Assurance cyberattaque : comparatif AXA, Hiscox, Groupama, Allianz
Pour une PME, Hiscox reste la référence spécialiste du marché français avec la couverture la plus complète dès l’entrée de gamme ; AXA et Groupama conviennent aux dirigeants qui veulent centraliser leurs contrats chez un acteur généraliste. Quel que soit l’assureur choisi, votre indemnisation peut être refusée si vous n’avez pas activé la double authentification ou si vos logiciels ne sont pas à jour, des conditions que peu d’assureurs communiquent clairement avant la signature. En 2025, seules 3,5 % des PME françaises sont couvertes, alors que 60 % de celles qui subissent une attaque grave ferment dans les 6 mois.
Choisir une assurance cyberattaque ne se résume pas à comparer des prix : les écarts entre AXA, Hiscox, Groupama et Allianz portent surtout sur ce qui est exclu du contrat et ce que votre assureur pourra légitimement refuser de rembourser le jour J. Ce guide compare les quatre acteurs sur les critères qui comptent vraiment pour un dirigeant de PME.
Ce que couvre vraiment une assurance cyberattaque
Une assurance cyberattaque est un contrat qui prend en charge les conséquences financières d’un incident informatique subi par votre entreprise. Elle ne remplace pas vos outils de sécurité (antivirus, pare-feu, sauvegardes), elle intervient quand ces outils n’ont pas suffi.
Concrètement, une police cyber couvre quatre grandes familles de risques :
Les dommages directs subis par l’entreprise
- Frais de remédiation technique (nettoyage des systèmes, restauration des données)
- Perte d’exploitation pendant l’interruption d’activité
- Frais de gestion de crise (cellule d’urgence, communication)
- Coût de la rançon en cas de ransomware (selon les contrats)
La responsabilité civile cyber
- Indemnisation des tiers dont les données ont été compromises
- Frais juridiques liés à une action en responsabilité
- Amendes et pénalités RGPD (partiellement, selon les assureurs)
La cyberextorsion
- Prise en charge des négociations avec les hackers
- Couverture du montant de la rançon si le paiement est validé par l’assureur
L’assistance post-sinistre
- Mise à disposition d’experts informatiques forensiques
- Accompagnement pour la notification obligatoire à la CNIL
- Support juridique et gestion de la réputation
À noter : toutes ces garanties ne sont pas systématiquement incluses dans les contrats d’entrée de gamme. Certaines, comme la cyberextorsion ou la fraude au virement, sont souvent proposées en option.
Le marché de la cyberassurance en France : chiffres clés 2025
Le marché français de la cyberassurance est en pleine expansion, mais il reste profondément déséquilibré : les entreprises les plus exposées sont aussi les moins protégées.
Un risque sous-estimé par les PME
Les TPE et PME sont la cible de 75 % des cyberattaques en France, et 60 % de celles qui subissent une attaque sérieuse ferment dans les six mois. Pourtant, seulement 1,2 % des PME sont aujourd’hui couvertes par une assurance cyber.
L’écart est saisissant quand on le compare aux grandes entreprises : 94 % des grandes entreprises disposent d’une assurance cyber, contre 10 % des ETI et 3,5 % des PME.
Un marché qui grossit vite, mais dont les primes augmentent
En 2024, le marché de la cyberassurance a enregistré une croissance de +32 % d’ETI assurées et +33 % de PME assurées. Une progression encourageante, mais qui s’accompagne d’une réalité tarifaire moins favorable pour les petites structures.
Les cotisations pour la couverture contre les risques cybernétiques augmentent de 9 % pour les TPE, avec des pics attendus entre 12 et 20 % en 2025. À l’inverse, les grandes entreprises bénéficient d’une baisse : le taux de prime annuel moyen a reculé de 18 % pour elles, passant de 2,37 % à 1,90 % du chiffre d’affaires en 2024. TauxChesneau
Les sinistres explosent chez les petites structures
La fréquence des sinistres a explosé pour les petites et micro entreprises, alors qu’elle diminuait pour les grandes entreprises et les ETI.
Selon l’ANSSI, les cyberattaques ont augmenté de +45 % entre 2023 et 2024, touchant en majorité les PME. En parallèle, les indemnisations versées par les assureurs ont bondi de 62 % sur la même période. C’est précisément cette dérive qui pousse les assureurs à durcir leurs critères d’acceptation, un point que l’on détaille plus loin dans ce guide.
Ce que cela signifie concrètement pour un dirigeant de PME
Le risque cyber est aujourd’hui estimé 20 à 30 fois plus élevé que le risque incendie ou vol. Pourtant, la majorité des dirigeants de PME n’ont toujours pas de contrat dédié. Souscrire une assurance cyberattaque en 2025 n’est plus une démarche avant-gardiste : c’est combler un angle mort majeur dans la protection de votre entreprise.
Comparatif AXA, Hiscox, Groupama, Allianz : garanties, prix, points forts
Voici les quatre acteurs les plus recherchés par les dirigeants de PME en France. Le tableau ci-dessous synthétise les critères qui comptent réellement au moment de choisir.
| Critère | AXA | Hiscox | Groupama | Allianz |
|---|---|---|---|---|
| Profil cible | PME tous secteurs | TPE/PME, secteurs tech et services | PME avec relation agence | PME/ETI, secteurs réglementés |
| Couverture ransomware | Oui | Oui | Selon contrat | Oui |
| Perte d’exploitation | Oui | Oui | Oui | Oui |
| Cyberextorsion | Option | Inclus (Premium) | Option | Option |
| Frais RGPD/CNIL | Oui | Oui | Partiel | Oui |
| Assistance 24h/24 | Oui | Oui | Non systématique | Oui |
| Souscription en ligne | Partielle | Oui | Non | Non |
| Tarif d’entrée indicatif | Sur devis | Dès ~500 €/an | Sur devis | Sur devis |
| Plafond de garantie | Jusqu’à 2 M€ | Jusqu’à 3 M€ | Variable | Jusqu’à 25 M€ CA éligible |
| Point fort | Réseau d’agences, contrats groupés | Spécialiste cyber reconnu, offre modulaire | Proximité, relation conseiller | Secteurs réglementés, capacité financière |
| Point faible | Moins digital, tarif élevé | Moins adapté aux très grandes structures | Couverture cyber souvent partielle | Pas d’offre en ligne directe |
AXA
AXA propose une offre cyber intégrée à ses contrats professionnels, ce qui la rend attractive pour les dirigeants qui souhaitent centraliser toutes leurs assurances chez un seul interlocuteur. La couverture est solide sur les fondamentaux (perte d’exploitation, frais juridiques, restauration des données), mais la souscription nécessite le plus souvent de passer par un conseiller, ce qui rallonge le délai de mise en place. AXA excelle dans l’accompagnement des secteurs réglementés comme la santé ou la finance.
Hiscox
Hiscox est le spécialiste historique du risque cyber sur le marché français. Son offre CyberClear, récemment enrichie avec la version Premium intégrant un partenariat avec Norton, se distingue par une couverture complète dès l’entrée de gamme et la possibilité de souscrire sans franchise, une rareté sur ce marché. C’est l’assureur qui publie chaque année le rapport de référence sur les cyber-risques des PME françaises, ce qui lui confère une expertise reconnue en gestion de sinistres. Ses plafonds atteignent 3 millions d’euros, avec une assistance opérationnelle disponible 24h/24.
Groupama
Groupama positionne son offre cyber dans une logique de proximité. Elle convient aux dirigeants qui préfèrent un interlocuteur local connu et une intégration avec leurs autres contrats professionnels (multirisque, responsabilité civile). La couverture cyber en elle-même est plus généraliste : les garanties avancées comme la cyberextorsion ou la gestion de crise forensique sont souvent en option et nécessitent une personnalisation du contrat avec l’agent.
Allianz
Allianz se positionne sur un segment légèrement supérieur, avec des offres particulièrement adaptées aux entreprises de taille intermédiaire opérant dans des secteurs critiques (santé, énergie, BTP, finance). Le contrat de base est accessible aux entreprises réalisant moins de 25 millions d’euros de chiffre d’affaires annuel. Au-delà, une négociation sur mesure est nécessaire. La capacité financière d’Allianz rassure pour les sinistres importants, mais l’absence d’offre digitale directe peut freiner les petites structures.
Assurance Cyber : les conditions pour être réellement indemnisé
C’est le point que quasiment aucun comparatif en ligne n’aborde franchement. Souscrire une assurance cyberattaque ne garantit pas d’être indemnisé. Les assureurs ont massivement durci leurs critères depuis 2023, en réponse à l’explosion des sinistres déclarés.
Le principe : vous êtes co-responsable de votre sécurité
En signant un contrat cyber, vous vous engagez implicitement à maintenir un niveau minimal d’hygiène informatique. Si l’enquête post-sinistre révèle que l’attaque a exploité une faille que vous auriez dû corriger, l’indemnisation peut être réduite ou refusée intégralement.
Les prérequis devenus non négociables en 2025/2026
Les assureurs exigent désormais, au minimum :
- L’activation de la double authentification (MFA) sur tous les accès cloud et messageries
- Des sauvegardes régulières, testées et stockées hors ligne ou sur un environnement isolé
- La mise à jour régulière des systèmes d’exploitation et des logiciels métier
- Un antivirus ou EDR actif sur l’ensemble des postes
- Une politique de gestion des mots de passe documentée
Sans ces éléments en place au moment du sinistre, l’assureur peut invoquer un défaut de précaution élémentaire et refuser tout ou partie du remboursement. Cette clause est souvent formulée en petits caractères dans les conditions générales, rarement expliquée lors de la souscription.
Ce que cela change pour vous
Avant de signer un contrat, posez explicitement la question à votre assureur : « Quelles sont les conditions exactes qui peuvent entraîner un refus d’indemnisation ? » La réponse à cette question vaut autant que le montant du plafond de garantie.
Cyber Assurance : les pièges contractuels à lire avant de signer
Un contrat cyber peut afficher des plafonds rassurants tout en étant peu efficace en pratique. Voici les quatre points à vérifier systématiquement avant de signer.
1. Le plafond par sinistre n’est pas le plafond annuel
Certains contrats affichent un plafond annuel élevé (500 000 €) mais limitent chaque sinistre individuel à 100 000 €. En cas d’attaque, c’est le plafond par sinistre qui s’applique. Vérifiez les deux montants et assurez-vous qu’ils sont cohérents avec votre chiffre d’affaires mensuel.
2. La franchise peut rendre le contrat inutile pour les petits sinistres
Une franchise de 10 000 € sur un sinistre de 15 000 € signifie que vous ne récupérez que 5 000 €. Pour une TPE, ce scénario est très fréquent : les incidents courants (vol d’identifiants, arnaque au virement, hameçonnage ciblé) génèrent rarement des pertes supérieures à 20 000 €. Une franchise basse est donc un critère essentiel pour les petites structures.
3. Le délai de carence sur la perte d’exploitation
Il s’agit de la période d’interruption non couverte au début du sinistre. Un délai de carence de 8 heures signifie que les 8 premières heures d’arrêt restent à votre charge. Pour une entreprise générant 2 000 € de chiffre d’affaires par jour, cela représente environ 1 000 € non remboursés. Pour une activité à forte dépendance numérique (e-commerce, SaaS, cabinet médical), ce délai peut coûter beaucoup plus.
4. Les exclusions liées à votre secteur ou à vos outils
Certains contrats excluent explicitement les sinistres liés à des logiciels en fin de support (Windows non mis à jour, par exemple) ou à des prestataires tiers non conformes. Si vous utilisez des outils métier anciens ou hébergez des données chez un prestataire externe, vérifiez que ces scénarios sont bien couverts.
Les nouvelles exigences d'assurabilité en 2025/2026 : ce que les assureurs exigent désormais
Au-delà des clauses d’exclusion, les assureurs ont introduit depuis 2024 de véritables audits d’assurabilité avant d’accepter de couvrir une entreprise. Ce phénomène, peu documenté dans les comparatifs grand public, concerne désormais toutes les tailles d’entreprise.
Un questionnaire de souscription de plus en plus technique
Lors de la demande de devis, vous serez invité à remplir un questionnaire détaillé sur votre niveau de sécurité informatique. Les questions portent notamment sur :
- L’existence d’un plan de continuité d’activité (PCA)
- La fréquence et le mode de stockage de vos sauvegardes
- L’utilisation ou non d’un EDR (outil de détection avancée sur les postes)
- La gestion des accès privilégiés (comptes administrateurs)
- La sensibilisation de vos collaborateurs aux cybermenaces
Répondre honnêtement à ce questionnaire est impératif : une fausse déclaration peut entraîner la nullité du contrat au moment du sinistre.
L’IA change la donne côté menaces, et les assureurs le savent
Les menaces évoluent plus vite que les contrats. Le phishing généré par IA, les attaques sur les outils collaboratifs (Teams, Slack, Google Workspace) et les ransomwares ciblant les sauvegardes cloud sont des vecteurs récents que tous les contrats ne couvrent pas encore explicitement. Hiscox a communiqué en 2025 sur le fait que ses polices couvrent désormais les sinistres liés à l’utilisation de l’IA, y compris les cas où un outil IA de l’entreprise est lui-même piraté. Vérifiez si vos concurrents offrent la même clarté contractuelle.
Ce que NIS2 change à partir de 2025
La directive européenne NIS2 élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité, passant de quelques centaines d’entités réglementées sous NIS1 à une fourchette estimée entre 15 000 et 20 000 organisations en France. Pour les entreprises concernées, disposer d’une assurance cyber devient un élément de conformité à part entière, et non plus un simple choix de gestion des risques.
Quelle assurance cyber choisir selon votre profil ?
Il n’existe pas d’offre universellement meilleure. Le bon choix dépend de la taille de votre structure, de votre secteur et de votre relation à la gestion administrative.
Vous êtes une TPE de moins de 10 salariés
Privilégiez Hiscox pour sa souscription 100 % en ligne, sa franchise optionnellement nulle et ses garanties complètes dès l’entrée de gamme. Le tarif d’entrée, accessible à partir de quelques centaines d’euros par an, est cohérent avec les budgets des très petites structures. Vérifiez que la perte d’exploitation et la fraude au virement sont bien incluses, pas en option.
Vous êtes une PME entre 10 et 250 salariés
AXA et Allianz sont de bonnes options si vous souhaitez centraliser vos contrats professionnels et bénéficier d’un interlocuteur dédié. Hiscox reste pertinent si vous voulez une offre cyber pure, sans dépendance à un contrat multirisque. Comparez les plafonds par sinistre et les délais de carence sur la perte d’exploitation, ce sont les deux critères les plus discriminants à ce niveau.
Vous opérez dans un secteur réglementé (santé, finance, énergie, BTP)
Allianz et AXA sont mieux positionnés pour répondre aux exigences sectorielles spécifiques. Leur réseau d’experts et leur capacité financière les rendent plus adaptés aux sinistres complexes impliquant des données sensibles ou des obligations réglementaires strictes (RGPD renforcé, HDS pour la santé, DORA pour la finance).
Vous avez déjà un contrat multirisque chez Groupama
Demandez un avenant cyber à votre conseiller habituel, mais lisez attentivement les garanties proposées. L’offre Groupama est souvent moins complète sur les garanties avancées (cyberextorsion, forensique). Si votre activité est très dépendante du numérique, envisagez un contrat cyber dédié en complément.
Questions fréquentes
L’assurance cyberattaque est-elle obligatoire pour les PME ?
Non, elle n’est pas encore légalement obligatoire en France pour la majorité des PME. En revanche, la directive NIS2 impose à un nombre croissant d’entreprises des obligations de cybersécurité, dont la souscription d’une assurance cyber peut faire partie dans certains secteurs critiques. Cette obligation de facto devrait s’étendre progressivement.
Différence entre une assurance cyber et une garantie cyber ?
Une garantie cyber incluse dans un contrat multirisque professionnel couvre généralement les dommages de base (restauration de données, perte d’exploitation limitée). Un contrat cyber dédié va beaucoup plus loin : il inclut la gestion de crise, la responsabilité civile cyber, la cyberextorsion, l’accompagnement juridique RGPD et l’assistance forensique. Pour une entreprise dont l’activité dépend fortement du numérique, la garantie incluse est rarement suffisante.
Peut-on souscrire une assurance cyberattaque en tant que particulier ?
Oui. Quelques assureurs proposent des offres destinées aux particuliers, notamment AXA avec son offre cyber famille. Ces contrats couvrent principalement le vol d’identité, la fraude en ligne et le cyberharcèlement. Ils sont distincts des offres professionnelles et généralement moins coûteux.
Mon assurance peut-elle refuser de m’indemniser après une attaque ?
Oui, et c’est plus fréquent qu’on ne le pense. Un refus peut intervenir si vous n’aviez pas activé la double authentification, si vos logiciels n’étaient pas à jour ou si vous avez fait une fausse déclaration lors de la souscription. Lisez attentivement les conditions générales, en particulier les clauses d’exclusion, avant de signer.
Combien coûte une assurance cyberattaque pour une PME ?
Le tarif varie fortement selon la taille de l’entreprise, son secteur et le niveau de couverture souhaité. À titre indicatif, une TPE peut accéder à une couverture de base pour 500 à 1 500 € par an. Pour une PME de taille intermédiaire, le budget annuel se situe généralement entre 2 000 et 10 000 €, avec des franchises et plafonds à négocier selon l’exposition au risque.
Sources
- Hiscox, « Rapport sur la gestion des cyber-risques 2025« , hiscox.fr
- ANSSI, « Panorama de la cybermenace 2024 », cert.ssi.gouv.fr
- AMRAE / Étude LUCY, « Marché de la cyberassurance en France 2024″, amrae.fr
- CESIN, « Baromètre de la cybersécurité des entreprises 2024 », cesin.fr
- Cyberpilot.fr, « Choisir son assurance cyber PME : le guide complet 2026 », cyberpilot.fr
- MaSolutionIT, « Pourquoi les assureurs refusent d’indemniser les PME non conformes », masolutionit.com
- Jedha, « Chiffres sur le marché de la cybersécurité en 2026 », jedha.co
- Chesneau Courtage, « Cyberassurance en 2025 : ce qu’il faut retenir du rapport LUCY », chesneau.net
- Cyber-Cover, « Le marché de la cyber assurance en France en 2023 », cyber-cover.fr
- Argus de l’Assurance, « Hiscox lance sa nouvelle offre CyberClear Premium », argusdelassurance.com
