6 min de lecture

15,3 milliards de dollars US de volume de primes, une hausse des prix de 15 à 20 pour cent prévue pour 2026 et de nouvelles clauses d’exclusion qui éliminent des catégories entières de sinistres. Le marché de la cyberassurance a fondamentalement changé. Ce qui a commencé comme un transfert de risque calculable devient pour de nombreuses entreprises une police de plus en plus coûteuse avec une couverture qui se réduit. 27 pour cent de toutes les réclamations liées aux violations de données et 24 pour cent de toutes les réclamations de première partie sont désormais rejetées en totalité ou en partie. L’équation qu’aucun CFO ne veut voir : la prime augmente, la couverture diminue et en cas de sinistre, l’assureur refuse de payer plus souvent qu’on ne le pense.

L’essentiel en bref

Le marché bascule : les primes repartent à la hausse à deux chiffres

Après deux années de relative détente, le marché de la cyberassurance se retourne. S&P Global Ratings prévoit une hausse des primes de 15 à 20 pour cent pour 2026. Cela semble modéré si l’on ignore le contexte : entre 2020 et 2022, les primes avaient déjà doublé voire triplé pour de nombreuses entreprises. Après un bref recul de 22 pour cent par rapport au pic de 2022, elles repartent à la hausse.

Le volume mondial des primes s’élevait à 15,3 milliards de dollars US en 2025, soit une progression de 7 pour cent. Les analystes anticipent un doublement du volume du marché d’ici 2030, à environ 30 milliards de dollars US. Pour les entreprises des secteurs à haut risque comme la santé et les services financiers, les primes dépassent déjà de 50 pour cent la moyenne du marché.

Les facteurs derrière cette hausse des prix sont structurels, non conjoncturels. Il ne s’agit pas d’un marché cyclique qui se normalise après une phase de détente. Il s’agit d’une réévaluation fondamentale du risque par les assureurs. Les incidents liés aux rançongiciels ont augmenté de 126 pour cent au premier trimestre 2025. Les sinistres majeurs dépassent régulièrement le milliard de dollars US et remettent en question les limites de couverture traditionnelles. Les assureurs réagissent par des primes plus élevées et des conditions plus strictes.

Pour les CFO qui considéraient jusqu’ici les risques informatiques principalement comme un poste d’assurance, cette évolution est un signal d’alarme. L’époque où une police cyber couvrait l’ensemble du risque numérique est révolue. Ce qui est vendu aujourd’hui comme assurance est un produit financier conditionné comportant des restrictions considérables. Qui ne connaît pas ces restrictions et ne les gère pas activement paie pour une illusion de sécurité.

L’écart de couverture selon la taille de l’entreprise

La pénétration du marché est extrêmement inégale. Alors que 80 pour cent des grandes entreprises disposent d’une cyberassurance, seulement 40 à 50 pour cent des entreprises de taille intermédiaire avec un chiffre d’affaires de 100 millions à 1 milliard d’euros ont souscrit une police. Pour les petites et moyennes entreprises, le taux tombe à 10 pour cent.

Ces chiffres signifient que les entreprises les plus vulnérables – parce qu’elles investissent moins dans la cybersécurité et disposent d’une moindre résilience – sont le plus souvent non assurées. Les PME disposent rarement d’équipes de sécurité dédiées, exploitent des systèmes plus anciens et ont des processus de réponse aux incidents moins formalisés. Une attaque par rançongiciel réussie peut menacer l’existence même d’une entreprise non assurée de cette taille. Les coûts totaux moyens d’un cyber-incident – incluant l’interruption d’activité, l’analyse forensique, la restauration et les dommages réputationnels – dépassent fréquemment les résultats annuels des entreprises de taille intermédiaire.

Dans le segment des ETI, un nouveau phénomène émerge : les entreprises qui souhaitent s’assurer échouent de plus en plus face aux exigences de souscription. Les assureurs exigent des contrôles de sécurité vérifiables – détection des terminaux, authentification multifacteur, plans de réponse aux incidents testés, stratégies de sauvegarde sécurisées. Qui ne peut démontrer ces fondamentaux n’obtient soit aucune police, soit une police assortie de restrictions et de franchises considérables. Gallagher décrit cette évolution comme un passage à la « Conditional Coverage » – l’assurance n’est plus vendue, elle se mérite. La police n’est plus un produit que l’on achète, mais une certification que l’on doit conquérir.

Ce que la police ne couvre plus : les nouvelles exclusions

L’évolution la plus critique ne concerne pas les primes, mais la couverture. Les cyberassureurs ont introduit au cours des 18 derniers mois une série de nouvelles clauses d’exclusion qui restreignent considérablement l’étendue de la protection.

Sous-limites pour les rançongiciels. Les indemnisations pour les incidents de rançongiciels sont de plus en plus plafonnées en dessous de la limite globale de la police. Une entreprise disposant d’une police de 10 millions d’euros peut constater que la couverture rançongiciel est plafonnée à 2 millions d’euros. Compte tenu des dommages moyens liés aux rançongiciels de 292 000 dollars US par incident assuré, cela semble suffisant – jusqu’à ce qu’une attaque majeure touche l’ensemble de l’infrastructure et que les coûts se chiffrent en millions.

Exclusions liées aux acteurs étatiques. Les attaques présumément menées par des acteurs étatiques peuvent être exclues de la couverture – sauf si l’assuré peut prouver qu’aucune attribution étatique n’est en cause. La charge de la preuve incombe au preneur d’assurance, et la distinction entre acteurs soutenus par un État et acteurs criminels est en pratique quasi impossible à établir. NotPetya en 2017 a montré comment cette clause fonctionne en cas de sinistre : des milliards de dommages que les assureurs ont classés comme acte de guerre et n’ont pas indemnisés.

Exclusion des systèmes non patchés. Les polices peuvent refuser la couverture si l’incident est imputable à des systèmes non patchés ou qui ne sont plus supportés. Dans les organisations où la dette technique fait partie du quotidien et où les cycles de mise à jour s’étalent sur des mois, ce n’est pas une restriction théorique. C’est une bombe à retardement dans le contrat. Et elle est amorcée dans chaque organisation qui exploite encore des serveurs Windows 2012 ou des systèmes SAP non patchés.

Exclusions liées à la conformité. Les violations de réglementations sectorielles – RGPD, NIS2, DORA dans le secteur financier – peuvent réduire ou annuler la couverture. Cela signifie qu’au moment précis où une violation de conformité aggrave un incident, l’assurance se retire.

Événements systémiques. Les assureurs définissent les « événements généralisés » ou « catastrophes » de manière à limiter l’exposition agrégée lors d’attaques coordonnées. Si une seule attaque par rançongiciel touche simultanément des centaines d’assurés – comme lors d’une attaque de la chaîne d’approvisionnement – la couverture peut être restreinte. La leçon de SolarWinds et MOVEit : les scénarios qui causent les plus grands dommages sont les plus menacés par les exclusions.

Rançongiciels : le moteur derrière le calcul

Les rançongiciels dominent les statistiques de sinistres. Selon les études, 29 à 41 pour cent de toutes les réclamations de cyberassurance sont imputables aux rançongiciels. Le coût moyen par incident assuré s’élève à 292 000 dollars US – une valeur en hausse de 17 pour cent par rapport à l’année précédente. La fréquence augmente également : au premier trimestre 2025, le secteur a enregistré une hausse de 126 pour cent des incidents de rançongiciels.

Pour les CFO, la question n’est plus de savoir si une attaque par rançongiciel peut toucher leur organisation, mais si la cyberassurance paiera réellement en cas d’urgence. La combinaison de sous-limites pour les rançongiciels, d’exclusions liées aux acteurs étatiques et de l’exigence de contrôles de sécurité vérifiables signifie que de nombreuses entreprises paient des primes croissantes pour une couverture qui, dans le scénario de sinistre le plus probable – une attaque par rançongiciel – ne rembourse qu’une fraction des coûts.

Munich Re considère les rançongiciels, les violations de données, la compromission de messagerie professionnelle et les attaques DDoS comme les quatre principaux facteurs de sinistres assurés. Ce qui préoccupe le secteur : la professionnalisation croissante et le soutien par l’IA des attaquants se heurtent à un paysage assurantiel qui restreint simultanément sa couverture. Le rapport entre risque et protection se détériore pour le preneur d’assurance.

Un facteur supplémentaire aggrave la situation : les attaques assistées par l’IA. Les courriels de phishing sont devenus si convaincants grâce aux grands modèles de langage que les formations de sensibilisation traditionnelles perdent en efficacité. Les deepfakes permettent des attaques d’ingénierie sociale qui trompent même les collaborateurs expérimentés. Les attaques par clonage vocal ont franchi pour la première fois en 2025 le seuil du million de dollars de dommages individuels. Les assureurs observent cette évolution et l’intègrent dans leurs calculs – sous forme de primes plus élevées et d’exclusions plus strictes.

Ce que révèle le calcul honnête

Le calcul honnête, qui a rarement lieu dans les conseils d’administration, se présente ainsi :

Une police cyber standard avec 10 millions d’euros de couverture coûte à une entreprise de taille intermédiaire, selon le secteur, entre 100 000 et 300 000 euros par an. Avec un taux de rejet de 27 pour cent pour les réclamations liées aux violations de données et des exclusions croissantes, le remboursement effectivement attendu en cas de sinistre se situe nettement en dessous de la limite de couverture. Une entreprise qui paie 1,5 million d’euros de primes sur cinq ans et doit assumer elle-même 40 pour cent des coûts en cas de sinistre a fait une mauvaise affaire.

L’alternative n’est pas la résiliation de la police, mais une meilleure position de négociation. Les entreprises qui ont démontrablement porté leur cybersécurité à un niveau élevé – détection des terminaux, architecture Zero Trust, processus de réponse aux incidents testés – négocient de meilleures conditions : primes plus basses, couverture plus étendue et moins d’exclusions. L’investissement dans la cybersécurité ne réduit pas seulement le risque, il réduit aussi les coûts d’assurance.

Le deuxième levier : examiner activement la police pour ses exclusions. De nombreuses entreprises ne connaissent pas en détail les clauses d’exclusion de leur propre police cyber. Un examen annuel des conditions contractuelles avec un courtier spécialisé, comparé au paysage informatique réel et aux scénarios d’attaque les plus probables, est la meilleure protection contre une mauvaise surprise en cas de sinistre.

Le troisième levier : diversifier les risques. La cyberassurance est un instrument de financement du risque, pas un substitut à la gestion des risques. Les entreprises qui financent l’intégralité de leur cyber-risque par une seule police mettent tous leurs oeufs dans le même panier. L’assurance captive, les réserves de risque et la répartition contractuelle des risques avec les prestataires sont des compléments qui répartissent mieux le risque global qu’une seule police assortie d’exclusions.

L’évaluation honnête : la cyberassurance reste un instrument pertinent de financement du risque. Mais le marché est passé d’un marché d’acheteurs à un marché de vendeurs. L’entreprise qui souhaite la meilleure couverture à des conditions acceptables doit d’abord investir dans la cybersécurité. Non pas parce que l’assurance l’exige, mais parce que l’assurance sans cette base devient de plus en plus sans valeur. La prime seule n’achète plus de protection. Elle achète le droit à un examen dont le résultat dépend de son propre niveau de sécurité.

Questions fréquentes

Image de titre : Pexels / Monstera Production (px:5849553)