7 min de lecture

87 pour cent des entreprises allemandes ont été victimes d’attaques cyber l’année dernière. Le préjudice s’élève à 289 milliards d’euros. Le nombre d’entreprises disposant d’une assurance cyber : 7 pour cent. Cette disproportion n’est pas un échec de la direction informatique. Il s’agit d’un échec stratégique au niveau du C-level – et, sous le régime de la directive NIS2, d’un risque de responsabilité personnelle.

L’essentiel

7 pour cent : Un chiffre qui devrait réveiller la direction

L’étude Bitkom « Wirtschaftsschutz 2025 » offre une image qu’aucune présentation destinée au conseil d’administration ne saurait omettre : 87 pour cent des entreprises ont été touchées au cours des douze derniers mois par du vol de données, de l’espionnage industriel ou du sabotage. 34 pour cent ont subi une attaque par rançongiciel (ransomware). 15 pour cent ont versé une rançon. Le préjudice total s’élève à 289,2 milliards d’euros – soit une augmentation de 30 pour cent par rapport à l’année précédente.

Et pourtant, seules 7 pour cent des entreprises disposent d’une assurance cyber. Ce n’est pas le résultat d’une décision consciente en matière de gestion des risques. Dans la plupart des cas, cela découle simplement du fait que la question n’a jamais été posée au niveau du C-level. Plus de la moitié des entreprises concernées ne savent même pas, en cas de crise, à qui s’adresser.

Le regard global confirme ce schéma. Selon l’Enquête mondiale Munich Re sur les risques et l’assurance cyber, 87 pour cent des décideurs interrogés au niveau du C-level jugent insuffisante la protection cyber de leur entreprise. À l’échelle mondiale, Arctic Wolf indique que seules 47 pour cent des organisations éligibles sont effectivement assurées. Avec ses 7 pour cent, l’Allemagne se situe nettement en dessous de cette moyenne déjà faible.

Les raisons de ce déficit d’assurance sont structurelles : De nombreux dirigeants sous-estiment le risque résiduel après avoir investi dans des mesures techniques. D’autres redoutent les coûts des primes, sans les comparer aux pertes potentielles. Et, dans bien des cas, il manque tout simplement la prise de conscience que l’assurance cyber est une décision relevant du comité de direction – et non un sujet à négocier au sein du département informatique.

Ce que couvre une assurance cyber – et ce qu’elle ne couvre pas

Qu’est-ce qu’une assurance cyber ? Une assurance cyber couvre les dommages financiers résultant d’attaques cyber, de pertes de données ou de pannes informatiques. Cela inclut notamment les frais d’expertise informatique judiciaire (IT-forensics), de communication de crise, d’interruption d’activité, de notification des personnes concernées conformément au Règlement général sur la protection des données (RGPD), ainsi que les frais de conseil juridique. Elle ne remplace pas la sécurité informatique – elle la complète en tant que filet de sécurité financier, au cas où toutes les mesures techniques viendraient à échouer.

Les chiffres publiés par Munich Re illustrent l’ampleur du phénomène : le marché mondial de l’assurance cyber atteindra, en 2025, un volume de primes d’environ 16,3 milliards de dollars américains. D’ici 2030, ce volume doublera pour dépasser les 32 milliards de dollars. L’Europe représente, avec 3,3 milliards de dollars américains, environ 21 pour cent du marché mondial et connaît la croissance la plus rapide, à hauteur de 26 pour cent par an – un indicateur clair que les entreprises européennes commencent lentement à prendre conscience de ce déficit.

Selon Allianz Commercial, environ 60 pour cent des grands sinistres cyber (supérieurs à 1 million d’euros) survenus au premier semestre 2025 étaient liés à des attaques par rançongiciel. Le secteur de la fabrication industrielle concentre le plus important volume de sinistres – conséquence d’une augmentation de 71 pour cent des attaques cyber contre ce secteur et de la numérisation croissante des systèmes de production. À l’inverse, le montant moyen des sinistres a baissé de plus de 50 pour cent sur la même période, car les entreprises dotées d’une assurance cyber disposent généralement de processus de réponse aux incidents (incident-response) plus performants.

Source : Bitkom Wirtschaftsschutz 2025 (n = 1 003 entreprises comptant au moins 10 employés)

Pourquoi la décision incombe au comité de direction

Dans de nombreuses entreprises, l’assurance cyber est traitée comme un sujet relevant de l’informatique. C’est une erreur. La décision de savoir si une entreprise doit être couverte contre les risques cyber – et dans quelle mesure – concerne simultanément trois fonctions au sein du comité de direction : le directeur des systèmes d’information (CIO), chargé de l’évaluation des risques et du niveau de sécurité ; le directeur financier (CFO), responsable du budget alloué aux primes et de l’évaluation du potentiel de dommage ; et le directeur général (CEO), qui assume la responsabilité globale et la responsabilité personnelle. Aucune de ces fonctions ne peut prendre cette décision seule.

La directive NIS2 a légalement ancré cette responsabilité. Les organes de direction doivent approuver et surveiller les mesures de gestion des risques cyber. En cas de faute grave, des amendes personnelles pouvant atteindre 10 millions d’euros ou 2 pour cent du chiffre d’affaires annuel mondial sont prévues, ainsi que des interdictions temporaires d’exercer une fonction dirigeante. La question de savoir si l’entreprise a besoin d’une assurance cyber fait partie intégrante de ce devoir de diligence – l’ignorer pourrait être considéré comme une faute grave.

Pour le secteur financier, le règlement DORA renforce encore davantage ces exigences : chaque prestataire de services de technologies de l’information et de la communication (TI/TC) tiers doit être inscrit dans un registre et évalué. Cela inclut également l’assureur lui-même – sa capacité à intervenir efficacement en cas de sinistre doit être documentée. Un membre du comité de direction incapable de prouver qu’il a évalué de manière systématique la question de l’assurance cyber s’expose à des critiques fondées.

« Nous devons continuer à accroître nos investissements dans la sécurité informatique. »
Dr. Ralf Wintergerst, président de Bitkom (Bitkom Wirtschaftsschutz 2025)

La demande formulée par Wintergerst va au-delà des seules mesures techniques. Selon Bitkom, la part des dépenses consacrées à la sécurité informatique dans le budget IT est passée à 18 pour cent – elle n’était que de 9 pour cent en 2022. 41 pour cent des entreprises investissent déjà 20 pour cent ou plus de leur budget IT dans la sécurité. Toutefois, les investissements techniques seuls ne suffisent pas : la question n’est pas de savoir si une attaque aura lieu, mais quand. Et c’est alors l’assurance qui déterminera si l’entreprise survivra financièrement au sinistre.

Le piège des primes : Pourquoi les assureurs examinent désormais chaque détail

Après deux années de baisse des primes, Munich Re anticipe pour 2026 une hausse comprise entre 15 et 20 pour cent. La raison ? La fréquence des sinistres augmente plus rapidement que les recettes issues des primes. Les groupes de rançongiciel se professionnalisent, les surfaces d’attaque s’élargissent avec le télétravail et l’Internet des objets (IoT), tandis que les coûts de restauration augmentent avec la complexité des paysages informatiques.

Les assureurs réagissent en durcissant leurs critères d’acceptation (underwriting). L’authentification multifacteur (MFA), des plans de sauvegarde testés, des plans de réponse aux incidents (incident-response) documentés et des tests d’intrusion (penetration tests) réguliers ne sont plus des options facultatives – ils constituent désormais une condition préalable à l’obtention d’une couverture à des conditions acceptables. Les entreprises qui ne remplissent pas ces fondamentaux obtiennent soit aucune police, soit des primes qui dépassent largement leur budget.

Cela signifie, pour la direction, que celui qui n’a pas d’assurance cyber aujourd’hui paiera plus cher demain. Et celui qui souhaite souscrire une telle assurance devra d’abord prouver que son entreprise respecte les normes minimales de sécurité. Les exigences minimales des assureurs recoupent largement les obligations imposées par NIS2 – celui qui satisfait à l’une répond automatiquement à l’autre. Cela rend doublement rentable l’investissement dans l’infrastructure de sécurité.

La position contraire est légitime : Toutes les entreprises n’ont pas besoin d’une couverture intégrale. Pour les organisations disposant d’un niveau de sécurité très avancé, l’autocouverture peut être économiquement plus pertinente. Mais cette décision doit reposer sur une analyse des risques documentée – et non sur l’inaction. Le comité de direction doit pouvoir justifier qu’il a délibérément tranché cette question.

Trois questions auxquelles le comité de direction doit répondre

Les questions suivantes constituent le cœur d’une stratégie responsable de gestion des risques cyber. Chacune exige une réponse documentée – tant pour la gouvernance interne que pour la démonstration de conformité au titre de NIS2.

1. Quel est notre exposition maximale au risque de sinistre ? Une interruption d’activité due à une attaque par rançongiciel coûte, selon le secteur et la taille de l’entreprise, entre 50 000 et 5 millions d’euros par jour. Le comité de direction doit connaître la limite supérieure du préjudice potentiel pour son entreprise – afin d’orienter la décision d’assurance et de produire une documentation des risques conforme à NIS2.

2. Quels risques assurons-nous, lesquels assumons-nous nous-mêmes ? Aucune police ne couvre tous les types de sinistres. Les exclusions liées à la guerre, aux pannes systémiques des infrastructures critiques et aux attaques pilotées par des États sont fréquentes. Le comité de direction doit connaître précisément les lacunes de couverture et documenter pourquoi certains risques résiduels sont délibérément acceptés.

3. Remplissons-nous les exigences minimales des assureurs ? Sans authentification multifacteur (MFA), sans sauvegardes fiables et sans plan de réponse aux incidents, aucune protection abordable n’est possible. Ces exigences coïncident largement avec les obligations de NIS2 – celui qui remplit l’une est préparé à l’autre.

Conclusion

Un taux de 7 pour cent d’entreprises assurées face à un taux de 87 pour cent d’entreprises touchées – ce n’est pas une simple statistique, c’est un appel à l’action. L’assurance cyber ne relève pas du département informatique : elle appartient à l’ordre du jour des réunions du C-level. NIS2 rend cette discussion obligatoire. Et la hausse des primes rend l’attentisme plus coûteux que l’action. La première étape consiste à réaliser une analyse des risques documentée permettant de chiffrer l’exposition maximale au sinistre. Celui qui ignore ce chiffre ne peut ni décider rationnellement de souscrire une assurance, ni évaluer de façon pertinente les investissements en sécurité.

Questions fréquentes

Source de l’image : Pexels / Vlada Karpovich (px:7433929)