Face à la multiplication des cyber-menaces et au développement des cyber-risques, les entreprises ont évidemment l’obligation de veiller à leur résilience et notamment à leur cybersécurité. Cependant, en cas de sinistre, l’externalisation du risque au travers d’une police de cyber-assurance fait aussi partie de la réponse. L’Amrae (Association pour le Management des Risques et des Assurances de l'Entreprise), l’association professionnelle des gestionnaires de risques français, étudie ce marché depuis 2019 au travers de l’étude annuelle LuCy (Lumière sur la Cyber-assurance). Le marché de la cyber-assurance est très peu stable et la situation peut fortement varier d’une année sur l’autre. L’édition 2026 est marquée notamment par une forte baisse des primes (-32 % pour les grandes entreprises, -23 % pour les ETI).
En principe, une baisse des coûts est une bonne nouvelle pour les entreprises. Cependant, à long terme, il peut en être autrement. Et c’est précisément le cas ici. En effet, les primes perçues par les assureurs doivent compenser les indemnisations versées et les frais de fonctionnement. Si ce n’est pas le cas, le marché peut brutalement s’effondrer et des acteurs disparaître. L’inquiétude réside en effet dans la baisse des coûts de police (surtout pour les grands comptes) mais elle se conjugue à une hausse de la sinistralité (surtout en PME). Dans les ETI, la sinistralité déclarée a été multipliée par 2,4 et celle indemnisée a quadruplé. « La survenance d’un sinistre majeur pourrait entraîner un réajustement rapide des conditions, avec une remontée brutale des taux et un durcissement de l’accès à l’assurance pour certains acteurs » relève Philippe Cotelle, administrateur de l’Amrae et pilote de l’étude.
Un marché encore intéressant pour les assureurs… pour l’instant
Le ratio sinistralité sur prime demeure cependant favorable aux assureurs avec 22 %. En 2025, les capacités achetées par les grandes entreprises en matière de cyber-assurance ont augmenté de 18 % passant de 42 millions d’euro en 2024 à 50. Indemnisés ou non, les sinistres ont eu des conséquences accrues en 2025 : le montant total des sinistres en 2025 a atteint 83,2 M€ contre 54,5 M€ en 2024, soit une hausse très significative de +53%. L’indemnisation et le coût des sinistres ne sont évidemment pas similaires. Par exemple, une entreprise achetant une couverture de 50 M€ avec une prime de 641 000 € aura une franchise de 5,1 M€. De même, une entreprise de taille intermédiaire (ETI) qui souscrit une couverture de 4,2 M€ aura une franchise de 91 000 € pour une prime de 34 000 €.
L’Amrae a demandé des commentaires à plusieurs acteurs de la cybersécurité. Ainsi, Odile Duthil, présidente du Clusif, a observé : « La cyberassurance est désormais perçue comme un maillon de la gestion globale des risques, et non comme une solution autonome. » La difficulté principale reste, pour elle, la quantification et la valorisation des cyber-risques. Arnaud Martin, trésorier du Cesin, a, de son côté, regretté que, pour la première fois, les budgets cybersécurité ont une tendance à la baisse. Il a apporté des précisions sur la sinistralité : « nous constatons une baisse du nombre global d’incidents significatifs qui s’explique par les efforts engagés ces dernières années en matière de prévention et de sécurisation des systèmes. En revanche, lorsque les attaques aboutissent, leurs impacts sont plus importants. »