Go DSI
DSI Externalisé à Temps Partagé pour TPE/PME
Secrets
My GO DSI

Assurance cyber-sécurité : Le guide pratique pour les PME

Pourquoi s’assurer, combien ça coûte, comment ça fonctionne en cas d’incident et pourquoi un courtier généraliste n’est probablement pas le bon interlocuteur ?
Assurance Cyber
Patrice Bonhomme
juin 1, 2026
Cas Pratiques et Témoignages Sécurité et Menaces

Pourquoi s’assurer, combien ça coûte, comment ça fonctionne en cas d’incident et pourquoi un courtier généraliste n’est probablement pas le bon interlocuteur.

En PME, la cyber-assurance reste un angle mort. On y pense vaguement, on coche peut-être une « option cyber » dans son multirisque pro et on passe à autre chose. Mauvaise idée. J’ai récemment accompagné un client (45 salariés, 8 M€ de chiffre d’affaires) dans le choix de son contrat cyber. Voici ce que j’en retiens, traduit en termes utiles pour un dirigeant de PME.

1. Pourquoi s’assurer contre les risques cyber ?

La question n’est plus « est-ce que ça va m’arriver » mais « quand, et combien ça va me coûter ».

Quelques chiffres pour situer le risque :

  • Une entreprise française a dix fois plus de chances d’être victime d’une cyberattaque que d’un incendie (étude Anozr Way, 2022).
  • 60 % des entreprises déposent le bilan dans les six mois qui suivent une attaque réussie.
  • Et pourtant, moins de 10 % des PME et ETI françaises sont assurées contre le cyber (rapport LuCy de l’AMRAE, 2023).

Sur le dossier que j’évoquais, l’estimateur de l’assureur chiffre le coût moyen d’une cyberattaque à environ 109 000 € pour cette entreprise : 13 000 € de fuite de données (notification, monitoring, réclamations) + 96 000 € de perte d’exploitation, sur une hypothèse de 14 jours d’arrêt, ce qui n’a rien d’extrême quand un ransomware vous coupe l’ERP.

Pour beaucoup de PME, 100 000 € de coup dur, c’est l’année de résultat. Parfois plus.

2. Combien ça coûte ?

Un ordre de grandeur, pour fixer les idées sur une PME du tertiaire de taille moyenne (40 à 75 personnes, quelques millions d’euros de chiffre d’affaires) : Entre 2 000 et 3 500 € TTC par an pour un plafond de garantie de 2 millions d’euros et une franchise de l’ordre de 1 000 €.

Sur le dossier mentionné plus haut, la prime négociée est de 2 138 € TTC/an pour 2 M€ de plafond. Soit environ 0,03 % du chiffre d’affaires. À comparer aux 109 000 € de sinistre moyen estimé : Le ratio coût/protection est, objectivement, l’un des meilleurs du marché de l’assurance professionnelle.

Ce qui fait varier la prime :

  • Le chiffre d’affaires et l’effectif.
  • Le secteur d’activité (un cabinet médical paiera plus cher qu’un bureau d’études).
  • Le niveau de maturité en terme de cybersécurité et d'exposition aux risques.
  • Le plafond retenu et la franchise acceptée.
  • Le respect de pré-requis techniques : Sauvegardes hebdomadaires (hors ligne ou cloud avec MFA), antivirus à jour sur tous les postes et serveurs Windows. Sans ça, pas de contrat ou un contrat sans valeur.

3. Comment ça fonctionne en cas d’incident ?

C’est ici que se joue la vraie valeur d’un bon contrat. Le scénario type se déroule à peu près ainsi :

T+0 : Découverte. Un salarié constate que les fichiers sont chiffrés, que la messagerie est tombée ou qu’un virement suspect est parti. Premier réflexe : Appeler la hotline d’urgence de l’assureur (un numéro 24/7), en général opérée par un CERT (Computer Emergency Response Team) composé d’analystes et d'experts cyber.

T + Quelques minutes : Qualification. Le CERT prend la main, qualifie l’incident et nomme un expert référent de crise. C’est lui qui pilote toute la réponse : Il valide les frais à engager, désigne les autres experts (forensic, juridique, communication de crise, négociateur si rançon) et coordonne avec vos équipes.

T + 48 h : Déclaration. Vous devez déclarer le sinistre à l’assureur dans les 48 heures.

T + 72 h : Dépôt de plainte obligatoire. Depuis la loi LOPMI de 2023, vous devez déposer plainte auprès des autorités (police ou gendarmerie) dans les 72 heures suivant la découverte. Si vous ne le faites pas, vous perdez purement et simplement votre garantie. C’est non négociable.

T+1 à T+30 jours : Réponse à incident. Investigation, confinement, éradication, restauration. L’assureur prend en charge les frais d’expert IT (intervention sur site sous 48 h si nécessaire), les frais juridiques (notification CNIL, gestion des réclamations), la communication de crise, la reconstitution du SI et des données, le paiement de la rançon le cas échéant et la cellule de soutien psychologique.

T+1 mois et au-delà : Indemnisation. Les pertes d’exploitation sont calculées sur la base de la marge brute perdue, indemnisées jusqu’à 12 mois après l’incident, après un délai d’attente typique de 12 heures.

À retenir : Vous n’avez aucun frais à engager sans validation écrite de l’expert référent. Sinon, vous risquez de ne pas être remboursé.

4. Ce qui est (vraiment) pris en charge

Un bon contrat cyber couvre trois grandes familles :

Les frais et pertes que vous subissez. Reconstitution du SI et des données, remplacement du matériel rendu inutilisable, pertes d’exploitation, frais supplémentaires pour tourner en mode dégradé, notification CNIL et personnes concernées, monitoring des données fuitées, frais d’enquête, amendes administratives (quand elles sont légalement assurables) et paiement de la rançon sous conditions strictes.

Votre responsabilité civile vis-à-vis des tiers. Si un de vos clients vous attaque parce que ses données ont fuité de votre côté, ou si vous propagez involontairement un virus à un partenaire, l’assureur prend en charge les frais de défense et indemnisations.

Les options qui font la différence, notamment :

  • La cyber-fraude (faux ordre de virement, escroquerie au président) : Sous condition stricte d’une procédure de double vérification pour les paiements importants. Sans cette procédure en place chez vous, la garantie ne joue pas.
  • La défaillance du système informatique. C’est le point que peu de dirigeants regardent et qui change tout. J’y reviens.

Le cas à part : La « panne SI »

La plupart des contrats cyber ne couvrent que les attaques. Or, une partie significative des arrêts d’activité IT n’est pas d’origine malveillante : Un bug d’une mise à jour antivirus (souvenez-vous du fiasco CrowdStrike de juillet 2024), une panne d’hébergeur cloud, un crash de votre logiciel métier.

Les meilleurs contrats étendent leur couverture à ces cas-là et, mieux encore, à vos prestataires IT sous contrat : Hébergeur, infogérant, éditeur du logiciel métier. En revanche, les pannes d’infrastructures externes que vous ne contrôlez pas (Internet, DNS, électricité, autorité de certification) restent exclues, ce qui est logique.

C’est exactement le type de garantie qu’un courtier généraliste ne propose pas ou propose mal.

5. Pourquoi éviter un courtier généraliste ?

Soyons clair : Votre courtier multirisque pro est probablement excellent pour votre flotte automobile, votre RC pro et votre dommages-ouvrage. Il n’est pas, en général, le bon interlocuteur pour la cyber. Quatre raisons :

Le cyber est un métier technique et mouvant. Les modes opératoires des attaquants évoluent tous les six mois. Les définitions contractuelles doivent suivre. Un généraliste vend une « option cyber » statique, greffée sur un multirisque, avec des plafonds modestes (souvent 50 000 à 250 000 €) et des définitions vagues. Un spécialiste vit du cyber et met ses contrats à jour en continu.

Pas de CERT en propre. Le jour où ça arrive, vous voulez quelqu’un qui décroche en moins de deux minutes, qui parle la langue technique, et qui a déjà géré des centaines de cas similaires. Un généraliste vous renverra vers un prestataire externe, avec un délai de prise en charge nettement plus long. Un spécialiste a ses propres équipes, comme Dattak, Stoïk, Coalition, Beazley ou Hiscox ou des partenariats étroits avec des firmes de réponse à incident cyber spécialisées.

Pas d’outils de prévention. Un assureur cyber sérieux fournit, inclus dans la prime : Scan régulier de votre surface d’attaque externe, audit de votre Active Directory, audit du cloud, campagnes de phishing simulées pour sensibiliser vos équipes, plateforme de pilotage des risques. Tout cela vise à réduire la sinistralité et donc votre prime. Un généraliste vous vend la garantie, point.

Plus de zones grises dans les exclusions. Les contrats généralistes excluent souvent les pannes « non malveillantes », limitent fortement le périmètre des prestataires couverts, restreignent la cyber-fraude à des montants symboliques et passent sous silence la responsabilité civile médias. Le jour du sinistre, ces détails coûtent cher.

Concrètement : Comparer une option cyber de courtier généraliste (plafond souvent limité à 100 000–250 000 €, hotline non dédiée, prévention zéro) avec un contrat de spécialiste (2 M€ de plafond, CERT 24/7, scan continu, audit, campagne phishing) ne prend pas longtemps. Le rapport qualité/prix penche fortement du second côté, souvent pour un écart de prime de quelques centaines d’euros par an.

6. La check-list avant de signer

Quelques points à vérifier avant de poser sa signature :

  • Plafond global d’au moins 1 à 2 M€, cohérent avec votre CA et votre dépendance à l’IT.
  • Franchise raisonnable (1 000 à 5 000 €) et délai d’attente pour la perte d’exploitation pas trop long (12 à 24 h).
  • Hotline 24/7 opérée par un CERT en propre, avec engagement de temps de réponse.
  • Option défaillance SI souscrite, et clairement étendue aux prestataires sous contrat.
  • Option cyber-fraude souscrite, en vérifiant que vous tenez bien les conditions (double signature au-delà d’un certain montant, contre-appel pour tout changement de RIB) sinon la garantie ne joue pas.
  • Outils de prévention inclus : Scan, audit AD, audit cloud, campagne phishing.
  • Pré-requis techniques tenables : Sauvegardes hebdomadaires hors ligne ou cloud-MFA, antivirus à jour sous 15 jours sur tous les postes et serveurs Windows. Si vous ne pouvez pas les tenir, il faut d’abord remettre votre SI en ordre avant même de signer.
  • Et surtout : Lire les Conditions Générales. Pas juste la plaquette commerciale. Les exclusions sont dans les CG.

En conclusion

La cyber-assurance n’est pas un confort, c’est un filet de sécurité financier qui, en cas de coup dur sérieux, peut faire la différence entre une crise gérable et un dépôt de bilan. Pour une PME, le ticket d’entrée est faible (quelques milliers d’euros par an) et le rapport coût/protection est imbattable à condition de choisir un assureur spécialisé, pas une option greffée sur un multirisque.

Si vous n’avez pas le temps ou les compétences pour comparer les contrats, faire le bon arbitrage et négocier les bonnes options, c’est typiquement le genre de sujet sur lequel un DSI Externalisé peut vous faire gagner du temps, de la sérénité et beaucoup d’argent.

Dirigeant de PME, ne restez pas seul face à la complexité du digital. En tant que DSI Externalisé à Temps Partagé, je vous accompagne pour structurer, piloter et sécuriser votre transformation. Réservez en ligne votre créneau pour un appel découverte de 30mn gratuit et sans engagement.

Résultat immédiat
Questionnaire 2 minutes
Votre entreprise a-t-elle besoin d’un DSI Externalisé à Temps Partagé ?

Dirigeants, ce test rapide vous aide à évaluer si votre entreprise gagnerait à s’appuyer sur un DSI à Temps Partagé.

Lien vers le questionnaire

Partager l'article sur :

Facebook
Email