En France, les incidents cyber conservent leur statut de première menace pour les entreprises. Pourtant, moins de 5 % des PME sont assurées.
Entre durcissement des critères de souscription, nouvelles obligations réglementaires et tarifs qui se stabilisent, le marché de la cyberassurance entre dans une phase de maturité inédite.
Chiffres à retenir :
- 42 % des experts mondiaux citent le cyber comme risque n°1
- 317 M€ de primes cyber perçues en France en 2024 (AMRAE)
- < 5 % des PME françaises couvertes par une assurance cyber
- 14 Mds€ de primes cyber attendues en Europe d’ici 2027
Quatre ans en tête : le cyber, risque systémique
C’est devenu une constante du paysage de l’assurance. Selon le Baromètre des Risques Allianz 2026, qui compile les réponses de 3 338 experts dans 97 pays, les incidents cyber arrivent en tête des préoccupations mondiales avec 42 % des citations. En France, la tendance est encore plus marquée : les incidents cyber conservent le statut de risque numéro un pour la quatrième année consécutive, devant les catastrophes naturelles et les incendies.
Cette persistance au sommet du classement dit beaucoup sur la nature du risque. Le cyber n’est plus une menace technique cantonnée aux départements informatiques : il est devenu un risque de direction, susceptible de paralyser l’ensemble d’une chaîne de valeur.
Selon le baromètre des Risques Allianz 2026, la menace est en outre dangereusement concentrée sur les infrastructures cloud, où trois entreprises, Amazon Web Services, Microsoft Azure et Google Cloud, contrôlent plus de 60 % du marché mondial.
L’assureur spécialiste Beazley a publié début mai 2026 son rapport Risk & Resilience : Cyber Threat and Tech Advances 2026, fondé sur une enquête auprès de 3 500 dirigeants dans le monde. Sa conclusion principale est celle-ci :
« Les résultats mettent en lumière un décalage croissant entre la perception de la résilience et la réalité du risque, à mesure que le risque cyber devient plus systémique. Les incidents se propagent aujourd’hui rapidement via des plateformes partagées, des fournisseurs communs et des dépendances numériques, redéfinissant la notion de résilience : celle-ci ne se mesure plus à la capacité d’éviter une perturbation, mais à l’ampleur de sa propagation, à sa durée et à la rapidité de la reprise. »
Un marché qui gagne en maturité, mais des PME encore à la traîne
Sur le front des primes, 2024 a marqué un tournant. Selon le rapport LUCY de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), le marché français de la cyberassurance a atteint 317 millions d’euros de primes en 2024, en légère baisse par rapport aux 328 millions de l’année précédente. Cette stabilisation, accompagnée d’une réduction moyenne des taux de prime de 18 % pour les grandes entreprises, traduit une meilleure modélisation du risque et une concurrence accrue entre assureurs.
Mais le tableau est beaucoup plus sombre du côté des petites structures. Moins de 5 % des PME françaises disposent d’une couverture cyber, alors que ces entreprises représentent désormais 70 % des victimes de cyberattaques en France. Un paradoxe d’autant plus frappant que le risque cyber est estimé 20 à 30 fois plus élevé que le risque incendie ou vol.
Des critères de souscription qui se durcissent
En 2026, les assureurs ont considérablement relevé leurs exigences. Il ne suffit plus de payer une prime pour être couvert : les entreprises doivent désormais démontrer un niveau minimal de maturité en cybersécurité. Authentification multifactorielle (MFA), sauvegardes hors ligne régulières, sensibilisation du personnel, plan de continuité d’activité : autant de prérequis qui conditionnent l’accès à la couverture.
Certains assureurs procèdent même à des audits techniques avant toute souscription pour les entreprises d’une certaine taille.
Cette évolution s’inscrit dans un contexte réglementaire en pleine ébullition. La directive NIS2, transposée en droit français en 2024, va faire exploser le nombre d’entités soumises à des obligations de cybersécurité, passant de quelques centaines sous NIS1 à entre 15 000 et 20 000 organisations. À cela s’ajoutent le règlement CRA (cyber-résilience), DORA pour les acteurs financiers, et les premières sanctions réglementaires attendues.
L’IA : arme à double tranchant
L’intelligence artificielle bouleverse également les modèles de souscription et de gestion des sinistres. D’un côté, elle permet aux assureurs d’affiner l’évaluation des risques, de détecter les anomalies comportementales et d’accélérer le traitement des dossiers. De l’autre, elle arme les attaquants de nouvelles capacités offensives. Deepfakes vocaux, usurpations d’identité par IA, documents frauduleux indiscernables de l’original : la sophistication des cyberattaques progresse à une vitesse que les défenses peinent à suivre.
Face à cet environnement inédit, le marché européen de l’assurance cyber devrait atteindre 14 milliards d’euros de primes d’ici 2027. Une croissance qui, pour se concrétiser, suppose que les assureurs réussissent à étendre leur couverture aux PME, le maillon faible et le plus exposé de la chaîne économique française.
Source : Baromètre des Risques Allianz 2026, janvier 2026 / Allianz Research 2026 / Mandalore Partners, InsurTech 2026, Rapport LUCY, AMRAE 2024 / Xerfi 2026