrairement à NIS 1.
Les obligations couvrent la gestion des risques, la notification des incidents significatifs sous 24 heures à l’ANSSI, la sécurisation de la chaîne d’approvisionnement et la responsabilisation des dirigeants. Les sanctions atteignent 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles et 7 millions d’euros ou 1,4 % pour les entités importantes.
La loi LOPMI : le dépôt de plainte sous 72 heures
Depuis le 24 avril 2023, l’article L. 12-10-1 du Code des assurances issu de la loi LOPMI subordonne le versement de toute indemnité cyber au dépôt d’une plainte pénale dans les 72 heures suivant la découverte de l’attaque. Cette obligation s’applique à toutes les entreprises et concerne tous les contrats incluant une garantie cyber, qu’il s’agisse d’un contrat dédié ou d’une extension de garantie au sein d’une assurance multirisque professionnelle.
RGPD et notification CNIL
En cas de violation de données personnelles, le RGPD impose une notification à la CNIL sous 72 heures et, si le risque est élevé, une information individuelle des personnes concernées. Les frais de notification sont généralement couverts par les contrats cyber, à condition que la procédure ait été respectée dans les délais.
Quelles garanties contient une cyber-assurance pour PME ?
Un contrat cyber sérieux s’organise autour de cinq piliers de garanties. Nous vous conseillons de vérifier la présence de chacun avant toute signature, car certains contrats d’entrée de gamme excluent la responsabilité civile ou plafonnent dangereusement la perte d’exploitation.
Frais de gestion de crise et expertise forensique
Cette garantie prend en charge l’intervention d’experts en réponse à incident (CSIRT privé), l’analyse forensique pour comprendre l’origine et l’étendue de l’attaque ainsi que les frais juridiques associés. Comptez entre 800 et 1 500 euros HT par jour pour un consultant senior, avec une mission moyenne de 5 à 12 jours pour une PME.
Pertes d’exploitation consécutives à une attaque
Couvre la marge brute perdue pendant la période d’interruption ou de dégradation de l’activité ainsi que les frais supplémentaires d’exploitation (location de matériel, recours à un prestataire de secours). La période d’indemnisation varie de 90 à 365 jours selon les contrats. La franchise temporelle est généralement de 12 à 24 heures.
Responsabilité civile cyber
Indemnise les tiers victimes d’un incident dont votre entreprise est à l’origine : clients dont les données ont fuité, partenaires impactés par une attaque par rebond, sanctions réglementaires (CNIL, AMF). Cette garantie est essentielle pour toute PME qui collecte ou traite des données personnelles ou qui développe des produits ou services numériques. Pour les e-commerçants elle complète utilement une assurance RC Pro e-commerce.
Cyber-extorsion et rançongiciel
Couvre les frais de négociation avec les attaquants, l’expertise pour évaluer la légitimité de la menace et dans certains cas le paiement de la rançon (sous réserve qu’aucune sanction internationale ne s’applique au groupe attaquant). Le paiement de rançon reste une pratique strictement encadrée depuis l’entrée en vigueur de la LOPMI.
Assistance 24 heures sur 24 et remédiation
Une hotline dédiée, joignable 24 heures sur 24 et 7 jours sur 7, est aujourd’hui un standard de marché. Elle déclenche en quelques heures l’intervention d’une équipe pluridisciplinaire (technique, juridique, communication de crise). La phase de remédiation couvre la reconstruction des systèmes, la restauration des données à partir des sauvegardes et le retour en condition opérationnelle.
Combien coûte une cyber-assurance PME en 2026 ?
Le marché de la cyber-assurance s’est stabilisé après la flambée tarifaire de 2022-2023. Les capacités se sont reconstituées et les primes ont retrouvé une trajectoire plus mesurée, conditionnée à la maturité cyber de l’entreprise. Voici les fourchettes constatées pour 2026 :
| Chiffre d’affaires | Cotisation annuelle | Plafond garanti | Franchise type |
|---|---|---|---|
| Moins de 1 M€ | 800 à 1 800 € | 250 000 € | 2 500 € |
| 1 à 5 M€ | 1 800 à 4 500 € | 500 000 € à 1 M€ | 5 000 à 10 000 € |
| 5 à 20 M€ | 4 500 à 12 000 € | 1 à 3 M€ | 10 000 à 25 000 € |
| 20 à 50 M€ | 12 000 à 35 000 € | 3 à 10 M€ | 25 000 à 50 000 € |
Plusieurs facteurs entrent en jeu dans le calcul de la prime : le secteur d’activité (la santé et la finance subissent une majoration de 30 à 60 %), le volume de données personnelles traitées, le niveau de dépendance aux systèmes d’information, l’historique de sinistralité et surtout la maturité cybersécurité mesurée lors du questionnaire de souscription.
Quels prérequis techniques pour être éligible ?
Aucun assureur sérieux n’accepte aujourd’hui de couvrir une PME qui ne respecte pas un socle minimal de sécurité. Le questionnaire de souscription, généralement composé de 40 à 80 questions, conditionne l’acceptation et le tarif. Les exigences les plus fréquentes en 2026 portent sur :
- l’authentification multi-facteurs (MFA) sur l’ensemble des accès distants, comptes administrateurs et messagerie
- les sauvegardes régulières avec une copie hors-ligne ou immuable, testées au moins deux fois par an
- une solution EDR ou XDR sur les postes et serveurs (les antivirus traditionnels ne suffisent plus)
- un plan de continuité et de reprise d’activité documenté
- la formation régulière des collaborateurs aux risques de phishing
- la gestion des correctifs de sécurité (patch management) avec un délai maximal de 30 jours pour les vulnérabilités critiques
Une déclaration mensongère ou approximative dans le questionnaire de souscription entraîne la nullité du contrat (article L. 113-8 du Code des assurances). En cas de sinistre, l’assureur peut refuser toute indemnisation et conserver les primes versées. Faites-vous accompagner par un courtier spécialisé pour compléter ce document.
Comment choisir le bon contrat cyber pour votre PME
Il convient de comparer les contrats sur six critères objectifs au-delà du seul tarif. Un contrat bon marché dont la perte d’exploitation est plafonnée à 50 000 euros et la franchise temporelle à 72 heures n’apporte qu’une protection illusoire pour une PME industrielle exposée à une interruption longue.
Les critères à vérifier systématiquement portent sur le plafond global et les sous-limites par garantie, la durée d’indemnisation des pertes d’exploitation, la franchise financière et temporelle, l’étendue de la couverture géographique, la qualité du panel de prestataires d’assistance et enfin les exclusions spécifiques (actes de guerre, défaillance de fournisseur cloud, infraction délibérée). La déclaration rapide d’un sinistre conditionne directement la qualité de la prise en charge : un retard peut entraîner une déchéance de garantie.
Nous vous conseillons de privilégier les contrats intégrant une prestation d’audit cyber annuel offerte. Cet audit identifie les vulnérabilités avant qu’elles ne soient exploitées. Il permet souvent d’obtenir une réduction de prime de 5 à 15 % au renouvellement.
Cas concret : PME industrielle victime d’un ransomware
Une entreprise de mécanique de précision basée dans le Rhône, 42 salariés, 8,5 millions d’euros de chiffre d’affaires, subit en mars 2026 un ransomware déployé via la compromission d’un compte VPN sans MFA. L’ensemble du système d’information est chiffré, y compris les sauvegardes en ligne. Production à l’arrêt pendant 14 jours.
Bilan financier de l’incident : 285 000 euros de marge brute perdue, 95 000 euros de frais d’intervention CSIRT et de reconstruction, 18 000 euros de frais juridiques et de notification CNIL, 42 000 euros de pénalités contractuelles envers deux clients automobiles pour retards de livraison. Coût total : 440 000 euros.
L’entreprise disposait d’un contrat cyber souscrit en 2025, plafond global 1 million d’euros, franchise 7 500 euros, période d’indemnisation 180 jours. L’indemnisation versée a atteint 432 500 euros (coût total moins franchise), soit près de 98 % de la perte. La cotisation annuelle était de 3 200 euros : le retour sur investissement de la prime versée dépasse 130 fois.
Cyber-assurance et autres garanties professionnelles : quelle articulation ?
La cyber-assurance ne se substitue pas aux garanties traditionnelles, elle les complète. Une assurance RCMS reste indispensable pour protéger personnellement le dirigeant en cas de mise en cause pour faute de gestion liée à un défaut de cybersécurité. La RC Pro générale couvre les dommages matériels et immatériels causés à des tiers, tandis que la cyber-assurance traite spécifiquement les conséquences d’un événement numérique malveillant.
Pour une PME maîtrisant ses risques, l’architecture optimale combine multirisque professionnelle, RC Pro étendue, cyber-assurance dédiée et RCMS. Le coût cumulé représente entre 0,3 % et 0,8 % du chiffre d’affaires selon le secteur.
FAQ cyber-assurance PME
La cyber-assurance est-elle obligatoire pour une PME en 2026 ?
Aucune obligation légale générale n’impose la souscription d’une cyber-assurance. En revanche, certains marchés publics, donneurs d’ordres industriels et plateformes B2B exigent contractuellement la présentation d’une attestation cyber. La directive NIS 2 ne rend pas l’assurance obligatoire mais impose des mesures de sécurité dont le défaut peut engager la responsabilité des dirigeants.
Que se passe-t-il si je paie une rançon sans prévenir mon assureur ?
Le paiement d’une rançon sans accord préalable de l’assureur entraîne la déchéance de garantie sur ce poste de préjudice. Il expose le dirigeant à des poursuites pour financement d’activités criminelles. Tout paiement doit être précédé d’une analyse de conformité aux sanctions internationales (notamment OFAC pour les groupes russes) et coordonné avec l’expert mandaté par l’assureur.
Mon contrat multirisque inclut déjà une garantie cyber, est-ce suffisant ?
Les extensions cyber au sein des multirisques professionnelles offrent généralement des plafonds limités (50 000 à 150 000 euros), excluent souvent la perte d’exploitation et ne couvrent pas la responsabilité civile envers les tiers. Pour une PME exposée, un contrat dédié reste indispensable. Faites réaliser un audit comparatif par un courtier indépendant.
Combien de temps faut-il pour souscrire une cyber-assurance PME ?
Le délai moyen de souscription va de deux à six semaines : complétion du questionnaire (5 à 10 jours), parfois réalisation d’un audit externe, étude par les souscripteurs, émission du devis, négociation, signature et régularisation. Les structures dont la maturité cyber est faible peuvent voir leur dossier refusé ou conditionné à la mise en place d’actions correctives préalables.
L’assureur peut-il résilier le contrat après un sinistre ?
Oui, la résiliation pour sinistre est prévue par l’article R. 113-10 du Code des assurances et fréquemment activée en matière cyber, notamment après un sinistre majeur. La majoration de prime au renouvellement peut atteindre 50 à 200 % selon la gravité. C’est pourquoi la prévention reste plus rentable que la guérison. C’est aussi pourquoi les assureurs valorisent les entreprises qui investissent dans leur sécurité.
Les sanctions CNIL liées à un piratage sont-elles couvertes ?
La couverture des sanctions administratives prononcées par la CNIL ou par le DPA d’un autre État membre dépend du contrat et du droit applicable. En France, l’assurabilité des amendes RGPD reste un sujet juridique controversé : la jurisprudence n’a pas encore tranché définitivement. La majorité des contrats couvrent en revanche les frais de défense devant la CNIL et les coûts de notification aux personnes concernées.
Depuis plusieurs années, j’accompagne PME, freelances et grands groupes dans leur quête de la meilleure protection pour leur activité. Que vous soyez entrepreneur en herbe, un professionnel aguerri ou simplement curieux, mon objectif est de vous fournir les clés pour prendre les meilleures décisions pour votre entreprise. Rejoignez-moi dans cette aventure pour protéger au mieux votre passion professionnelle !