Cyber-risque : sinistres en flèche, marché en ébullition

Le cyber-risque s’impose aujourd’hui comme l’une des principales menaces pour les entreprises, avec des sinistres en flèche qui mettent le marché de l’assurance en véritable ébullition. En 2025, le nombre d’incidents cyber déclarés a explosé, illustrant un bouleversement profond du paysage numérique. En Europe par exemple, un assureur spécialisé a rapporté une hausse de +150 % des sinistres déclarés en 2025 par rapport à l’année précédente. Ce bond spectaculaire touche avant tout les petites et moyennes entreprises (PME). Ce phénomène ne se limite pas au Vieux Continent : partout dans le monde, attaques informatiques et fuites de données se multiplient, forçant la prise de conscience des dirigeants et bousculant l’industrie de l’assurance. Face à cette flambée des incidents, assureurs et entreprises tentent de s’adapter pour continuer à transférer et maîtriser le risque numérique.

Les indicateurs de sinistralité cyber sont repartis fortement à la hausse. En France, 45 % des entreprises auraient subi au moins une cyberattaque récente, selon les données professionnelles disponibles fin 2024. Surtout, après quelques années d’accalmie, le montant total des sinistres indemnisés est reparti à la hausse. D’après le rapport LUCY 2025 de l’AMRAE, les indemnisations versées par les assureurs cyber en France ont atteint 55 millions d’euros en 2024, en augmentation de +43 % par rapport à 2023. Cette recrudescence s’explique notamment par la réapparition de sinistres majeurs : pour la première fois depuis que ces statistiques existent, deux sinistres ont dépassé chacun les 10 millions d’euros de dommages indemnisés en France en 2024. En parallèle, la fréquence des incidents moins graves augmente également. Ainsi, chez les entreprises de taille moyenne, le nombre de sinistres signalés a été multiplié par plus de quatre (+353 %) sur un an. Certes, beaucoup de ces incidents restent d’ampleur modérée, mais ce saut traduit une meilleure détection et une déclaration plus systématique des problèmes : la nouvelle législation (telle que la loi française LOPMI) oblige désormais les victimes à porter plainte sous 72 heures pour activer leur couverture d’assurance, poussant les assurés à ne plus passer sous silence aucune alerte.

Cette tendance haussière se constate à l’échelle internationale. Aux États-Unis, les assureurs observent également une multiplication des déclarations de sinistres, quoique moins fulgurante qu’en Europe. Une étude globale indique par exemple une augmentation d’environ 12 % de la fréquence des sinistres cyber en 2025. Surtout, la sévérité moyenne des incidents s’accroît : d’après le rapport annuel d’IBM sur les fuites de données, le coût moyen d’une violation de données a atteint un nouveau record mondial de 4,9 millions de dollars en 2024, soit une hausse de près de 10 % en un an. Autrement dit, en plus d’être plus nombreuses, les cyberattaques coûtent de plus en plus cher aux organisations. Cette double menace (fréquence et gravité accrues) place le marché de la cyberassurance sous tension, alors même que la demande de protection financière contre ces risques n’a jamais été aussi forte.

Autre enseignement des données récentes : la majorité des sinistres cyber proviennent de fraudes par courriel et d’attaques liées à la messagerie. Le phishing (hameçonnage), les escroqueries par usurpation d’identité de dirigeants (fraude au « président ») ou les compromissions de messageries professionnelles (BEC pour Business Email Compromise) représentent aujourd’hui le premier vecteur d’incident. Chez l’assureur cyber français Stoïk par exemple, près de 60 % des dossiers de sinistres traités en 2025 sont liés à des attaques par e-mail. De telles méthodes, relativement simples mais redoutablement efficaces, ont pris de l’ampleur et gagné en sophistication. Les cybercriminels pratiquant le BEC parviennent désormais à le faire à grande échelle, en s’appuyant sur des techniques d’intelligence artificielle générative. En 2025, l’essor des outils d’IA a permis de produire des courriels d’hameçonnage parfaitement rédigés et ciblés, voire de fausses voix et vidéos (deepfakes) imitant à la perfection des interlocuteurs de confiance, de sorte à piéger les employés. Selon certains experts, les tentatives de fraude par deepfake auraient été multipliées par plus de vingt au cours des deux dernières années. Conséquence : un nombre croissant d’entreprises se font abuser par de faux ordres de virement ou des détournements de paiements. Une étude de l’assureur américain Coalition révèle ainsi que la compromission de mails professionnels est devenue le type d’incident le plus fréquent, représentant environ un tiers des réclamations d’assurance cyber en 2025. Certes, le préjudice financier moyen de ces fraudes par e-mail est plus limité (quelques dizaines de milliers d’euros dans la plupart des cas), mais la répétition de nombreuses pertes modestes peut peser lourd pour les assureurs comme pour les victimes.

En parallèle, les rançongiciels (ransomware) restent la menace la plus coûteuse et redoutée. Sur l’année 2025, les ransomwares n’ont représenté qu’environ 28 % des sinistres cyber déclarés, mais plus de la moitié des montants d’indemnisation versés. Autrement dit, moins fréquents que le phishing, ils n’en sont pas moins dévastateurs : une seule attaque réussie peut occasionner des millions d’euros de pertes (arrêt d’activité, restauration des données, rançon éventuelle, etc.). Or, les groupes de cyberdélinquants affinent constamment leurs tactiques. La pratique de la « double extorsion » s’est généralisée : en plus de chiffrer les systèmes de la victime et d’exiger une rançon pour la clé de déchiffrement, les attaquants volent des données sensibles et menacent de les divulguer en ligne, de manière à contraindre encore davantage l’entreprise à payer. Ce chantage supplémentaire a fait grimper de +60 % le coût financier moyen d’un sinistre par rançongiciel l’an passé, d’après les données agrégées de Stoïk en Europe. En outre, la plupart des incidents de ransomware ne sont pas rendus publics, ce qui laisse penser que l’ampleur réelle du phénomène est encore supérieure à ce qui est rapporté. Les professionnels du secteur estiment en effet que seule une minorité (environ 15 %) des attaques par rançongiciel font l’objet d’une communication officielle. Les autres sont traitées dans la discrétion, souvent en négociant et en payant des rançons de gré à gré avec les criminels – un mode de résolution que la plupart des assureurs déconseillent pourtant, car il alimente le cercle vicieux des cyberextorsions.

Face à ces risques exponentiels, le marché de l’assurance cyber est en ébullition et connaît de rapides mutations. Après le choc des années 2020-2021, où les sinistres inattendus de grande ampleur avaient entraîné des envolées massives des tarifs (avec des primes augmentant parfois de +50 % à +100 % par an), l’exercice 2024 a marqué un point d’inflexion. Pour la première fois, les tarifs ont commencé à se détendre. À l’échelle mondiale, le prix moyen des garanties cyber a reculé d’environ 6 % en 2025, selon le courtier Marsh – un phénomène inédit depuis le durcissement du marché en 2020. Cette détente concerne avant tout l’Europe, où la concurrence accrue entre assureurs a abouti à des baisses de tarifs de l’ordre de 10 % à 15 % en moyenne sur un an. En France, l’AMRAE confirme cet assouplissement en 2024 : pour les grandes entreprises, le taux de prime annuel moyen est passé de 2,37 % du chiffre d’affaires en 2023 à 1,90 % en 2024, soit une baisse de près de 20 %. De même, les franchises exigées à la charge des assurés ont été réduites d’environ 15 % pour les grands comptes, et de près de 50 % pour les ETI. En baissant à la fois les tarifs et les franchises, les assureurs ont rendu la couverture cyber plus accessible, ce qui a favorisé l’élargissement du marché : le volume total de primes collectées en France a légèrement diminué en 2024 (317 M€ contre 328 M€ en 2023), mais cette baisse cache un afflux de nouveaux souscripteurs, notamment parmi les entreprises de taille intermédiaire et les PME. Ainsi, le nombre d’ETI et de PME assurées contre le cyber-risque a bondi respectivement de +32 % et +33 % en un an, signe d’une prise de conscience accrue de l’intérêt de ces assurances par des entreprises jusqu’ici réticentes.

Plusieurs facteurs expliquent ce retournement du marché. D’une part, les résultats techniques se sont améliorés pour les assureurs, après les fortes hausses de tarifs des années passées. Aux États-Unis, la branche cyber est même redevenue très rentable : le ratio combiné (rapport des sinistres et frais sur les primes) y est tombé à environ 65 % en 2025, faisant de la cyberassurance l’une des activités d’assurance d’entreprise les plus profitables actuellement. Cette restauration des marges, conjuguée à la forte demande et aux perspectives de croissance du secteur (le marché mondial devrait atteindre 16 milliards de dollars de primes en 2025, et plus du double d’ici 2030 selon les réassureurs), a attiré de nouveaux acteurs et capitaux. De grandes compagnies d’assurance encore absentes du domaine s’y intéressent, et surtout les réassureurs soutiennent de plus en plus ce risque : d’après le courtier Lockton Re, la capacité de réassurance dédiée au cyber a augmenté d’environ 250 millions de dollars au premier semestre 2025, notamment grâce à l’arrivée de nouveaux entrants. Cette abondance de capital permet aux assureurs directs de proposer des garanties plus étendues (par exemple des limites d’indemnisation plus élevées, ou l’inclusion de pertes d’exploitation et de frais de réputation dans les contrats), et intensifie la concurrence. D’autre part, les assurés eux-mêmes ont accompli des progrès notables en prévention. Échaudées par la vague d’attaques des années passées, de nombreuses entreprises ont élevé leur niveau de cybersécurité (authentification multifacteur, sauvegardes régulières, plans de réponse aux incidents…), souvent à la demande expresse de leurs assureurs. Ces investissements commencent à porter leurs fruits avec une légère accalmie sur les sinistres les plus sévères. Les assureurs constatent notamment une diminution de la fréquence des sinistres catastrophiques dans leurs portefeuilles, ce qui les a incités à modérer les tarifs après plusieurs années de surchauffe.

Il convient toutefois de nuancer ce tableau : le marché reste fragile et hétérogène. Les baisses de prime profitent surtout aux entreprises pouvant justifier d’un haut niveau de sécurité. Celles-ci parviennent à négocier des couvertures plus larges et moins coûteuses. En revanche, les secteurs d’activité jugés à risque élevé (comme la santé, les collectivités ou la finance), ainsi que les entreprises n’ayant pas suffisamment renforcé leur cybersécurité, continuent de faire face à des conditions strictes : primes élevées, garanties limitées, exclusions plus nombreuses. De plus, malgré la croissance rapide des souscriptions, la pénétration de l’assurance cyber reste modeste parmi les plus petites entreprises. En France, on estime qu’à peine 1 % à 2 % des PME disposent aujourd’hui d’une police cyber dédiée, la plupart ne se croyant pas suffisamment exposées ou rechignant devant le coût. Ce retard de couverture n’est pas propre à l’Hexagone : selon les réassureurs, moins de la moitié des entreprises éligibles dans le monde sont actuellement assurées contre les cyber-risques, ce qui laisse subsister un important « protection gap » (manque de couverture) en cas de catastrophe numérique majeure.

La flambée des sinistres a eu pour effet de durcir considérablement les conditions de souscription des contrats d’assurance cyber ces dernières années. Les assureurs ne couvrent plus les entreprises qui ne respectent pas un socle minimal de mesures de sécurité. Désormais, l’authentification multifacteur (MFA) est exigée quasi systématiquement pour accéder aux systèmes sensibles. De même, la présence d’un dispositif de détection et réponse aux incidents (type EDR/MDR) sur l’ensemble des terminaux de l’entreprise, l’existence de sauvegardes régulières et déconnectées des réseaux principaux, ou encore la mise en place d’un plan de réponse aux incidents testé, font partie des prérequis courants. Une étude récente indiquait qu’en 2025, plus de 90 % des contrats cyber imposent le MFA, et près de 9 sur 10 exigent également la réalisation périodique de sauvegardes hors-ligne. Cette élévation des standards de sécurité a un double effet : elle réduit la fréquence des sinistres graves chez les assurés (ceux qui appliquent ces bonnes pratiques), tout en conduisant certains candidats mal préparés à se voir refuser la couverture. En 2025, environ 21 % des demandes d’indemnisation ont été totalement ou partiellement rejetées par les assureurs cyber, souvent parce que l’entreprise n’avait pas réellement déployé les mesures de sécurité déclarées lors de la souscription. À l’inverse, les assurés les mieux protégés peuvent bénéficier de rabais sur leur prime : la mise en place du MFA sur l’ensemble des comptes d’utilisateurs, par exemple, permettrait d’obtenir des réductions de prime de l’ordre de 15 % à 20 % chez plusieurs assureurs.

En parallèle, le cadre réglementaire évolue pour mieux encadrer le risque cyber et encourager les bonnes pratiques. En Europe, la directive NIS2, entrée en vigueur fin 2024, a considérablement élargi le nombre de secteurs et d’entreprises soumis à des obligations de cybersécurité. Désormais, des milliers de moyennes entreprises européennes (notamment dans les transports, l’alimentation, les fournisseurs du numérique, etc.) doivent respecter des standards de sécurité minimums et reporter publiquement les incidents significatifs. Cette extension réglementaire, combinée aux potentielles amendes en cas de manquement, incite davantage d’entreprises à investir dans leur sécurité et à envisager une assurance pour se protéger financièrement. Le secteur financier, lui, est soumis depuis début 2025 au règlement européen DORA, qui impose aux banques, assureurs et sociétés de gestion d’intégrer strictement le risque informatique dans leur gestion opérationnelle (audit des fournisseurs cloud, tests de résilience, plans de continuité, etc.). Aux États-Unis, le régulateur boursier (SEC) a instauré en 2023 l’obligation pour les entreprises cotées de divulguer publiquement toute cyberattaque significative dans les jours suivant sa découverte. Là encore, cette transparence imposée a poussé les conseils d’administration à renforcer leurs programmes de cybersécurité et à évaluer leur transfert de risque via l’assurance. Enfin, en France, le gouvernement a introduit des obligations d’assurance pour certains secteurs critiques : depuis 2022-2023, les opérateurs d’importance vitale (OIV) et autres grandes entreprises d’importance systémique ont l’obligation légale de souscrire une assurance cyber. Si les PME ne sont pas encore concernées par cette contrainte, elles sont de plus en plus incitées – par les autorités comme par leurs donneurs d’ordre – à se couvrir. L’ensemble de ces évolutions réglementaires contribue à structurer le marché et à diffuser une culture de gestion du risque cyber plus proactive.

Malgré la résurgence des sinistres et quelques pertes retentissantes, le marché de la cyberassurance semble pour l’instant capable d’absorber les chocs récents. Le ratio sinistres/primes reste à un niveau modéré (par exemple autour de 17 % en France en 2024, contre 12 % en 2023), ce qui signifie que la grande majorité des primes collectées n’a pas été consommée par des indemnisations sur l’année écoulée. Les assureurs conservent donc, globalement, une marge de sécurité confortable. Toutefois, cet équilibre reste précaire et dépend de l’évolution future des menaces. Les experts soulignent le risque d’un scénario de sinistre systémique, dans lequel une seule cyberattaque causerait des dégâts simultanés à des milliers d’organisations à travers le monde (par exemple, une faille touchant massivement un fournisseur de service cloud ou un logiciel largement utilisé). D’après le réassureur Munich Re, un tel événement cyber catastrophique pourrait engendrer, d’ici la fin de la décennie, plus de 10 milliards de dollars de pertes assurées à lui seul. Une telle catastrophe testerait durement la résilience du marché de l’assurance, et pourrait remettre en cause la profitabilité retrouvée du secteur. Conscients de ce danger, assureurs et réassureurs affirment avoir renforcé leurs analyses d’accumulation de risques et leur appétit prudent pour les expositions cyber, afin de pouvoir encaisser plusieurs chocs majeurs sans faillir.

En attendant, la dynamique actuelle reste plutôt à l’optimisme prudent. L’année 2025 a prouvé qu’en exigeant de meilleures protections en amont et en ajustant les conditions de souscription, il est possible de contenir la sinistralité malgré l’intensification des attaques. Les entreprises, de leur côté, intègrent de plus en plus le risque cyber dans leur gestion courante des risques, consacrent des budgets croissants à la cybersécurité et s’appuient sur l’expertise de leurs assureurs et courtiers pour améliorer leur posture de défense. Selon une enquête internationale de Marsh, 75 % des organisations se disent désormais confiantes dans leur stratégie de gestion du risque cyber, et 66 % prévoient d’augmenter leurs dépenses de cybersécurité en 2026. Cette maturation progressive, tant du côté des clients que des assureurs, laisse entrevoir l’émergence d’un marché plus discipliné et pérenne, où la prime payée reflète de mieux en mieux le niveau de sécurité de l’assuré.

Néanmoins, chaque nouvelle cyberattaque de grande ampleur rappelle que la menace évolue sans cesse. 2026 s’annonce comme une année charnière pour tester la solidité de cet équilibre. Entre l’innovation des attaquants (qui explorent l’IA et d’autres armes numériques) et la montée en puissance des défenses (meilleure formation des salariés, outils de sécurité plus performants, partage d’informations sur les menaces), un bras de fer permanent est engagé. Dans ce contexte, la cyberassurance a prouvé son utilité comme filet de sécurité et comme levier de résilience – à condition qu’elle s’accompagne d’efforts soutenus de prévention. La course entre la sécurité et les nouvelles menaces se poursuit, et c’est de sa capacité à innover et à s’adapter que le marché de l’assurance cyber tirera sa stabilité future.

Cyberattaques : les sinistres déclarés explosent de 150% en Europe selon un assureur – 4 mars 2026
https://siecledigital.fr/2026/03/04/le-nombre-de-cyber-sinistres-en-europe-a-augmente-de-150-en-2025/

Cyberassurance : l’Amrae publie son baromètre 2025 et confirme l’assouplissement du marché – 12 juin 2025
https://www.decideurs-juridiques.com/strategie-juridiques/61564-cyberassurance-l-amrae-publie-son-barometre-2025-et-confirme-l-assouplissement-du-marche.html

Risque cyber : un marché de l’assurance en mutation, entre vigilance et opportunités – 28 octobre 2025
https://www.verspieren.com/fr/entreprise/article/iard/risque-cyber-pour-les-entreprises-2025

42 Cyber Insurance Statistics for 2026 — Premiums & Claims Data – mars 2026
https://medhacloud.com/blog/cyber-insurance-statistics-2026

Cyber risk investments to shape 2026 insurance market – 10 décembre 2025
https://www.insurancebusinessmag.com/us/news/cyber/cyber-risk-investments-to-shape-2026-insurance-market–marsh-559559.aspx