Dans cet article
- Une assurance cybersécurité coûte en moyenne entre 300 et 3 000 € HT par an pour une TPE/PME, selon le chiffre d’affaires et le niveau de couverture
- Les garanties indispensables couvrent la responsabilité civile cyber, les frais de gestion de crise et la perte d’exploitation liée à une attaque informatique
- AXA, Hiscox, Allianz, Groupama et Stoïk sont les 5 assureurs les plus actifs sur le marché français de la cyber-assurance en 2026
- Aucune obligation légale générale n’impose une assurance cyber, mais certains secteurs réglementés (santé, finance, OIV) y sont fortement incités par la directive NIS 2
- Un bon contrat cyber se négocie avec un audit de maturité préalable : plus votre hygiène numérique est solide, plus la prime baisse
- J’ai accompagné 12 clients freelances et TPE dans le choix de leur contrat cyber depuis 2023, voici ce que j’en retiens
Sommaire
- Qu’est-ce qu’une assurance cybersécurité ?
- Quel est le prix d’une assurance cybersécurité en 2026 ?
- Les garanties indispensables d’un contrat cyber
- Comparatif des assureurs cyber en France
- Assurance cyber : est-ce obligatoire ?
- Assurance cyber : particulier vs entreprise
- Comment bien choisir son assurance cybersécurité ?
- Les erreurs courantes à éviter dans un contrat cyber
- Mon retour d’expérience terrain
Qu’est-ce qu’une assurance cybersécurité ?
Une assurance cybersécurité, aussi appelée cyber-assurance ou assurance cyber risques, est un contrat qui couvre les conséquences financières d’un incident informatique : attaque par ransomware, vol de données clients, intrusion dans le système d’information, ou encore erreur humaine entraînant une fuite de données personnelles.
Concrètement, elle fonctionne comme une assurance professionnelle classique, mais appliquée au risque numérique. En cas de sinistre, l’assureur prend en charge tout ou partie des frais : expertise technique, notification des personnes concernées, frais juridiques, perte de chiffre d’affaires pendant l’interruption d’activité, et parfois même la rançon (sous conditions très encadrées depuis la loi LOPMI de janvier 2023 qui impose un dépôt de plainte sous 72 heures).
Le marché de la cyber-assurance a explosé en France ces dernières années. Selon la fédération France Assureurs, les primes collectées ont dépassé 400 millions d’euros en 2025, un chiffre en hausse de 30 % par rapport à 2023. Cette croissance s’explique par la multiplication des attaques : l’ANSSI a traité plus de 800 incidents majeurs en 2024, et les TPE/PME représentent désormais 40 % des victimes.
Si vous gérez un site internet sur-mesure ou une boutique en ligne, vous êtes par définition exposé. Un simple formulaire de contact mal sécurisé peut devenir une porte d’entrée pour un attaquant.

Quel est le prix d’une assurance cybersécurité en 2026 ?
C’est la question que me posent systématiquement mes clients. Le prix d’une assurance cybersécurité dépend de quatre facteurs principaux : le chiffre d’affaires annuel, le secteur d’activité, le volume de données personnelles traitées, et le niveau de maturité cyber de l’entreprise.
Voici les fourchettes de prix que j’observe en 2026 sur le marché français :
| Profil d’entreprise | CA annuel | Prime annuelle HT | Plafond de garantie |
|---|---|---|---|
| Freelance / micro-entreprise | Moins de 100 000 € | 150 à 400 € | 50 000 à 100 000 € |
| TPE (1 à 10 salariés) | 100 000 à 500 000 € | 300 à 900 € | 100 000 à 500 000 € |
| PME (10 à 50 salariés) | 500 000 à 2 M€ | 900 à 3 000 € | 500 000 à 2 M€ |
| PME (50 à 250 salariés) | 2 à 10 M€ | 3 000 à 10 000 € | 2 à 5 M€ |
| ETI / grande entreprise | Plus de 10 M€ | 10 000 à 100 000 €+ | 5 à 50 M€ |
Ces tarifs sont indicatifs. Un site e-commerce qui stocke des données bancaires paiera logiquement plus cher qu’un site vitrine sans espace client. De même, une entreprise qui a déjà subi un sinistre cyber verra sa prime augmenter de 20 à 50 % au renouvellement.
Point important : plusieurs assureurs proposent désormais des devis en ligne en quelques minutes. Stoïk, Dattak et Onlynnov permettent d’obtenir une estimation sans passer par un courtier. Mais attention, le prix affiché est souvent un prix d’appel ; les exclusions et franchises méritent une lecture attentive.
Les garanties indispensables d’un contrat cyber
Tous les contrats d’assurance cybersécurité ne se valent pas. Après avoir épluché une quinzaine de contrats pour mes clients, voici les garanties que je considère non négociables :
1. Responsabilité civile cyber. Elle couvre les dommages causés à des tiers suite à une fuite de données ou une compromission de votre système. Si les données personnelles de vos clients se retrouvent sur le dark web, c’est cette garantie qui prend en charge les réclamations et les frais de défense juridique.
2. Gestion de crise et réponse à incident. Un bon contrat inclut l’accès à une hotline 24h/24 avec des experts en forensique numérique, des juristes spécialisés RGPD, et des communicants de crise. Certains assureurs comme Hiscox ou AXA intègrent même un panel de prestataires pré-référencés que vous pouvez mobiliser immédiatement.
3. Perte d’exploitation. Si une attaque par ransomware paralyse votre activité pendant trois jours, cette garantie compense la perte de marge brute pendant la période d’interruption. C’est souvent le poste le plus coûteux lors d’un sinistre cyber.
4. Frais de notification RGPD. En cas de violation de données personnelles, le RGPD impose une notification à la CNIL sous 72 heures et, dans certains cas, aux personnes concernées. Les frais de notification (courriers, centre d’appels, surveillance du crédit) peuvent atteindre plusieurs dizaines de milliers d’euros pour une base de quelques milliers de contacts.
5. Cyber-extorsion. La garantie couvre les frais de négociation avec les attaquants et, selon les contrats, le paiement de la rançon elle-même. Depuis la loi LOPMI, le remboursement de la rançon est conditionné au dépôt d’une plainte dans les 72 heures suivant la découverte de l’attaque.
Si vous faites développer un site ou une application, pensez aussi à sécuriser votre chaîne de production. J’en parle en détail dans mon guide sur le choix d’une entreprise de cybersécurité à Paris.

Comparatif des assureurs cyber en France
Le marché français compte aujourd’hui une dizaine d’acteurs sérieux. J’ai retenu les six assureurs que je croise le plus souvent dans les devis de mes clients TPE et PME :
| Assureur | Cible principale | Prime annuelle indicative (TPE) | Points forts | Points faibles |
|---|---|---|---|---|
| Hiscox CyberClear | TPE, professions libérales | 350 à 800 € | Souscription 100 % en ligne, couverture large dès la formule de base | Plafonds limités pour les PME |
| AXA Cyber Secure | TPE à ETI | 500 à 1 500 € | Réseau d’experts intégré, assistance 24/7 | Questionnaire de souscription exigeant |
| Stoïk | TPE/PME tech | 300 à 700 € | Scan de vulnérabilités inclus, tarif compétitif | Jeune acteur, historique limité |
| Allianz Cyber Protect | PME à grandes entreprises | 700 à 2 500 € | Capacité élevée, expertise internationale | Moins adapté aux très petites structures |
| Groupama Cyber | Artisans, commerçants, PME | 400 à 1 200 € | Réseau d’agences locales, accompagnement terrain | Souscription en ligne limitée |
| Dattak | TPE/PME digitales | 250 à 600 € | Plateforme intuitive, prévention intégrée | Couverture internationale restreinte |
Mon avis personnel : pour un freelance ou une TPE avec un budget serré, Stoïk et Dattak offrent le meilleur rapport couverture/prix. Pour une PME de plus de 20 salariés qui a besoin d’un accompagnement complet, AXA et Allianz restent des valeurs sûres. Hiscox se distingue par la simplicité de souscription, ce qui en fait un bon choix si vous voulez être couvert rapidement sans passer par un courtier.
Si vous cherchez un prestataire pour sécuriser votre site avant de souscrire, je détaille les critères dans mon article sur le marketing digital et la gestion du risque en ligne.
Assurance cyber : est-ce obligatoire ?
En 2026, il n’existe pas d’obligation légale générale imposant aux entreprises françaises de souscrire une assurance cybersécurité. Contrairement à la RC Pro ou à la décennale dans le BTP, la cyber-assurance reste facultative pour la grande majorité des secteurs.
Cependant, plusieurs facteurs poussent fortement à s’assurer :
La directive européenne NIS 2, transposée en droit français fin 2024, impose aux entités essentielles et importantes (énergie, transports, santé, infrastructures numériques, administrations publiques) des obligations renforcées en matière de gestion des risques cyber. Si la directive n’impose pas directement l’assurance, elle rend l’entreprise financièrement responsable en cas de manquement, ce qui rend la couverture assurantielle quasi indispensable en pratique.
Le RGPD prévoit des amendes pouvant atteindre 4 % du chiffre d’affaires mondial en cas de violation de données. Une assurance cyber ne couvre pas l’amende elle-même (les sanctions administratives sont inassurables en droit français), mais elle prend en charge les frais de défense, de notification et de remédiation qui accompagnent une violation.
Les exigences contractuelles. De plus en plus de donneurs d’ordres, notamment dans le secteur public et les grandes entreprises, exigent de leurs sous-traitants une attestation d’assurance cyber avant de signer un contrat. Si vous développez des sites pour des cabinets d’avocats ou des professions réglementées, ce point devient incontournable.
Assurance cyber : particulier vs entreprise
On me pose régulièrement la question : existe-t-il une assurance cybersécurité pour les particuliers ? La réponse est oui, mais le marché reste très différent de celui des professionnels.
Pour les particuliers, la couverture cyber se trouve généralement intégrée dans les contrats multirisques habitation ou les assurances moyens de paiement. Elle couvre typiquement le vol d’identité numérique, l’utilisation frauduleuse de la carte bancaire, et parfois l’assistance en cas de cyber-harcèlement. Les garanties dédiées restent rares et les plafonds modestes (1 000 à 5 000 €).
Pour les entreprises, le contrat cyber est un produit à part entière, avec des garanties spécifiques :
- Responsabilité civile vis-à-vis des clients et partenaires
- Perte d’exploitation chiffrée sur la marge brute réelle
- Frais de forensique pour identifier l’origine et l’étendue de l’attaque
- Communication de crise pour gérer l’impact réputationnel
- Accompagnement juridique pour les procédures CNIL et judiciaires
Un freelance qui utilise des outils no-code pour ses clients se situe dans la catégorie professionnelle, même en micro-entreprise. Son exposition au risque cyber (accès aux données clients, gestion de CMS, intégrations API) justifie un contrat dédié plutôt qu’une simple extension de son assurance habitation.

Comment bien choisir son assurance cybersécurité ?
Voici la méthode que j’utilise quand un client me demande de l’accompagner dans le choix de son contrat cyber :
Étape 1 : cartographier ses risques. Avant de demander un devis, listez vos actifs numériques critiques : site web, base de données clients, CRM, outils de facturation, accès cloud. Évaluez le volume de données personnelles que vous traitez et le coût d’une interruption d’activité d’une journée. Cette analyse, même sommaire, vous permettra de dimensionner correctement votre couverture.
Étape 2 : vérifier les exclusions. C’est là que se cachent les mauvaises surprises. Les exclusions courantes incluent les actes de guerre (y compris la cyberguerre étatique, ce qui pose problème quand l’attribution d’une attaque est floue), les failles connues non corrigées, et les systèmes obsolètes non maintenus. Si vous utilisez encore un WordPress en version 5.x sans mises à jour, certains assureurs refuseront de vous couvrir ou appliqueront une franchise majorée.
Étape 3 : comparer au moins trois devis. Ne vous arrêtez pas au prix. Comparez les franchises (souvent entre 500 et 5 000 € pour une TPE), les plafonds par sinistre et par année, les délais de carence, et surtout la qualité de l’assistance en cas de crise. Un assureur qui met 48 heures à déclencher sa cellule de crise, c’est 48 heures de paralysie supplémentaire pour votre activité.
Étape 4 : négocier grâce à votre hygiène cyber. Les assureurs accordent des réductions de 10 à 30 % aux entreprises qui démontrent de bonnes pratiques : MFA activé sur tous les comptes, sauvegardes testées régulièrement, plan de réponse à incident documenté, formation des collaborateurs. Stoïk et Dattak intègrent même un scan de vulnérabilités dans leur processus de souscription, et ajustent la prime en fonction des résultats.
Pour les développeurs qui gèrent des projets clients, je recommande aussi de documenter clairement les responsabilités en matière de sécurité dans le contrat de prestation. C’est un point que j’aborde dans mon guide sur la création de site internet pour les indépendants.
Les erreurs courantes à éviter dans un contrat cyber
En accompagnant mes clients dans leurs souscriptions, j’ai identifié cinq erreurs récurrentes qui peuvent coûter très cher le jour du sinistre :
Sous-estimer le plafond de garantie. Une TPE qui choisit un plafond de 50 000 € alors qu’une interruption d’activité de cinq jours lui coûterait 80 000 € en perte de marge et frais de remédiation se retrouve en situation de sous-assurance. Le bon réflexe : calculer le coût d’un scénario réaliste (ransomware avec arrêt complet pendant une semaine) et dimensionner le plafond en conséquence.
Ignorer les conditions de déclaration. La plupart des contrats imposent une déclaration dans les 48 à 72 heures suivant la découverte de l’incident. Passé ce délai, l’assureur peut refuser la prise en charge. C’est un point qui rejoint l’obligation légale de dépôt de plainte sous 72 heures pour les rançongiciels.
Oublier les sous-traitants. Si vous confiez l’hébergement de votre site à un prestataire et qu’il subit une attaque qui impacte vos données, votre contrat cyber couvre-t-il ce scénario ? Vérifiez la clause de couverture des dommages causés par les fournisseurs (supply chain coverage). Les logiciels de gestion en SaaS sont particulièrement concernés.
Confondre assurance cyber et assurance RC Pro. Votre RC Pro classique exclut généralement les sinistres liés aux données numériques et aux cyberattaques. Les deux contrats sont complémentaires, pas interchangeables. Vérifiez les exclusions de votre RC Pro pour identifier les zones grises.
Ne pas relire le contrat chaque année. Le marché cyber évolue vite : nouvelles menaces, nouvelles réglementations, nouveaux acteurs. Un contrat souscrit en 2024 peut contenir des exclusions qui n’ont plus de sens en 2026, ou des plafonds devenus insuffisants avec la croissance de votre activité. Prenez 30 minutes chaque année pour relire les conditions et demander un avenant si nécessaire.
Mon retour d’expérience terrain
Depuis 2023, j’ai accompagné une douzaine de clients dans le choix de leur assurance cybersécurité. Voici ce que j’en retiens.
Premier constat : la plupart des freelances et TPE que je croise n’ont aucune couverture cyber. Ils pensent que leur RC Pro suffit, ou que leur hébergeur les protège. C’est faux dans les deux cas. Quand je leur fais le calcul du coût potentiel d’un incident (perte de données clients + notification RGPD + arrêt d’activité), la souscription devient une évidence.
Deuxième constat : le questionnaire de souscription est en soi un exercice utile. Il force à se poser les bonnes questions : est-ce que j’ai un plan de sauvegarde testé ? Est-ce que mes accès administrateurs sont protégés par MFA ? Est-ce que mes collaborateurs savent reconnaître un phishing ? Chez deux de mes clients, le simple fait de remplir le questionnaire a déclenché une mise à niveau de leur sécurité avant même la signature du contrat.
Troisième constat : les insurtechs (Stoïk, Dattak) ont fait chuter les prix pour les petites structures. Il y a trois ans, une couverture correcte pour une TPE démarrait rarement en dessous de 800 €/an. Aujourd’hui, on trouve des contrats sérieux à 300 €/an avec des plafonds à 100 000 €. La concurrence a aussi poussé les acteurs traditionnels à simplifier leurs parcours de souscription.
Si vous êtes développeur no-code ou que vous gérez des projets web pour des clients, je vous recommande de souscrire une assurance cyber en complément de votre RC Pro. Le coût est modeste au regard du risque, et la tranquillité d’esprit n’a pas de prix quand on manipule les données de dizaines de clients au quotidien.
Pour approfondir les aspects techniques de la sécurité web, consultez aussi mon article sur les chatbots et applications connectées, qui aborde les risques liés aux intégrations API tierces.
À retenir
- Demandez au moins trois devis avant de souscrire et comparez les franchises, pas seulement les primes annuelles
- Vérifiez que votre contrat couvre explicitement la perte d’exploitation, la gestion de crise 24/7 et les frais de notification RGPD
- Activez le MFA sur tous vos comptes professionnels avant la souscription pour obtenir une réduction de prime de 10 à 20 %
- Relisez votre contrat chaque année au renouvellement pour ajuster les plafonds à l’évolution de votre activité
- Ne confondez pas RC Pro et assurance cyber : ce sont deux couvertures complémentaires, pas substituables
Questions fréquentes
Quel est le prix d’une assurance cybersécurité ?
Le prix d’une assurance cybersécurité varie selon la taille de l’entreprise et son exposition au risque. Pour un freelance ou une micro-entreprise, comptez entre 150 et 400 € HT par an. Pour une TPE de 1 à 10 salariés, la prime se situe entre 300 et 900 € HT par an. Pour une PME, les tarifs grimpent entre 900 et 10 000 € HT par an selon le chiffre d’affaires et le volume de données traitées. Les insurtechs comme Stoïk ou Dattak proposent les tarifs les plus compétitifs pour les petites structures.
Existe-t-il une assurance pour la cybersécurité ?
Oui, il existe des contrats d’assurance spécifiquement dédiés à la cybersécurité. En France, une dizaine d’assureurs proposent des offres cyber : AXA, Hiscox, Allianz, Groupama, Stoïk, Dattak, entre autres. Ces contrats couvrent les conséquences financières des incidents informatiques : responsabilité civile cyber, perte d’exploitation, gestion de crise, frais de notification RGPD et cyber-extorsion. Ils sont distincts de la RC Pro classique, qui exclut généralement les sinistres numériques.
Qu’est-ce que l’assurance cyberrisques ?
L’assurance cyberrisques est un contrat qui protège une entreprise contre les conséquences financières d’un incident de sécurité informatique. Elle intervient en cas de cyberattaque (ransomware, intrusion, DDoS), de fuite de données, d’erreur humaine entraînant une compromission, ou de défaillance d’un prestataire IT. Elle prend en charge les frais d’expertise technique, la perte de chiffre d’affaires pendant l’interruption, les frais juridiques, la communication de crise et les frais de notification aux personnes concernées.
Quelle est l’obligation d’avoir une assurance cyber ?
En 2026, il n’existe aucune obligation légale générale imposant la souscription d’une assurance cyber en France. Cependant, la directive européenne NIS 2 impose des obligations renforcées de gestion des risques aux entités essentielles et importantes, rendant l’assurance cyber quasi indispensable pour ces secteurs. Par ailleurs, de nombreux donneurs d’ordres (grands comptes, secteur public, professions réglementées) exigent une attestation d’assurance cyber avant de contractualiser avec un sous-traitant.
Quelle est la meilleure assurance cyber pour une TPE en 2026 ?
Pour une TPE, les meilleures options en 2026 sont Stoïk et Dattak pour le rapport qualité-prix (à partir de 250 à 300 €/an avec scan de vulnérabilités inclus), et Hiscox CyberClear pour la simplicité de souscription en ligne. AXA et Groupama restent pertinents si vous préférez un accompagnement en agence. Le choix dépend de votre secteur, de votre budget et de votre niveau de maturité cyber. Demandez toujours au moins trois devis pour comparer les franchises et les plafonds.
L’assurance cyber couvre-t-elle le paiement d’une rançon ?
Depuis la loi LOPMI de janvier 2023, le remboursement d’une rançon par l’assureur est conditionné au dépôt d’une plainte dans les 72 heures suivant la découverte de l’attaque. Tous les contrats ne couvrent pas systématiquement la rançon elle-même : certains se limitent aux frais de négociation et de remédiation. C’est un point à vérifier explicitement dans les conditions particulières de votre contrat avant la souscription.
Thomas Lefèvre est développeur freelance full-stack à Paris depuis 2015, spécialisé WordPress sur mesure, no-code (Bubble, Webflow, Make) et SEO technique. Ex-OpenClassrooms, intervenant ponctuel à l école 42, il documente sur Synergie.Web les outils, techniques et vrais coûts du web freelance en France, testés sur de vrais projets clients.