Cybersécurité PME

Cyber-assurance : ce que les assureurs vérifient en 2026

Avant de signer une cyber-assurance ou de la renouveler, les assureurs auditent désormais une checklist précise. Voici ce qui passe ou bloque, et comment se préparer pour des primes raisonnables.

Aroua Biri 8 min

Le marché de la cyber-assurance a connu un durcissement violent en 2022-2024 — primes multipliées par 3 à 5, conditions de souscription renforcées, exclusions élargies. En 2025-2026, le marché s'est stabilisé mais les assureurs sont devenus exigeants. Voici ce qu'ils vérifient réellement avant de couvrir, et ce qui détermine le niveau de prime.

Pourquoi le marché s'est durci

2020-2022 : explosion des sinistres ransomware avec rançons à 7-8 chiffres. Les assureurs ont payé énormément, certains se sont retirés du marché. Les survivants ont introduit :

  • Sub-limits ransomware (plafond spécifique, souvent 30-50% de la couverture totale).
  • Exclusions sur les attaques étatiques, certaines géographies.
  • Conditions de souscription strictes avec audit pré-contractuel.
  • Primes ajustées au risque réel mesuré.

Conséquence : aujourd'hui, on n'achète plus une cyber-assurance — on la mérite.

La checklist 2026 des assureurs

Voici ce que je vois passer dans les questionnaires des grands courtiers (Marsh, Aon, WTW, Diot-Siaci) et des assureurs spécialisés (Beazley, AIG, AXA XL, Hiscox).

Authentification

  • MFA obligatoire sur 100% des comptes administrateurs cloud, mail, finance.
  • MFA phishing-resistant (passkeys, FIDO2) pour les comptes admin systèmes critiques. Recommandé sinon prime majorée.
  • SSO centralisé sur un IdP (pas multiplication de bases utilisateurs SaaS).
  • Procédure d'offboarding documentée et exécutée sous 24h pour les départs.

Endpoint

  • EDR sur 100% des postes (pas un antivirus signature). Solutions reconnues : CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Sophos.
  • Quelqu'un est identifié pour traiter les alertes. Si vous sous-traitez à un MSSP, c'est OK.
  • Patch management : Windows à jour sous 30 jours, macOS sous 30 jours, mobile sous 60 jours.

Sauvegardes

  • Sauvegardes immuables (S3 Object Lock, équivalent).
  • Stockage hors ligne ou réseau séparé des systèmes de production.
  • Test de restauration documenté au moins annuel.
  • Rétention suffisante (90 jours minimum, idéalement 180-365 jours).

Email security

  • DMARC en mode reject sur le domaine principal (pas seulement quarantine).
  • SPF + DKIM déployés.
  • Anti-phishing avancé (Microsoft Defender for Office 365, Proofpoint, Mimecast).
  • Formation phishing annuelle minimum, simulations trimestrielles idéalement.

Réseau

  • Segmentation réseau, surtout production vs corporate.
  • VPN ou ZTNA pour les accès distants.
  • Pare-feu géographique : blocage des IP des pays à risque (RU, CN, KP, IR par défaut).
  • DDoS protection au niveau CDN (Cloudflare, Akamai).

Réponse à incident

  • Plan d'incident écrit (voir Gérer un incident cyber en 7 étapes).
  • Cellule de crise identifiée avec coordonnées hors-bande.
  • Forensic partner identifié d'avance (Mandiant, Kroll, CrowdStrike Services, équivalent).
  • Optionnel mais valorisant : exercice de table-top annuel.

Gouvernance

  • Politique sécurité écrite validée par la direction.
  • RSSI ou équivalent fonctionnel identifié (peut être fractional pour PME).
  • Liste des actifs critiques maintenue.
  • Cartographie des données sensibles (RGPD).

Spécifique IA (nouveau en 2026)

Les questionnaires intègrent désormais :

  • Politique d'usage IA interne.
  • Cas d'usage IA en production identifiés.
  • Mesures sur les fournisseurs IA tiers (DPA, scope de données).
  • Risque shadow AI évalué.

Voir Shadow AI : le cas Samsung × ChatGPT.

Niveaux de prime selon votre profil

Indications de marché 2026 pour une PME française de 50 personnes (1 M€ de couverture) :

| Profil | Prime annuelle | Conditions | |---|---|---| | Excellent (toute la checklist OK + ISO 27001) | 4-8 k€ | Couverture complète, sub-limits standards | | Bon (8-9 critères OK sur 10) | 8-15 k€ | Sub-limits ransomware réduits | | Moyen (5-7 critères OK) | 15-30 k€ | Plusieurs exclusions, franchise élevée | | Insuffisant | Refus ou prime prohibitive | Demande de remédiation préalable |

Ce qui fait basculer dans le rouge

Cinq signaux qui font automatiquement tomber dans la catégorie "moyen" ou pire :

  1. MFA partiel ("la plupart des comptes")
  2. Pas d'EDR ou EDR sur seulement une partie du parc.
  3. Sauvegardes mutables (snapshots seulement, partagent les credentials prod).
  4. Aucun plan d'incident écrit.
  5. Antécédents d'incident non remédiés ou mal documentés.

La séquence pour aller chercher une bonne prime

Étape 1 — État des lieux

Faire l'audit honnête de la checklist ci-dessus. Identifier les écarts.

Étape 2 — Remédier les écarts critiques

MFA, EDR, sauvegardes immuables, plan d'incident. Ce sont les "show stoppers" — sans eux, prime catastrophique. Délai typique : 2-4 mois.

Étape 3 — Documenter

Politique sécurité écrite, plan d'incident, cartographie des actifs, runbooks. Vous devez pouvoir produire ces documents à l'assureur.

Étape 4 — Choisir un courtier qui connaît le sujet

Un courtier généraliste va vous présenter un produit standard. Un courtier spécialisé cyber (Marsh Cyber, Aon Cyber Solutions, Diot-Siaci Cyber Risk) va négocier en connaissant le marché.

Étape 5 — Négocier sur 2-3 offres

Ne pas accepter la première. Le marché est compétitif. Mêmes garanties, prix différents de 30-50% selon assureur.

Le cas particulier des incidents existants

Si vous avez eu un incident cyber dans les 24 derniers mois :

  • Déclaration obligatoire dans le questionnaire.
  • Documentation post-incident : root cause, remédiation, contrôles ajoutés depuis.
  • Certains assureurs imposent une période d'observation de 12-24 mois avant d'assurer.
  • D'autres acceptent immédiatement avec une franchise majorée ou une exclusion temporaire.

La transparence est essentielle. Une déclaration mensongère est un motif de nullité du contrat — vous payez la prime, vous n'êtes pas couvert le jour J.

Conclusion

La cyber-assurance en 2026 n'est plus une commodité. C'est un investissement qui suit votre maturité sécurité. Les organisations qui ont fait le travail des 7 priorités avant un RSSI obtiennent des conditions raisonnables. Celles qui n'ont pas fait le travail paient cher pour des couvertures partielles.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

Cybersécurité PME7 priorités avant un RSSI Cybersécurité PMEGérer un incident cyber Cybersécurité PMEPhishing résistant en 90 jours

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt