ForgiaPro
Cyber-assurance et protection des données
AccueilGérerCyber-assurance
Gérer son activité
▲ Gérer · AssuranceMis à jour 2026 9 min

Cyber-assurance 2026 : le guide pour les PME françaises

En 2025, une PME sur cinq a subi au moins un incident cyber significatif. Ransomware, violation de données, arnaque au président — les risques numériques sont devenus le premier risque opérationnel des PME, devant l'incendie ou le vol. Voici comment vous protéger efficacement.

120 000 €
coût moyen d'un ransomware pour une PME française en 2025
72h
délai maximum pour notifier la CNIL en cas de violation de données
+40 %
hausse des primes cyber depuis 2022 due à la sinistralité

Attention : Votre assurance multirisque professionnelle (MRP) n'inclut pas les cyberattaques. Les contrats standard excluent explicitement les dommages immatériels d'origine cyber. Vous avez besoin d'un contrat dédié.

Les 6 garanties d'un contrat cyber professionnel

Ransomware & extorsion cyber
Critique

Couvre les frais de rançon (sous conditions strictes), les coûts de restauration des systèmes, les frais d'experts informatiques et la perte d'exploitation consécutive. En 2025, le coût moyen d'un ransomware pour une PME française est de 120 000 € — dont 70 % en perte d'exploitation.

Violation de données personnelles
Critique

Couvre les frais de notification aux personnes concernées (obligation RGPD), les coûts d'investigation forensique pour identifier l'étendue de la fuite, les frais juridiques et les amendes CNIL (sous conditions — les amendes administratives sont souvent exclues ou limitées).

Interruption d'activité cyber
Critique

Compense la perte de marge brute causée par une cyberattaque ayant rendu les systèmes informatiques inutilisables. Délai de franchise souvent de 8 à 24h. C'est la garantie la plus impactante financièrement pour une PME dépendante de son système d'information.

Frais de gestion de crise
Complémentaire

Prise en charge des experts : RSSI externe, cabinet de communication de crise, avocat spécialisé RGPD, experts forensiques. Ces frais sont souvent sous-estimés et peuvent dépasser 50 000 € dans une crise cyber de taille moyenne.

Responsabilité civile cyber
Complémentaire

Couvre les dommages causés à des tiers à la suite d'une cyberattaque dont vous êtes victime (ex : votre système infecté propage un malware à un partenaire, vos données clients fuient et causent un préjudice à ces clients).

E-réputation & fraude au virement
Complémentaire

Certains contrats couvrent les atteintes à l'e-réputation (diffamation en ligne, faux avis coordonnés) et la fraude au virement bancaire (arnaque au président, phishing ciblant votre trésorier). Vérifier attentivement les exclusions.

Les prérequis pour être assurable (et réduire sa prime)

Les assureurs cyber évaluent votre maturité en cybersécurité avant d'émettre une offre. Ces mesures sont également les plus efficaces pour réduire votre risque réel :

  • Sauvegardes automatiques quotidiennes, stockées hors réseau (règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site)
  • MFA (authentification multi-facteurs) sur tous les accès distants : VPN, email pro, outils cloud
  • Mises à jour systèmes et logiciels appliquées sous 72h après publication des correctifs de sécurité
  • Formation annuelle des collaborateurs : détection du phishing, gestion des mots de passe
  • Antivirus/EDR sur tous les postes et serveurs, avec supervision centralisée
  • Plan de reprise d'activité (PRA) documenté et testé au moins une fois par an

Questions fréquentes

Ma MRP (multirisque pro) couvre-t-elle les cyberattaques ?

Non, ou très partiellement. La grande majorité des contrats multirisques professionnels excluent explicitement les dommages immatériels résultant d'une cyberattaque. Certains assureurs proposent une extension cyber optionnelle, mais avec des plafonds très limités (50 000 à 100 000 €) — insuffisants pour une PME de taille significative. Une police cyber dédiée est indispensable dès que votre activité dépend d'un système informatique ou que vous traitez des données personnelles.

Quels sont les critères d'éligibilité à une cyber-assurance ?

Les assureurs évaluent votre niveau de maturité cyber avant d'accepter de vous couvrir. Les critères les plus scrutés : (1) Sauvegardes régulières déconnectées du réseau principal ; (2) Authentification multi-facteurs (MFA) sur tous les accès distants et emails ; (3) Plan de continuité ou de reprise d'activité documenté ; (4) Politique de mises à jour régulières des systèmes ; (5) Formation des collaborateurs à la détection des emails de phishing. Sans ces mesures, vous serez soit refusé, soit soumis à des franchises très élevées.

Combien coûte une cyber-assurance pour une PME ?

Pour une PME de 10 à 50 salariés avec un CA de 2 à 10 M€, la prime annuelle varie entre 3 000 et 15 000 € selon le secteur (la santé et la finance sont plus chères), le niveau de couverture et la maturité cyber. La franchise standard est de 5 000 à 20 000 €. Les secteurs les plus exposés (santé, cabinet d'expertise, e-commerce) paient des primes 30 à 50 % plus élevées. Depuis 2022, les tarifs ont augmenté de 40 % en raison de la sinistralité croissante.

Que faire dans les premières heures d'une cyberattaque ?

Les 4 premières heures sont critiques. (1) Isolez immédiatement les machines infectées du réseau (déconnectez les câbles et le Wi-Fi — n'éteignez pas les machines pour préserver les traces forensiques) ; (2) Appelez votre assureur cyber — il déclenchera une cellule de crise avec des experts techniques ; (3) Ne payez pas de rançon sans en avoir discuté avec l'assureur et les autorités (le paiement n'est pas garanti et peut vous exposer juridiquement) ; (4) Déposez plainte auprès de la gendarmerie ou du commissariat ; (5) Notifiez la CNIL si des données personnelles sont concernées (délai de 72h maximum).

Tous nos guides pour protéger votre activité

RC Pro, multirisque, prévoyance — votre protection complète.

Voir tous les guides
Articles liés
RC Pro →Assurance multirisque →Prévoyance dirigeant →