Cybersécurité

Assurance cyber : couverture, exclusions et prérequis 2026

Couverture, exclusions et prérequis techniques de l'assurance cyber en France en 2026 : ce que les DSI et RSSI doivent savoir avant de souscrire ou renouveler.

Marc Aubert · Mis à jour le par Marc Aubert

Le marché de l’assurance cyber connaît une maturité accélérée en France : 317 millions d’euros de primes collectées en 2024 selon le baromètre AMRAE LuCy 2025, une hausse de 43 % des indemnisations versées (55 M EUR), et une progression marquée des sinistres déclarés en PME sur l’exercice. Ces chiffres traduisent une réalité que les DSI et RSSI ne peuvent plus ignorer : l’assurance cyber est passée d’un produit de niche à une composante structurelle de la gestion des risques IT. Elle s’accompagne désormais de conditions de souscription et d’indemnisation qui exigent une préparation technique rigoureuse.

Ce que couvre réellement une police cyber en 2026

Les polices cyber actuelles s’articulent autour de trois familles de garanties.

Garanties premières pertes (dommages propres)

  • Frais de remédiation technique (investigation forensique, restauration des systèmes)
  • Perte d’exploitation cyber (interruption d’activité consécutive à un incident)
  • Extorsion et rançon (sous conditions strictes, voir section dédiée)
  • Notification aux personnes concernées (obligation RGPD/CNIL)
  • Gestion de crise et communication

Garanties responsabilité civile cyber (dommages aux tiers)

  • Atteinte aux données personnelles de clients ou partenaires
  • Transmission accidentelle d’un malware à un tiers
  • Atteinte à la vie privée liée à une fuite de données sensibles

Assistance et services inclus

  • Accès à une cellule de crise 24/7 (juristes, experts forensiques, communicants)
  • Accompagnement post-incident auprès de la CNIL
  • Gestion des relations avec les autorités (ANSSI pour les entités NIS2)
GarantieIncluse en standardOptionnelleFréquemment exclue
Frais de remédiation techniqueOui--
Perte d’exploitation cyberOui-Carence d’un tiers (cloud)
Rançon / extorsionConditionnelExtension possibleSans accord préalable assureur
RC tiers - données personnellesOui-Amende CNIL directe
Cyber-espionnage / vol de PILimitéExtensionAttaques étatiques (LMA5567)
Fraude aux virements (FOVI)NonExtension finances-
Systèmes industriels OT/ICSNonExtension dédiée-

Point d’attention sur les rançons. La couverture du paiement de rançon est conditionnelle dans la grande majorité des contrats : l’assureur doit être notifié avant tout versement et donner son accord explicite. Un paiement effectué sans cette validation préalable est quasi systématiquement refusé à l’indemnisation. La loi LOPMI (article L. 12-10-1 du Code des assurances) impose depuis 2023 un dépôt de plainte dans les 72 heures pour déclencher la garantie extorsion.

Les exclusions qui concentrent les litiges

Cyberguerre et attaques étatiques : le régime LMA5567

Depuis mars 2023, Lloyd’s of London (Market Bulletin Y5381) impose à ses syndiqués d’inclure dans toutes les polices cyber standalone des clauses d’exclusion explicites pour les cyberattaques étatiques. Les clauses LMA5567A et LMA5567B, généralisées sur le marché international et adoptées en France, définissent un seuil d’exclusion lié à l’impact : une attaque est exclue si elle produit un “major detrimental impact” sur les services essentiels ou la sécurité nationale d’un État cible.

Ces clauses ne visent pas les ransomwares criminels ordinaires. Elles ciblent les opérations de guerre informatique à grande échelle, du type NotPetya 2017 (qui avait généré plus de 10 Md USD de pertes non couvertes). La difficulté d’attribution reste le point de friction principal : un groupe comme Sandworm ou APT41 peut opérer pour le compte d’un État tout en utilisant des outils communs aux cybercriminels. En cas de sinistre majeur, les assurés doivent anticiper un examen approfondi de la chaîne de commandement de l’attaque.

Négligence avérée et fausse déclaration

C’est l’exclusion la plus fréquemment invoquée en 2026. Si l’assuré a déclaré disposer d’un MFA généralisé ou d’un EDR actif, et que l’investigation post-incident révèle l’absence de ces contrôles sur une partie significative du parc, l’assureur peut invoquer la fausse déclaration (article L. 113-8 du Code des assurances) et prononcer la nullité du contrat, y compris rétroactivement.

Autres exclusions à surveiller

  • Systèmes en fin de vie (EOL) : un OS ou logiciel sans support au moment du sinistre constitue une cause d’exclusion dans un nombre croissant de polices.
  • Chaîne d’approvisionnement sans clause dédiée : les attaques via un prestataire (type SolarWinds ou MOVEit) ne sont pas couvertes automatiquement ; une extension “cyber tiers” doit être explicitement souscrite.
  • Panne d’infrastructure cloud tierce : la plupart des polices excluent les pertes d’exploitation consécutives à une indisponibilité d’un hyperscaler (AWS, Azure, GCP) non causée par une cyberattaque sur l’assuré lui-même.
  • Amendes et sanctions réglementaires : les amendes CNIL ou les pénalités NIS2 ne sont généralement pas indemnisables pour des raisons d’ordre public.

Les cinq prérequis techniques non négociables

En 2026, les souscripteurs ont harmonisé leur grille d’évaluation autour d’un socle de cinq contrôles. L’absence de l’un d’eux entraîne soit un refus de souscription, soit une franchise majorée, soit une exclusion partielle des garanties.

1. MFA sur tous les accès sensibles

L’authentification multifactorielle doit couvrir : accès VPN et RDP, comptes à privilèges (administrateurs AD, comptes de service), consoles SaaS métiers (Microsoft 365, outils RH/finance), et interfaces de gestion des sauvegardes. Un déploiement partiel sur 70 % des accès n’est plus suffisant. Les questionnaires de souscription demandent désormais le taux de couverture effectif et les preuves d’activation.

2. EDR/XDR sur l’ensemble des endpoints

L’antivirus de signature est considéré comme insuffisant par les souscripteurs. Les assureurs exigent un EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response) capable de détecter des comportements anormaux en temps réel sur 100 % des postes de travail, serveurs et machines virtuelles. La capacité de réponse automatisée (isolation du poste compromis) est un critère différenciant lors de l’évaluation.

3. Sauvegardes immuables et testées

La règle 3-2-1 (3 copies, 2 supports différents, 1 hors site) est le minimum. Les assureurs exigent des sauvegardes immuables (technologie WORM) ou air-gapped (physiquement déconnectées du réseau de production) pour les données critiques. La fréquence de test de restauration doit être documentée, au moins semestrielle pour les données critiques.

4. Plan de réponse à incident documenté et testé

Un Plan de Réponse aux Incidents (PRI) doit exister, être formalisé, et avoir fait l’objet d’un exercice de simulation dans les 24 mois précédant la souscription. Les assureurs apprécient les preuves de tabletop exercises impliquant la direction. L’alignement sur le framework NIST CSF 2.0 (fonctions Identify, Protect, Detect, Respond, Recover) constitue un référentiel reconnu par les souscripteurs.

5. Patch management sous 30 jours

Les correctifs critiques (CVSS supérieur ou égal à 9,0) doivent être appliqués sous 14 à 30 jours selon les polices. L’utilisation de systèmes EOL non compensée par des mesures de segmentation constitue un facteur aggravant systématiquement scruté lors des audits. Le Référentiel Cyber France (ReCyF) de l’ANSSI formalise ces exigences dans la réglementation française.

Alignement NIS2/DORA et assurance cyber : le levier de conformité

L’article 21 de la directive NIS2 liste les mesures de gestion des risques obligatoires pour les entités essentielles et importantes : authentification multifactorielle, chiffrement, sécurité de la chaîne d’approvisionnement, plans de continuité, gestion des incidents. Ces exigences se chevauchent à environ 80 % avec les critères des souscripteurs cyber, selon les analyses comparatives disponibles en 2025-2026.

Pour les entités soumises à DORA (secteur financier), l’exigence de tests de résilience opérationnelle et de cartographie des dépendances tierces critiques constitue une base documentaire directement valorisable dans le questionnaire de souscription.

Pour la cybersécurité des entreprises, une démarche de conformité NIS2 pilotée conjointement par le RSSI et la DSI est la trajectoire la plus efficiente : elle satisfait simultanément les obligations réglementaires et les prérequis assurantiels, avec une réduction des primes pouvant atteindre 50 a 60 % pour les organisations qui documentent rigoureusement leurs contrôles, selon les données observées sur le marché international.

Ce que les DSI et RSSI doivent préparer avant de (re)négocier

Avant d’entamer un cycle de souscription ou de renouvellement, plusieurs actions préparatoires sont indispensables :

  1. Réaliser ou mettre à jour un audit cybersécurité (moins de 24 mois) en référence à l’ANSSI, ISO 27001 ou NIST CSF 2.0. Cet audit constitue la pièce maîtresse du dossier.
  2. Cartographier les actifs critiques et identifier les expositions résiduelles (systèmes EOL, accès tiers, dépendances cloud).
  3. Documenter le taux de couverture MFA et EDR avec des preuves techniques extraites des consoles de gestion.
  4. Tester et dater les dernières restaurations de sauvegarde, en conservant les rapports formalisés.
  5. Vérifier la cohérence des déclarations : tout écart entre les réponses au questionnaire et l’état réel du SI peut invalider la police en cas de sinistre.

La montée en exigences des assureurs peut être utilisée comme levier dans les arbitrages budgétaires internes. Un RSSI peut s’appuyer sur le refus ou la surprime d’un assureur pour objectiver devant la direction générale l’investissement nécessaire sur un EDR ou une solution de sauvegarde immuable. Sur les vecteurs d’attaque ransomware 2026, le RDP non protégé et les identifiants compromis restent les deux points d’entrée principaux que les souscripteurs scrutent en priorité.

L’assurance cyber n’est ni une alternative à la sécurité opérationnelle, ni une garantie inconditionnelle. Elle constitue un transfert de risque résiduel, qui ne fonctionne que si le risque primaire a été correctement maîtrisé au niveau technique et organisationnel. En 2026, les assureurs ne prennent plus ce contrôle pour acquis : ils le vérifient, l’auditent et en conditionnent l’indemnisation.

Questions fréquentes

L'assurance cyber couvre-t-elle toujours le paiement d'une rançon ?

Non, la couverture est conditionnelle. L'assureur doit être notifié avant tout versement et donner son accord explicite. En parallèle, la loi LOPMI impose un dépôt de plainte dans les 72 heures suivant la découverte de l'incident pour déclencher la garantie extorsion. Un paiement effectué sans validation préalable est quasi systématiquement refusé à l'indemnisation, quelle que soit la prime versée.

Qu'est-ce que la clause LMA5567 et pourquoi est-elle importante pour les entreprises françaises ?

Les clauses LMA5567A et LMA5567B, généralisées depuis mars 2023 à la suite du Market Bulletin Y5381 de Lloyd's, excluent les cyberattaques étatiques produisant un impact majeur sur les services essentiels ou la sécurité nationale d'un État. Elles ne visent pas les ransomwares criminels classiques, mais la difficulté d'attribution - un groupe comme Sandworm peut utiliser des outils communs aux cybercriminels - en fait un point de litige potentiel lors d'un sinistre majeur.

Une démarche NIS2 réduit-elle réellement les primes d'assurance cyber ?

Oui, dans des proportions mesurables. Les exigences de l'article 21 de la directive NIS2 (MFA, chiffrement, sécurité de la chaîne d'approvisionnement, plans de continuité, gestion des incidents) se chevauchent à environ 80 % avec les critères des souscripteurs. Les organisations qui documentent rigoureusement ces contrôles constatent des réductions de primes pouvant atteindre 50 à 60 %, selon les données observées sur le marché international.

Quelles sont les conséquences d'une fausse déclaration dans un questionnaire de souscription cyber ?

Elles peuvent être radicales. Si l'investigation post-incident révèle un écart significatif entre les contrôles déclarés (MFA, EDR, sauvegardes) et l'état réel du SI, l'assureur peut invoquer l'article L. 113-8 du Code des assurances et prononcer la nullité du contrat - y compris rétroactivement. Cela signifie qu'aucune indemnisation n'est versée, même pour un sinistre sans lien direct avec le contrôle mal déclaré.

Sources citées

  1. AMRAE, Baromètre LuCy 2025 - 317 M EUR de primes collectées en 2024, 55 M EUR d'indemnisations versées
  2. Lloyd's of London, Market Bulletin Y5381, mars 2023 - clauses LMA5567A et LMA5567B
  3. Loi LOPMI, article L. 12-10-1 du Code des assurances (2023) - dépôt de plainte 72 h
  4. Code des assurances, article L. 113-8 - nullité pour fausse déclaration
  5. ANSSI, Référentiel Cyber France (ReCyF) - exigences patch management
  6. Directive NIS2, article 21 - mesures de gestion des risques obligatoires
  7. NIST Cybersecurity Framework 2.0 - fonctions Identify, Protect, Detect, Respond, Recover
#assurance cyber#cybersécurité B2B#NIS2#DORA#gestion des risques IT#LMA5567
Cybersécurité

EBIOS Risk Manager : guide de la méthode ANSSI 2026 (les 5 ateliers)

EBIOS Risk Manager structure l'analyse de risque cyber en cinq ateliers. Voici la méthode ANSSI expliquée pas à pas, et son articulation avec NIS2 et DORA en 2026.
Cybersécurité

IAM et PAM : maîtriser les identités et accès à privilèges

IAM et PAM : gouverner les identités numériques et les accès à privilèges pour réduire la surface d'attaque, répondre à NIS2 et DORA, et intégrer les identités non-humaines.
Cybersécurité

MFA et authentification forte : déployer sans friction

Déployer le MFA sans friction en entreprise : niveaux AAL, FIDO2, passkeys, Conditional Access et métriques pour DSI et RSSI selon NIST, ANSSI, NIS2 et DORA.