Assurance cyber 2026 : Ce que les entreprises doivent savoir avant de souscrire une police

Les exclusions que les entreprises doivent connaître

Aucune assurance cyber ne couvre tout. Les principales exclusions :

• Attaques parrainées par des États : Depuis mars 2023, Lloyd’s of London exige que les cyberattaques nationales soient exclues des polices. Cela s’applique également aux attaques en temps de paix, si un gouvernement est prouvé impliqué. Raison : le risque systémique n’est pas supportable pour le marché de l’assurance.
• Événements catastrophiques systémiques : Si une attaque coordonnée contre un grand fournisseur de cloud touche simultanément des milliers d’entreprises, les limites d’exposition globale (Aggregate Exposure Limits) s’appliquent. La police ne paie alors que partiellement ou pas du tout.
• Violations de l’obligation de diligence : Les entreprises qui, malgré des vulnérabilités connues, n’appliquent pas de correctifs ou négligent manifestement les mesures de sécurité, risquent le refus des demandes d’indemnisation.

La conséquence : une police seule ne protège pas. Elle doit être intégrée dans un concept de sécurité documenté qui aborde systématiquement les motifs d’exclusion.

Évolution des primes : détente après le hard market

Après des augmentations drastiques des prix entre 2020 et 2022, le marché s’est stabilisé. L’indice des prix QCC est passé de son niveau record de 340 points (2022) à 269 points fin 2024. Aux États-Unis, les primes ont baissé en moyenne de 5 pour cent au quatrième trimestre 2024. Dans le même temps, selon les enquêtes sectorielles, 48 pour cent des assureurs s’attendent à de nouvelles hausses modérées des prix pour 2025.

L’explication : les grandes entreprises ont massivement investi dans la cybersécurité. Selon Allianz Commercial, la gravité des sinistres a diminué de plus de 50 pour cent, les dommages importants de plus d’un million d’euros ont reculé d’environ 30 pour cent. Le meilleur profil de risque des assurés fait baisser les primes.

Pour les PME, cela représente une opportunité : celles qui remplissent dès maintenant les exigences de sécurité obtiennent de meilleures conditions qu’il y a deux ans.

NIS2 et DORA : un vent réglementaire favorable à l’assurabilité

La réglementation européenne change fondamentalement la donne. NIS2 concerne environ 30 000 entreprises en Allemagne et exige des mesures de gestion des risques, des obligations de déclaration et la responsabilité des dirigeants. DORA réglemente le secteur financier avec ses propres exigences en matière de gestion des risques ICT et de surveillance des tiers.

Pour le marché de l’assurance, cela a deux effets : premièrement, la demande augmente, car les entreprises veulent transférer leurs risques résiduels après la mise en conformité. Deuxièmement, le risque global diminue, car les entreprises réglementées doivent améliorer leur hygiène cyber.

En pratique, cela signifie : les entreprises qui peuvent prouver leur conformité NIS2 sont traitées de manière préférentielle par les assureurs. L’investissement dans la conformité rapporte doublement – comme protection contre les amendes et comme levier pour des primes plus avantageuses.

Cinq étapes pour une police cyber adaptée

1. Réaliser un inventaire des risques : Quels systèmes, données et processus sont critiques pour l’entreprise ? Quels dommages menacent en cas de défaillance ? Cette analyse constitue la base du montant de la couverture.
2. Documenter les mesures de sécurité : MFA, EDR, stratégie de sauvegarde, gestion des correctifs et plan de réponse aux incidents doivent non seulement exister, mais être documentés de manière vérifiable. Les assureurs vérifient cela lors du processus de souscription.
3. Comprendre les exclusions : Chaque police a ses angles morts. Les attaques étatiques, les événements systémiques et les violations de l’obligation de diligence sont les trois clauses d’exclusion les plus critiques.
4. Calculer de manière réaliste le montant de la couverture : Les coûts moyens d’un incident de ransomware, les coûts d’interruption d’activité par jour et les amendes réglementaires doivent être inclus dans le calcul.
5. Faire appel à un courtier spécialisé : Le marché de l’assurance cyber est complexe. Les courtiers spécialisés connaissent les profils d’exigences des assureurs et peuvent améliorer considérablement les conditions.

Conclusion

L’assurance cyber n’est pas un substitut à la cybersécurité, mais son complément logique. Les entreprises qui peuvent prouver la mise en œuvre de MFA, EDR et d’un plan de réponse aux incidents testé obtiennent de meilleures conditions que jamais. Dans le même temps, les exclusions augmentent : les attaques étatiques et les catastrophes systémiques restent non assurables. Celles qui considèrent les exigences réglementaires de NIS2 et DORA comme un investissement dans leur propre assurabilité gagnent doublement – par la conformité et par des primes plus basses.

Questions fréquentes

Combien coûte une assurance cyber pour une entreprise de taille moyenne ?

La prime annuelle dépend du secteur, du chiffre d’affaires, du montant de la couverture et du niveau de sécurité. Pour une entreprise de 50 à 250 employés, les primes se situent généralement entre 3 000 et 25 000 euros par an. Les entreprises disposant de mesures de sécurité vérifiables paient nettement moins que celles sans MFA ou EDR.

Quels dommages une assurance cyber couvre-t-elle ?

Les modules de couverture typiques incluent les coûts de forensic, la consultation juridique, la communication de crise, les paiements de rançon en cas de ransomware, les dommages d’interruption d’activité et les amendes RGPD. La couverture exacte varie selon la police.

Peut-on assurer les attaques parrainées par des États ?

En règle générale, non. Depuis 2023, la plupart des assureurs exigent, à l’initiative de Lloyd’s of London, l’exclusion des cyberattaques nationales. Cela concerne également les attaques en temps de paix, si un gouvernement est prouvé impliqué. Pour les entreprises concernées, cela signifie un risque résiduel qu’elles doivent assumer elles-mêmes.

Dois-je être conforme à NIS2 pour obtenir une assurance cyber ?

La conformité NIS2 n’est pas une condition formelle pour une police. En pratique, cependant, les assureurs exigent des mesures qui recoupent largement les exigences de NIS2 : gestion des risques, réponse aux incidents, contrôle d’accès et sécurité de la chaîne d’approvisionnement. Celle qui respecte NIS2 remplit également la plupart des exigences des assureurs.

Que se passe-t-il si je déclare un sinistre et que l’assureur refuse ?

Les motifs de refus les plus fréquents sont l’absence de mesures de sécurité promises dans la demande, ou des clauses d’exclusion comme les attaques étatiques. Les entreprises doivent remplir leur demande de manière véridique et examiner attentivement les exclusions avant la conclusion du contrat. En cas de litige, un avocat spécialisé en assurance peut aider.

Lectures complémentaires

• NIS2 en Allemagne : ce que les entreprises doivent savoir et mettre en œuvre maintenant (SecurityToday)
• DORA : une nouvelle réglementation pour le secteur financier (SecurityToday)
• Zero Trust : une approche de sécurité pour les PME (SecurityToday)

Liens utiles

• Allianz Commercial
• Lloyd’s of London

Contact

Pour plus d’informations, veuillez contacter notre service client au +33 1 23 45 67 89 ou par email à contact@assurancecyber.fr.

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow