Cyber-assurance France 2026 : sinistres +179 %, refus d'indemnisation 40 à 60 % des dossiers PME. Voici les 7 motifs qui font tomber votre couverture.
Les chiffres tombent et ils ne mentent pas. Selon l'étude AMRAE LUCY 2026, le nombre de sinistres cyber déclarés en France a bondi de +179 % en un an, pour un total indemnisé de 83,2 millions d'euros. Sur le papier, les assureurs tiennent leurs engagements. Dans la réalité opérationnelle des PME, c'est l'inverse qui se joue : selon les analyses de MaSolutionIT et plusieurs cabinets spécialisés en droit des assurances, jusqu'à 60 % des PME non préparées perdraient leur couverture en cas de sinistre.
Pire encore : selon plusieurs études marché 2025-2026, près de 72 % des dirigeants de PME croient être correctement couverts, alors qu'environ 39 % seulement répondraient aux exigences contractuelles réelles de 2026. Cet écart entre perception et réalité, c'est exactement le piège qui se referme aujourd'hui sur les entreprises mal préparées. Vous payez la prime. Vous subissez l'attaque. L'assureur refuse. Et votre trésorerie encaisse 50 000 à 300 000 euros de perte sèche.
Cet article décrypte les sept motifs de refus les plus fréquents, la condition LOPMI ignorée par 80 % des dirigeants, les exclusions toxiques qui annulent votre contrat, et surtout la checklist opérationnelle pour devenir réellement assurable. Avec une question centrale : votre entreprise est-elle dans la moitié qui sera indemnisée, ou dans celle qui paiera deux fois ?
Le marché français de la cyber-assurance traverse une mutation silencieuse mais radicale. Les primes collectées sont passées de 328 millions d'euros en 2023 à 306 millions d'euros en 2025 (-3,5 %), tandis que le nombre de polices souscrites continue de progresser (14 124 contrats analysés par AMRAE LUCY 2026). Traduction concrète : les assureurs baissent les prix moyens, mais sélectionnent beaucoup plus durement leurs risques.
Cette sélection se voit dans le loss ratio global, qui atteint 27 % en 2025 (+10 points vs 2024). Le loss ratio ETI est lui passé de 13 % à 42 % en un an, alarmant les réassureurs : les sinistres XL (3 à 10 millions d'euros) ont été multipliés par quatre sur les ETI en un an. Le modèle économique vacille, et les assureurs réagissent par un durcissement contractuel sans précédent.
La photographie de la pénétration française reste très contrastée : 89 % des grandes entreprises sont couvertes, contre moins de 20 % des PME et seulement quelques pourcent des TPE selon les baromètres ANSSI et CLUSIF. Mais le vrai problème n'est pas le taux de souscription, c'est la qualité de la couverture. Les acteurs majeurs du marché (AIG, AXA XL, Hiscox, Beazley, Chubb, Allianz), rejoints par les InsurTech françaises Stoïk, Dattak et Onlynnov, ont tous resserré leurs questionnaires de souscription. La prime moyenne d'une PME oscille désormais entre 800 et 4 500 euros par an pour un chiffre d'affaires inférieur à 5 millions d'euros, avec une majoration de +30 à +60 % pour les secteurs santé et finance.
Notre analyse croisée des retours d'assureurs, cabinets spécialisés (Adaltys, Lexcase, ALTIJ) et courtiers (Marsh, Verspieren, WTW) fait émerger sept motifs de refus qui concentrent la quasi-totalité des dossiers rejetés. Voici le tableau opérationnel à connaître par cœur.
| Rang | Motif de refus | Fréquence observée | Conséquence contractuelle |
|---|---|---|---|
| 1 | Absence de MFA sur compte compromis | Très élevée | Déchéance totale |
| 2 | CVE critique non patchée depuis plus de 30 jours | Élevée | Refus pour négligence |
| 3 | Sauvegardes non testées ou non immuables | Élevée | Refus partiel à total |
| 4 | Plainte non déposée sous 72 h (LOPMI) | Moyenne mais en hausse | Déchéance automatique d'ordre public |
| 5 | Notification assureur hors délai contractuel | Moyenne | Refus avec perte de garantie |
| 6 | Négligence grave (pas d'EDR, comptes admin partagés) | Élevée | Exclusion article L.113-1 |
| 7 | Paiement de rançon sans accord assureur | Moyenne | Perte couverture + risque pénal |
Le motif numéro un, l'absence d'authentification multi-facteurs, est devenu totalement non négociable en 2026. Aucun assureur ne couvre plus un compte compromis dépourvu de MFA, et ce verrou s'applique aussi bien aux messageries qu'aux VPN, aux accès administrateurs et aux portails comptables. Un seul compte sans MFA exploité par l'attaquant suffit à faire tomber la garantie sur l'ensemble du sinistre.
C'est probablement la plus grande bombe juridique cachée dans votre contrat. La loi LOPMI promulguée le 24 janvier 2023, codifiée à l'article L.12-10-1 du Code des assurances et applicable aux sinistres depuis le 24 avril 2023, impose à toute entreprise victime d'une infraction relevant des articles 323-1 à 323-3-1 du Code pénal (atteintes aux systèmes de traitement automatisé de données) de déposer plainte sous 72 heures à compter de la connaissance de l'incident.
Cette obligation est d'ordre public. Cela signifie qu'aucune clause contractuelle ne peut y déroger, et qu'aucun arrangement amiable avec l'assureur ne tient si la plainte n'est pas matériellement déposée dans le délai. Plusieurs cabinets (Adaltys, Marsh, Verspieren, WTW) confirment que la sanction est sans appel : déchéance automatique de l'indemnisation. Vous pouvez avoir le meilleur EDR du marché, des sauvegardes parfaites et un PRA documenté, si vous oubliez la plainte à 72 heures et une minute, vous n'êtes plus couvert.
Le piège opérationnel est terrible. La majorité des PME apprennent leur incident un vendredi soir, perdent le week-end à essayer de comprendre, contactent leur prestataire le lundi matin, et déposent plainte le mardi ou le mercredi. C'est trop tard. Pour éviter ce scénario, votre playbook opérationnel des 24 premières heures post-cyberattaque doit intégrer le dépôt de plainte comme première action, avant même l'analyse forensics complète. Plainte au commissariat physique, e-plainte sur la plateforme dédiée, ou signalement Cybermalveillance avec traçabilité horaire : peu importe le canal, l'essentiel est la date certaine.
Souscrire une cyber-assurance en 2026 ne ressemble plus du tout à ce qui se faisait en 2022. Les questionnaires sont passés de 15 questions déclaratives à 50, parfois 100 questions chiffrées au-delà de 50 millions d'euros de chiffre d'affaires, accompagnés d'un scan externe automatisé (Attack Surface Management) que Stoïk et Dattak réalisent gratuitement avant même de coter la prime.
Les six exigences techniques devenues cumulatives et obligatoires en 2026 sont les suivantes :
La nouveauté majeure de 2026, c'est le basculement vers une tarification basée sur la posture réelle mesurée, et non plus sur la posture déclarée. Si votre scan externe révèle des ports RDP ouverts ou des certificats expirés, l'assureur le sait avant vous, et il refuse la souscription ou applique des sub-limites drastiques. C'est précisément pourquoi un audit cybersécurité préalable conditionne désormais l'accès à la couverture pour la majorité des dossiers ETI.
Au-delà des conditions de souscription, les exclusions contractuelles forment le second piège. Six familles d'exclusions concentrent la majorité des refus en phase de sinistre.
Première famille, l'acte de guerre et la cyberguerre. Le Lloyd's Market Association a publié le 18 janvier 2023 quatre clauses cyber war exclusion (LMA5564 à LMA5567), chacune en versions A et B (soit 8 clauses au total), applicables depuis le 31 mars 2023. La quasi-totalité des assureurs les ont intégrées. Concrètement, si l'attaquant est attribué à un État ou à un groupe affilié (APT russe, nord-coréen, iranien), l'assureur peut invoquer l'exclusion. Or l'attribution est devenue la norme : Microsoft, Mandiant et l'ANSSI publient des rapports d'attribution qui peuvent se retourner contre la victime.
Deuxième famille, les sanctions internationales OFAC. Payer une rançon à une entité listée par l'Office of Foreign Assets Control américain (par exemple Zservers, sanctionné le 11 février 2025) est non seulement non couvert, mais expose le dirigeant à une infraction pénale au titre du financement d'activité criminelle. Aucun assureur ne peut légalement rembourser un paiement OFAC, point final.
Troisième famille, la faute lourde du dirigeant au sens de l'article L.113-1 du Code des assurances. Si l'assureur démontre une accumulation de négligences (pas d'EDR, comptes administrateurs partagés, absence totale de formation), il peut invoquer la négligence grave et refuser l'indemnisation, y compris pour un sinistre techniquement couvert. Les autres familles incluent la vétusté connue du système d'information non corrigée, l'atteinte à la réputation seule sans perte de données, et les pertes de propriété intellectuelle généralement exclues hors avenant spécifique.
L'affaire Merck contre Ace American Insurance (groupe Chubb) reste à ce jour le précédent jurisprudentiel le plus important du marché mondial de la cyber-assurance. En 2017, le laboratoire pharmaceutique américain est paralysé par l'attaque NotPetya, attribuée par les autorités américaines à des services russes. Merck déclare 1,4 milliard de dollars de pertes et active sa police all-risks. Ses assureurs invoquent la clause d'exclusion d'acte de guerre.
L'ordonnance du juge Thomas J. Walsh, Superior Court of New Jersey, rendue le 13 janvier 2022 et confirmée en appel en mai 2023 par l'Appellate Division, donne raison à Merck : la clause war exclusion historique, conçue pour la guerre conventionnelle, ne peut s'appliquer mécaniquement aux cyberattaques étatiques. Indemnisation : 1,4 milliard de dollars. Cette décision a provoqué une refonte intégrale des clauses d'exclusion cyber, avec les huit clauses Lloyd's désormais standard. Mondelez contre Zurich, sur le même attaquant NotPetya, s'est conclu par une transaction confidentielle en novembre 2022 sur environ 100 millions de dollars, sans précédent juridique formé.
Côté français, la jurisprudence LOPMI sur la déchéance des 72 heures n'a pas encore produit d'arrêt majeur publié, mais les cabinets Adaltys, Coat Sigy de Roux et Lexcase confirment l'application stricte par les juridictions, accélérée par la création progressive de chambres spécialisées cyber dans les juridictions françaises (notamment via la JUNALCO).
Voici la checklist opérationnelle synthétique, fruit du croisement des exigences AMRAE, ANSSI, et des courtiers de référence. Chaque ligne est à valider avant souscription, puis à maintenir en condition opérationnelle continue.
| Action | Objectif assureur | Preuve à conserver |
|---|---|---|
| Cartographier les actifs SI et classifier les données sensibles | Démontrer la maîtrise du périmètre | Inventaire daté, matrice de classification |
| Déployer le MFA sur 100 % des comptes admin et accès distants | Bloquer le motif de refus n°1 | Export console MFA, dates d'activation |
| Installer un EDR ou souscrire un MDR géré | Détection comportementale exigée | Console EDR, taux de couverture endpoints |
| Mettre en œuvre la sauvegarde 3-2-1-1-0 avec copie immuable | Garantir restauration post-ransomware | Rapports de tests de restauration trimestriels |
| Patcher les CVE critiques sous 30 jours, exploits actifs sous 7 jours | Éviter la négligence grave | Logs patch management, tableau de bord CVE |
| Documenter PCA et PRA, exercer une crise par an | Prouver la résilience opérationnelle | Procès-verbal d'exercice, RETEX signé |
| Former les salariés au phishing chaque trimestre | Réduire la surface humaine | Rapports de campagnes simulées, taux de clic |
| Préparer le playbook 72 h post-incident | Garantir plainte LOPMI et notification | Procédure écrite, contacts à jour |
| Auditer le SI par un tiers chaque année, pentest tous les 12-24 mois | Apporter une vue externe vérifiable | Rapport d'audit, plan d'action signé |
| Documenter chaque action et conserver les preuves 5 ans | Reconstituer la chaîne de conformité | Coffre-fort numérique, journalisation 90 j |
Un facteur supplémentaire vient s'ajouter à l'équation en 2026 : l'entrée en application de la directive NIS 2. La France ayant dépassé la deadline européenne de transposition du 17 octobre 2024, le projet de loi a été examiné par le Sénat le 12 mars 2025, puis par l'Assemblée nationale en juillet 2026, avec une promulgation attendue à l'été ou à l'automne 2026. Le référentiel ANSSI ReCyF, publié le 17 mars 2026, fixe désormais les exigences techniques opposables aux 15 000 à 18 000 entités françaises concernées.
Les sanctions sont massives : 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 millions d'euros ou 1,4 % pour les entités importantes. Mais l'impact assurantiel est encore plus structurant : la conformité NIS 2 devient progressivement un critère d'éligibilité à la souscription pour les secteurs régulés. Autrement dit, sans conformité NIS 2, certaines PME industrielles, du secteur santé ou des collectivités ne pourront tout simplement plus s'assurer en 2027. Notre guide complet sur la conformité NIS 2 pour les PME en 2026 détaille la méthode pas à pas, avec un budget de mise en conformité variant selon la maturité initiale.
L'expérience terrain est claire : la plupart des PME que nous accompagnons découvrent leurs failles d'assurabilité non pas lors de la souscription, mais après le sinistre, quand il est trop tard. Notre démarche inverse cette logique avec une méthode en trois temps.
Premièrement, un audit cybersécurité pré-souscription qui reproduit exactement le questionnaire des assureurs majeurs (AIG, Hiscox, Beazley, Stoïk) et complète par un scan externe identique à celui des InsurTech. Cet audit, livrable en cinq jours ouvrés, identifie les points bloquants et chiffre l'effort de remédiation. Deuxièmement, une mise en conformité opérationnelle pilotée par notre équipe : déploiement MFA, intégration EDR managé, refonte des sauvegardes selon le standard 3-2-1-1-0, et formation continue des collaborateurs au phishing.
Troisièmement, un accompagnement permanent en infogérance cybersécurité qui maintient la posture assurable au fil du temps : patch management, journalisation 90 jours, exercices PCA annuels, mise à jour documentaire continue. Cette continuité opérationnelle est exactement ce que l'assureur vérifie en cas de sinistre, et c'est ce qui sépare la PME indemnisée de celle qui paie deux fois.
Le message à retenir tient en une phrase : la cyber-assurance de 2026 n'indemnise plus les entreprises qui souscrivent, elle indemnise les entreprises qui prouvent. MFA sur tous les comptes, EDR partout, sauvegardes immuables testées, plainte LOPMI déposée à l'heure, notification assureur dans les délais, et documentation continue à jour. Sans ces six piliers, votre contrat n'est qu'un morceau de papier qui sera invoqué contre vous le jour du sinistre.
La bonne nouvelle, c'est que les exigences sont aujourd'hui parfaitement documentées (référentiel ANSSI BP-100 v1.1, ReCyF, questionnaires Stoïk et Dattak) et qu'une PME structurée peut atteindre l'assurabilité en six à neuf mois avec un budget cohérent. La mauvaise nouvelle, c'est que sans démarche proactive engagée maintenant, l'écart entre votre posture et les exigences 2027 va devenir infranchissable. Le moment d'agir, ce n'est pas après l'attaque. C'est avant la prochaine échéance de votre contrat.
Si vous voulez savoir où vous en êtes vraiment, sans déclaratif ni complaisance, nos équipes lancent un audit cyber gratuit et confidentiel sous 72 heures. Vous recevez le rapport, le plan d'action chiffré, et vous décidez ensuite.
Sept motifs concentrent la grande majorité des refus : absence de MFA sur un compte compromis, vulnérabilité critique non patchée depuis plus de 30 jours, sauvegardes non testées ou non immuables, plainte non déposée sous 72 heures conformément à la loi LOPMI, notification de l'assureur hors délai contractuel, négligence grave caractérisée au sens de l'article L.113-1 du Code des assurances, et paiement de rançon sans accord préalable. Chaque motif peut entraîner une déchéance partielle ou totale, indépendamment des autres garanties souscrites.
Oui, l'article L.12-10-1 du Code des assurances, issu de la loi LOPMI du 24 janvier 2023 et applicable aux sinistres depuis le 24 avril 2023, impose ce délai de 72 heures à compter de la connaissance de l'infraction. Cette obligation est d'ordre public, ce qui signifie qu'aucune clause contractuelle ne peut y déroger. Le non-respect entraîne une déchéance automatique de l'indemnisation. La plainte peut être déposée au commissariat, en e-plainte en ligne, ou via le canal Cybermalveillance, l'essentiel étant la date certaine et la traçabilité horaire.
Depuis 2023, le Lloyd's Market Association a publié quatre clauses cyber war exclusion (LMA5564 à LMA5567), chacune en versions A et B, applicables depuis le 31 mars 2023 et intégrées par la quasi-totalité des assureurs. La jurisprudence Merck contre Ace American Insurance de janvier 2022, qui a accordé 1,4 milliard de dollars à Merck malgré l'attaque NotPetya attribuée à un État, a poussé le marché à clarifier ces clauses. En 2026, si l'attaquant est attribué à un acteur étatique ou affilié, l'assureur peut invoquer l'exclusion, sauf clause négociée spécifiquement avec sub-limites.
Six exigences sont devenues cumulatives et non négociables : authentification multi-facteurs sur tous les accès sensibles, EDR comportemental sur 100 % des endpoints, sauvegardes 3-2-1-1-0 conformes au référentiel ANSSI BP-100 v1.1 avec copie immuable testée, patch management sous 30 jours pour les CVE critiques, formation phishing trimestrielle avec campagnes simulées, et plans PCA/PRA documentés exercés au moins annuellement. Au-delà de 50 millions d'euros de chiffre d'affaires, un audit externe et un scan ASM sont systématiques.
Pour une PME avec un chiffre d'affaires inférieur à 5 millions d'euros, la prime annuelle se situe entre 800 et 4 500 euros. Pour une structure de 10 à 50 salariés, la fourchette monte de 1 500 à 8 000 euros par an. Les secteurs santé et finance subissent une majoration de 30 à 60 %. Mais attention, la prime n'est plus le seul critère : un dossier mal préparé peut conduire à un refus pur et simple de souscription par les assureurs majeurs, qui pratiquent désormais une sélection par la posture mesurée.
La négligence grave au sens de l'article L.113-1 du Code des assurances est invoquée quand l'assureur démontre une accumulation de manquements évidents : absence d'EDR, comptes administrateurs partagés, aucune formation, vulnérabilités connues non corrigées. La contestation passe par la reconstitution de la chaîne documentaire prouvant les efforts de sécurisation, idéalement avec un audit tiers récent, des rapports de patch management et des journaux d'événements conservés sur 90 jours minimum. L'accompagnement par un avocat spécialisé est fortement recommandé.
Oui, profondément. Depuis le 24 avril 2023, date d'entrée en vigueur de l'article L.12-10-1, le dépôt de plainte sous 72 heures est devenu une condition d'ordre public à l'indemnisation, pour toute infraction relevant des articles 323-1 à 323-3-1 du Code pénal (atteintes aux systèmes de traitement automatisé de données). Plusieurs cabinets confirment que les premières applications strictes commencent à apparaître devant les tribunaux français, accélérées par la création progressive de chambres spécialisées dans les juridictions.
L'audit pertinent reproduit le questionnaire des assureurs majeurs (AIG, Hiscox, Beazley, Stoïk) avec 50 à 100 points de contrôle chiffrés, complété par un scan externe Attack Surface Management identique à celui pratiqué par les InsurTech. Il couvre la gouvernance, la cartographie des actifs, le déploiement MFA et EDR, la stratégie de sauvegarde, le patch management, la formation des collaborateurs, les plans PCA/PRA, et la documentation continue. Le livrable doit identifier les points bloquants et chiffrer l'effort de remédiation pour atteindre l'assurabilité.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit