L'ANSSI a traité 1 366 incidents de cybersécurité en 2025 (Panorama de la cybermenace 2025), avec une hausse de 51 % des exfiltrations de données. La directive NIS 2, adoptée fin 2022, dont la transposition française est en cours d'examen au Parlement, et le règlement DORA en vigueur depuis janvier 2025 renforcent les obligations. Pourtant, moins de 5 % des petites entreprises sont assurées. ATRIOMA met les assureurs cyber en concurrence, instruit le dossier d'éligibilité et défend les conditions au renouvellement.
Prendre rendez-vousL'ANSSI a traité 1 366 incidents de cybersécurité en 2025, avec une hausse de 51 % des exfiltrations de données (196 cas, contre 130 en 2024). La cybercriminalité s'industrialise et frappe toutes les tailles d'entreprise. L'argument du « trop petit pour être visé » ne tient plus.
En 2026, l'assurance cyber est conditionnée à trois prérequis : MFA sur tous les accès distants et comptes à privilèges, sauvegardes 3-2-1 testées, EDR déployé. L'absence d'un seul est éliminatoire.
La directive NIS 2 élargit le périmètre à 18 secteurs et engage la responsabilité personnelle des dirigeants. DORA encadre le financier depuis janvier 2025. Le RGPD article 32 reste le socle.
Le marché de l'assurance cyber est jeune, instable, marqué par une forte volatilité des primes et une asymétrie d'information entre assureurs et assurés. Les écarts d'éligibilité, de tarification et d'exclusions entre assureurs peuvent être considérables pour un même profil d'entreprise.
Avant souscription, le cabinet audite la maturité cyber de l'entreprise et identifie les points qui bloquent l'éligibilité. Mieux vaut combler les écarts avant que d'essuyer un refus de souscription qui pèsera sur les négociations suivantes.
Le cabinet sollicite en parallèle assureurs traditionnels (Hiscox, Beazley, Chubb, AXA, AIG, Generali) et assurtechs spécialisées (Stoïk, Dattak, CyberCover). Les écarts de prime et d'exclusions sont souvent supérieurs à 30 % pour un même profil.
En cas d'incident, le courtier devient l'interface unique entre l'entreprise, l'assureur, l'expert forensique, le négociateur, le DPO, l'avocat spécialisé et la cellule de communication. Cette orchestration change l'issue de la crise.
Le marché a connu des hausses brutales en 2022 puis s'est stabilisé en 2026 à +8 à +12 % en moyenne. Le courtier teste le marché plutôt que de subir, négocie le maintien des conditions et arbitre entre fidélité et concurrence.
L'assurance cyber mobilise plusieurs lectures simultanées. La maturité technique de l'entreprise et les prérequis d'éligibilité 2026 (MFA, sauvegardes 3-2-1, EDR). Le périmètre exact du contrat : dommages propres, pertes d'exploitation, responsabilité civile cyber, frais juridiques et de notification. La conformité réglementaire qui s'applique, NIS 2, DORA, RGPD article 32. L'articulation avec les contrats connexes : RC Pro, multirisque professionnelle, RC des mandataires sociaux rendue plus exposée par la responsabilité personnelle des dirigeants introduite par NIS 2.
ATRIOMA tient ce rôle d'interface. Le cabinet pré-instruit le dossier d'éligibilité, met les assureurs cyber en concurrence, négocie le plafond et les exclusions, et coordonne en cas d'incident la cellule de crise. Chaque arbitrage est pris dans la logique de l'ensemble de l'assurance de l'entreprise, pas sur un contrat isolé.
Le marché de l'assurance cyber est dominé par une dizaine d'acteurs. D'un côté les assureurs internationaux historiques (Hiscox, Beazley, Chubb, AIG, Allianz, AXA, Generali). De l'autre les assurtechs françaises spécialisées qui ont émergé sur le segment des PME (Stoïk, Dattak, CyberCover). ATRIOMA fait dialoguer ces familles d'acteurs pour aller chercher la meilleure combinaison tarif, périmètre, exclusions et services associés.
Aucune décision n'est juste isolément : elle ne l'est qu'au regard de l'ensemble d'une situation.
La tarification est calibrée au cas par cas, sur un questionnaire d'éligibilité de plusieurs dizaines de pages. Pour une PME de moins de 10 M€ de CA avec un bon niveau de maturité cyber, la cotisation annuelle se situe généralement entre 3 000 et 15 000 euros selon le plafond retenu. Au-delà, la prime suit une logique très sensible au profil exact.
Le cabinet oriente chaque dossier vers les assureurs où le profil obtient les meilleures conditions, en tenant compte du périmètre de garanties, des sous-limites et de la qualité du réseau d'experts mobilisable en cas d'incident.
Une entreprise qui traite des données de santé, bancaires ou financières paie significativement plus qu'une entreprise industrielle équivalente. Le volume de données personnelles pèse autant que le CA.
Santé, finance, e-commerce, industrie 4.0 et collectivités sont jugés plus exposés. Certains secteurs (cryptomonnaie, jeux en ligne) sont quasi inassurables aux conditions standard.
Présence et qualité des trois piliers MFA, sauvegardes 3-2-1, EDR. Formation cyber des collaborateurs. Gouvernance NIS 2 et gestion du risque tiers. Tout écart pèse à la hausse, parfois jusqu'à un refus de souscription.
L'assureur examine l'historique d'incidents déclarés et le ratio sinistres sur primes du portefeuille de l'entreprise. Un sinistre non maîtrisé sur les cinq dernières années peut renchérir significativement la prime.
Le marché distingue trois niveaux de contrat selon la taille de l'entreprise et son exposition au risque. ATRIOMA oriente chaque dossier vers le niveau pertinent avant de mettre les assureurs en concurrence.
Pour les TPE et petites PME jusqu'à 10 M€ de chiffre d'affaires : contrats forfaitaires des assurtechs (Stoïk, Dattak), souscription simplifiée, plafond standard à 250 000 ou 500 000 €. Inclut généralement un audit cyber préalable et des services de prévention.
Pour les PME et ETI dont le CA dépasse 10 M€ ou dont l'exposition aux données est significative. Contrat négocié auprès des assureurs traditionnels (Hiscox, Beazley, Chubb, AXA), plafond entre 1 et 5 M€, périmètre de garanties élargi.
Pour les ETI et groupes exposés ou soumis à NIS 2 entité essentielle. Programme structuré en plusieurs lignes (primary et excess), co-assurance entre plusieurs porteurs, plafond global au-delà de 10 M€. Articulation avec la RC mandataires sociaux.
Le coût d'un incident cyber dépasse largement la rançon éventuelle. Les pertes d'exploitation, la responsabilité civile envers les tiers et les frais juridiques et de notification représentent souvent la part majoritaire de la facture finale. Quatre familles de garanties à connaître précisément.
Restauration des systèmes affectés, frais d'expertise forensique, négociation et paiement éventuel de la rançon dans le cadre légal autorisé (loi LOPMI du 24 janvier 2023), reconstruction des données, audit post-incident. C'est le poste le plus visible mais rarement le plus lourd financièrement.
Indemnisation des pertes financières liées à l'interruption d'activité. Pour les entreprises dépendantes de leurs systèmes, c'est souvent le poste le plus lourd. L'enveloppe est calibrée sur une période de carence courte (24 à 72 heures) et une durée de couverture déterminée (généralement 3 à 12 mois).
Indemnisation des préjudices subis par les tiers à l'occasion de l'incident : clients dont les données ont fuité, partenaires impactés par la rupture de service, fournisseurs en aval. Inclut généralement les recours collectifs et les actions civiles individuelles.
Honoraires d'avocat spécialisé, frais de notification à la CNIL et aux personnes concernées dans les 72 heures, communication de crise, accompagnement psychologique des collaborateurs exposés. Les sanctions administratives CNIL ne sont jamais assurables en droit français.
Le réflexe « j'ai déjà une multirisque professionnelle, ça doit couvrir le cyber » est l'un des pièges les plus fréquents. Le tableau ci-dessous situe l'assurance cyber dédiée face aux deux alternatives qui reviennent le plus souvent dans les arbitrages des dirigeants.
| Critère | Assurance cyber dédiée | Extension cyber d'une MRP | Auto-assurance |
|---|---|---|---|
| Périmètre des garanties | Quatre familles couvertes (dommages propres, pertes d'exploitation, RC cyber, frais juridiques et notification) | Périmètre généralement limité aux dommages propres, exclusions étendues, pertes d'exploitation souvent plafonnées au strict minimum | Aucune couverture, la totalité du coût est portée par l'entreprise |
| Plafonds disponibles | De 250 000 € pour les TPE à plus de 10 M€ pour les ETI via programmes co-assurés | Sous-limite cyber généralement comprise entre 50 000 et 250 000 €, inadaptée à la réalité d'un incident | Sans objet, le poids financier dépend du sinistre subi |
| Cellule de crise et services associés | Cellule de crise 24/7, réseau d'experts mobilisables immédiatement, négociateurs spécialisés, communication de crise | Rarement présente ou très limitée, l'entreprise gère seule la coordination | À organiser et financer entièrement par l'entreprise au moment de la crise |
| Prérequis techniques d'éligibilité | Questionnaire d'éligibilité approfondi, audit cyber préalable inclus chez les assurtechs | Questionnaire minimal, ce qui se paie au moment de la déclaration par des exclusions opposées | Sans objet |
| Coût indicatif | 3 000 à 15 000 € par an pour une PME < 10 M€ CA selon plafond et maturité | Souvent comprise dans la prime MRP existante, surcoût marginal, mais protection symbolique | Pas de prime, mais perte intégrale en cas d'incident significatif |
| Profil le plus adapté | Toute entreprise dont l'activité dépend du système d'information ou qui traite des données sensibles | Très petites structures avec une exposition cyber faible et un budget contraint, en attendant mieux | Choix patrimonial des très grands groupes avec captives, jamais une option pour une PME |
L'extension cyber d'une multirisque professionnelle est un produit d'appel qui rassure plus qu'il ne protège. Pour la quasi-totalité des PME et ETI exposées, le seul contrat qui tienne face à un incident sérieux est une assurance cyber dédiée, calibrée sur le profil exact de l'entreprise. ATRIOMA examine systématiquement ce que couvre réellement la MRP existante avant de proposer une couverture cyber dédiée, pour éviter les doublons et identifier précisément ce qui doit être renforcé.
Prérequis MFA, sauvegardes, EDR, périmètre des garanties, plafonds, articulation avec NIS 2 et le RGPD : tout se prépare en amont, pas au moment de la crise.
Prendre rendez-vousPrérequis MFA, sauvegardes, EDR, périmètre des garanties, plafonds, articulation avec NIS 2 et le RGPD : tout se prépare en amont, pas au moment de la crise.
Prendre rendez-vousDAF, DSI, RSSI, dirigeants : les réponses aux questions les plus fréquentes sur l'assurance cyber B2B en 2026.
Un contrat cyber subi plutôt que piloté révèle ses limites au moment de l'incident, quand il est trop tard pour corriger. Voici les situations concrètes que rencontre ATRIOMA, et qu'un suivi en amont permet de désamorcer.
Une PME industrielle subit un rançongiciel qui paralyse sa production. Le DAF déclare le sinistre à son assureur multirisque, en s'appuyant sur l'extension cyber souscrite quelques années plus tôt. L'assureur indemnise les frais de restauration des systèmes. Mais il oppose une sous-limite cyber plafonnée à 100 000 € sur l'ensemble du sinistre, alors que les pertes d'exploitation cumulées et la RC envers les clients atteignent 1,2 M€. L'extension cyber d'une MRP est un produit d'appel rassurant qui ne tient pas le choc d'un incident sérieux. Le réflexe « j'ai déjà une MRP, ça couvre » est l'un des angles morts les plus fréquents.
Une ETI découvre un rançongiciel un vendredi soir. La direction décide d'attendre lundi pour évaluer la situation avec la DSI avant de déposer plainte, par souci de discrétion vis-à-vis des clients et des collaborateurs. La déclaration à l'assureur est faite mardi matin, le dépôt de plainte au commissariat mercredi. Le délai de 72 heures imposé par la loi LOPMI du 24 janvier 2023 pour le dépôt de plainte est dépassé. L'assureur oppose la déchéance de garantie sur le paiement de la rançon et conteste partiellement la prise en charge des pertes d'exploitation. La gestion du temps de la crise est aussi importante que la couverture elle-même.
Une PME signe son contrat cyber sur la base d'un questionnaire d'éligibilité rempli un peu vite par le service informatique, qui déclare disposer du MFA sur tous les comptes à privilèges. En réalité, plusieurs comptes administrateurs anciens sont restés sans MFA, et c'est précisément par l'un d'eux qu'une intrusion réussit. L'assureur invoque la fausse déclaration intentionnelle (art. L. 113-8 du Code des assurances) et refuse la garantie. Le questionnaire d'éligibilité n'est pas un formulaire administratif : c'est l'élément central qui conditionne la portée du contrat. Le travail d'un courtier est aussi de pré-instruire ce dossier rigoureusement, par sondage technique direct quand c'est nécessaire.
ATRIOMA audite systématiquement quatre points avant toute souscription ou renouvellement. La maturité cyber réelle au regard des trois piliers 2026 (MFA, sauvegardes 3-2-1, EDR), vérifiée par sondage et non par déclaration seule. La cohérence du questionnaire d'éligibilité avec la pratique observée, pour éviter toute déchéance de garantie. Le périmètre des garanties et les sous-limites par poste, particulièrement les pertes d'exploitation et la RC cyber. L'articulation avec la MRP, la RC Pro et la RC mandataires sociaux. En cas d'incident, le cabinet joue son rôle d'interface unique avec l'assureur, le réseau d'experts et le DPO de l'entreprise.
Une assurance, pas un substitut à la cybersécurité.
L'assurance cyber n'est ni un produit miracle, ni une dispense de cybersécurité. Les assureurs exigent désormais des prérequis techniques sérieux et resserrent le périmètre des garanties en fonction de la maturité observée. Le contrat protège l'entreprise contre les conséquences financières et juridiques d'un incident résiduel, après que toutes les mesures techniques et organisationnelles raisonnables ont été mises en place. L'arbitrage entre investissement cyber et coût d'assurance se travaille ensemble, pas séparément.
Une coordination en cas de crise, pas seulement un contrat signé.
La valeur d'une assurance cyber se mesure dans les premières heures de l'incident. Activation de la cellule de crise, mobilisation du forensique, négociation avec les attaquants, accompagnement DPO sur la notification CNIL, communication aux clients, gestion psychologique des collaborateurs exposés : cette orchestration change l'issue de la crise. Le contrat seul ne protège pas ; c'est le courtier et le réseau d'experts qu'il pilote qui le font vivre concrètement.
Un cadre qui bouge, à recalibrer chaque année.
L'environnement cyber évolue à grande vitesse. NIS 2 dont la transposition française est attendue courant 2026, DORA appliqué depuis janvier 2025, Cyber Resilience Act, AI Act pour les systèmes IA à haut risque en août 2026. Côté menaces, les techniques d'attaque s'industrialisent, les rançongiciels se diversifient, l'IA générative démultiplie l'ingénierie sociale. Un contrat construit aujourd'hui doit pouvoir être révisé demain. C'est aussi à cela que sert un accompagnement dans la durée : adapter la couverture au rythme où le risque, la réglementation et la maturité de l'entreprise évoluent.
Afin d'apporter une expertise globale à ses clients et de répondre à l'ensemble de leurs problématiques, le cabinet s'articule autour de trois pôles spécialisés. Chacun apporte une réponse experte et adaptée aux enjeux financiers, juridiques, assurantiels et immobiliers.
Un accompagnement stratégique et sur mesure pour structurer, valoriser et transmettre. De la stratégie fiscale aux arbitrages d'investissement, ATRIOMA se positionne en chef d'orchestre pour une gestion cohérente et pérenne des actifs.
Assurance de personnes et IARD pour une couverture complète. ATRIOMA accompagne ses clients particuliers, professionnels et entreprises dans la mise en place de garanties calibrées au profil de risque.
Investissements et cessions de biens professionnels ou familiaux. Le cabinet apporte un accompagnement sur mesure pour mener les projets immobiliers de bout en bout, depuis l'audit initial jusqu'à la finalisation des actes.
Fondé en 2019 et établi au 56 rue de Passy dans le 16e arrondissement de Paris, ATRIOMA est un cabinet de conseil multidisciplinaire en gestion privée. Le cabinet exerce sous quatre statuts réglementés : Conseiller en Investissements Financiers (CIF), Courtier en Assurance (COA), Courtier en Opérations Bancaires et en Services de Paiement (COBSP), et Carte T pour les transactions immobilières. ATRIOMA est immatriculé à l'ORIAS sous le numéro 19006974 et supervisé par l'AMF et l'ACPR.
Un grand merci à ATRIOMA, et tout particulièrement à Alexis et Adrien qui m'ont encadré et apporté tous les conseils dont j'avais besoin.
Cabinet sérieux, à l'écoute et de très bons conseils. Je recommande vivement Alexis qui a parfaitement compris mes besoins et m'a guidée avec professionnalisme.
Très professionnel, disponible et de bon conseil. ATRIOMA m'a permis de structurer la couverture de mon activité avec rigueur et clarté.
Excellent accompagnement, un cabinet rigoureux et à l'écoute. La qualité du conseil et la disponibilité font la différence.
Couvrir les conséquences d'une erreur professionnelle envers les tiers : à articuler systématiquement avec la couverture cyber quand l'attaque cause un préjudice client.
En savoir plusProtéger le dirigeant dans l'exercice de son mandat : responsabilité personnelle rendue plus exposée par l'article 20 de la directive NIS 2.
En savoir plusSocle assuranciel pour les locaux et les équipements, à examiner conjointement avec la couverture cyber pour éviter doublons et trous de couverture.
En savoir plusProtéger le poste clients contre les impayés et la défaillance des acheteurs : complément utile quand l'incident cyber d'un client en aval menace votre trésorerie.
En savoir plus