Le cout moyen d'un incident cyber pour une PME francaise depasse 150 000 euros. Pour une TPE, un ransomware peut signifier la cessation d'activite. La cyberassurance ne remplace pas la cybersecurite PME, mais elle constitue un filet de securite financier indispensable quand la prevention ne suffit pas.
Ce guide couvre ce que la cyberassurance couvre (et ne couvre pas), les 7 criteres pour choisir son contrat, les fourchettes de prix et le processus de declaration de sinistre.
Ce que couvre la cyberassurance
Une police de cyberassurance standard pour PME couvre generalement :
- Frais de reponse a incident : expertise forensique, remediation technique, restauration des systemes. Ces frais representent souvent 30 a 50 % du cout total d'un incident.
- Perte d'exploitation : compensation du manque a gagner pendant la periode d'arret. Calculee sur la base du chiffre d'affaires journalier moyen.
- Frais juridiques : avocat specialise, notification RGPD a la CNIL, gestion des plaintes des personnes concernees.
- Communication de crise : gestion de la reputation, notification aux clients et partenaires.
- Responsabilite civile : dommages causes a des tiers suite a la compromission de leurs donnees.
Ce que la cyberassurance ne couvre pas
- Les pertes liees a un defaut de maintenance ou de mise a jour connu et non corrige.
- Les attaques par des Etats (exclusion courante, parfois contestee).
- Les pertes de propriete intellectuelle (evaluation du prejudice trop complexe).
- Les amendes reglementaires (RGPD, NIS2) dans certains contrats.
- Les incidents anterieurs a la date de souscription.
Fourchettes de prix
Le tarif depend de quatre facteurs principaux : le chiffre d'affaires, le nombre de postes, le secteur d'activite et le niveau de maturite cyber.
| Profil PME | Prime annuelle | Plafond type |
|---|---|---|
| TPE (5-10 postes, CA < 1M euros) | 1 000 a 2 500 euros | 100 000 a 300 000 euros |
| PME (20-50 postes, CA 2-10M euros) | 2 500 a 5 000 euros | 300 000 a 1M euros |
| PME+ (50-200 postes, CA 10-50M euros) | 5 000 a 15 000 euros | 1M a 5M euros |
7 criteres pour choisir votre cyberassurance
Perimetre de couverture
Verifiez que le contrat couvre les frais de reponse a incident (forensique, juridique, communication de crise), la perte d'exploitation, la responsabilite civile et les frais de notification RGPD. Certains contrats excluent les ransomwares ou les attaques par des Etats.
Plafond d'indemnisation
Le plafond doit etre coherent avec votre exposition reelle. Pour une PME de 50 postes, un plafond de 500 000 a 1 million d'euros couvre la majorite des scenarios. En dessous, vous portez le risque residuel.
Franchise
La franchise est le montant qui reste a votre charge. Elle varie de 1 000 a 20 000 euros selon les contrats. Une franchise elevee reduit la prime mais augmente votre exposition en cas de sinistre mineur.
Delais de carence et de declaration
Verifiez le delai de declaration (48 a 72 heures en general) et le delai de carence (periode apres la souscription pendant laquelle vous n'etes pas couvert). Un delai de carence de 30 jours est courant.
Services d'assistance inclus
Les meilleurs contrats incluent un acces direct a une equipe de reponse a incident (hotline 24/7, expert forensique, avocat specialise, communication de crise). Ces services sont critiques dans les premieres heures apres une attaque.
Exigences de securite prealables
Chaque assureur impose un socle minimum de securite. Comparez les exigences : certains demandent un audit prealable, d'autres un simple questionnaire. Un contrat qui n'exige rien est suspect (exclusions probables en cas de sinistre).
Clause de sous-assurance
Verifiez que le contrat ne contient pas de clause de sous-assurance qui reduirait l'indemnisation si votre niveau de securite reel est inferieur a celui declare a la souscription. La transparence avec l'assureur est essentielle.
Processus de declaration de sinistre
- Detection et confinement : isolez les systemes touches et preservez les preuves. Ne tentez pas de remedier seul.
- Notification a l'assureur : contactez la hotline de votre assureur dans les delais prevus au contrat (48 a 72 heures). Fournissez les premiers elements : nature de l'incident, systemes touches, impact estime.
- Depot de plainte : obligatoire dans les 72 heures pour la prise en charge du paiement eventuel de rancon (loi LOPMI). Egalement necessaire pour la notification CNIL si des donnees personnelles sont concernees.
- Activation de la chaine de reponse : l'assureur mandate un expert forensique, un avocat et un communicant de crise si necessaire.
- Remediation et reprise : restauration des systemes, correction des vulnerabilites, reprise d'activite. Le prestataire en cybersecurite PME coordonne la remediation technique.
- Evaluation du prejudice et indemnisation : l'expert de l'assureur evalue les dommages (perte d'exploitation, frais engages, responsabilite civile) et determine l'indemnisation.
Questions frequentes
Combien coute une cyberassurance pour une PME ?
Entre 1 000 et 8 000 euros par an pour une PME de 10 a 100 postes. Le tarif depend du chiffre d'affaires, du secteur d'activite, du nombre de postes et du niveau de maturite cyber de l'entreprise. Une PME qui a realise un audit de securite et deploye les fondamentaux (MFA, EDR, sauvegardes) obtiendra un tarif plus favorable.
La cyberassurance couvre-t-elle le paiement d'une rancon ?
La loi LOPMI de 2023 autorise la couverture du paiement de rancon a condition que l'entreprise depose plainte dans les 72 heures. En pratique, la majorite des assureurs deconseillent le paiement et privilegient la restauration depuis les sauvegardes. Le paiement de rancon ne garantit pas la recuperation des donnees.
Quelles sont les conditions prealables pour etre assure ?
Les assureurs exigent un socle minimum de securite : sauvegardes regulieres, antivirus ou EDR sur tous les postes, MFA sur les acces critiques, mises a jour systeme, politique de mots de passe. Sans ces fondamentaux, le contrat sera refuse ou les primes seront majorees. Un audit de securite facilite la souscription.
Que faire en cas de sinistre cyber ?
Contactez votre assureur dans les delais prevus au contrat (generalement 48 a 72 heures). Preservez les preuves numeriques, ne tentez pas de remedier seul. L'assureur active sa chaine de reponse a incident : expert forensique, assistance juridique, communication de crise. Deposez plainte aupres des autorites competentes.
La cyberassurance est-elle obligatoire pour les PME ?
Non, la cyberassurance n'est pas obligatoire. Cependant, elle devient un prerequis commercial dans de nombreux secteurs : les donneurs d'ordres et les clients grands comptes exigent de plus en plus une attestation d'assurance cyber dans leurs appels d'offres. C'est aussi un filet de securite financier en cas d'incident majeur.
Preparez votre entreprise avant de souscrire
Un audit de securite prealable ameliore vos conditions d'assurance et reduit vos primes. Diagnostic gratuit de 30 minutes.
Planifier un diagnostic gratuit