Cyber risques et cyber assurances : un sujet devenu central pour les entreprises. C’est autour de cette problématique que se sont réunis directeurs sécurité et sûreté lors du Club SécuriDate du 31 mars. 

Les chiffres parlent d’eux-mêmes : en 2025, les violations de données ont augmenté de 20 % en France, avec 5 629 incidents déclarés à la CNIL, soit près de 15 cyberattaques signalées chaque jour — un niveau inédit. Dans le même temps, les attaques par ransomware ont bondi de 23 % en un an, dépassant les 8 000 cas recensés. 

Dans ce contexte de menace croissante, où un incident cyber peut fortement fragiliser une entreprise à court terme, comprendre les mécanismes des attaques devient un préalable indispensable à toute stratégie d’assurance. 

Lors de cette rencontre, les participants ont confronté leurs analyses et retours d’expérience, notamment aux côtés de Pouya Canet, Head of Insurance Strategy chez Citalid, une entreprise spécialisée dans la modélisation et la quantification financière des cyber risques. 

Retour sur les enseignements clés de cette nouvelle édition du Club SécuriDate, dédiée aux décideurs sécurité. 

La cybersécurité représente l’ensemble des méthodes, processus, outils, pour protéger les systèmes informatiques, les réseaux et les données contre les cyberattaques et les accès non autorisés. Les cybermenaces et cyber risques, termes souvent utilisés de manière interchangeable, ne sont pas identiques. Les cybermenaces se réfèrent à des attaques intentionnelles, intérieures ou extérieures, visant à compromettre ou à voler des données (attaques par infiltration, par interception et d'autres formes de malveillance). Les cyberrisques englobent l'ensemble des risques liés à la cybersécurité : attaques, vulnérabilités et conséquences potentielles pour les systèmes d'information et les individus (perte de données, violation de la vie privée et dégradation de la réputation).  

Les cybers attaquants ciblent des actifs ayant une valeur ou une importance indéniable : actifs financiers, données et propriété intellectuelle, infrastructures critiques et systèmes de gouvernement, paralysies de fonctionnalités (et non vol des données). Les cyberattaques s’effectuent au travers de logiciels malveillants pour rendre les systèmes infectés inopérables, détruire des données, voler des informations ou même effacer des fichiers essentiels à l’exécution du système d’exploitation (chevaux de Troie, ransomware, logiciel espion, rootkits, ...). Elles renforcent leurs actions avec l’ingénierie sociale, le déni de service et l’apport de l’IA. Les conséquences peuvent être énormes : pertes financières, atteintes à la réputation et interruptions d'activité. Depuis un règlement européen de 2018, l’entreprise confrontée à un vol de données confidentielles doit le notifier à la CNIL et aux clients / partenaires concernés. À défaut, elle s’expose à des sanctions, pouvant être très lourdes. 

Les contrats de cyber assurance couvrent généralement le vol/blocage de données réalisé via des attaques de logiciels malveillants (virus, chevaux de Troie, vers, ransomwares, hameçonnage, phishing). En fonction des contrats, certains incidents sont couverts : blocage du système informatique, panne de serveur entraînant une perte d’activité, atteinte à l’image de l’entité, perte d’exploitation et frais supplémentaires liés à l’arrêt ou à la paralysie des systèmes d’information, atteinte à l’image et réputation de l’entreprise, responsabilité civile (en cas de violation de données personnelles ou réclamations de tiers), cyber extorsion et demandes de rançon (suite à un blocage de données). Sauf mentions particulières, certains cyber risques ne sont pas couverts : sinistres liés à des failles connues, à une négligence manifeste ou à un défaut de prévention, attaques d’origine étatique, terroriste ou assimilées à des actes de guerre, dommages matériels et corporels consécutifs à une cyberattaque, coûts d’amélioration ou de mise à niveau du système après un sinistre, pertes de réputation, amendes administratives et sanctions réglementaires. 

Certaines assurances offrent également des services de gestion de crise : intervention d’experts en cybersécurité et consultants juridiques 24h/24 et 7j/7, reconstitution des données perdues et restauration des systèmes informatiques, assistance pour répondre aux obligations réglementaires, notamment RGPD, soutien à la communication et à la protection de l’image de l’entreprise.

En 2026, les souscriptions aux cyber assurances sont variables (90 % de grands groupes contre 5% de PME/ETI). Souscrire une assurance cyber permet de cartographier, via un audit informatique, les failles informatiques de l’entreprise, ce qui permettra de rectifier ces lacunes et définir avec précision les besoins et garanties. L’assurance cyber risques est devenue un élément essentiel pour protéger l’activité, les données et la réputation des entreprises face à la montée des cyberattaques. Le recours aux courtiers en assurances est fortement recommandé car ils accompagnent les entreprises vers la bonne assurance.