Le risque cyber évolue rapidement et les entreprises doivent s’adapter. Pourtant, selon une enquête IFOP d’octobre 2025, seules 51 % des ETI ont souscrit une assurance cyber. Ce chiffre montre que la couverture reste insuffisante face à des menaces importantes.

Historiquement, les polices d’assurance reposent sur une évaluation statique du risque, au moment de la souscription, puis périodiquement. Les assurés doivent fournir des informations exactes et complètes. Ces déclarations sont cruciales : en cas de sinistre, l’assureur peut contester la couverture si les réponses sont inexactes.

Autre terrain piégeux, les exclusions de garantie.

Trois exemples:

• Premièrement, les clauses excluant la couverture si l’assuré ne maintient pas des standards de sécurité minimaux ; cela suppose une coordination étroite entre les équipes cybers et celles qui gèrent les assurances.

• Deuxième illustration, les clauses d’exclusion pour risque de guerre. Comment apprécier cette exclusion dans un contexte de guerre hybride ? Dans une affaire Merck. c. Ace, une Cour d’appel du New-Jersey aux Etats-Unis a jugé en 2023 que  la clause « acte de guerre » n’avait pas vocation à s’appliquer à une cyberattaque, même attribuée à un acteur étatique.

• Troisième illustration, l’apparition de nouvelles exclusions sur des risques mal maitrisés, notamment en matière d’intelligence artificielle.

Ces exclusions ont conduit à la création de nouveaux produits d’assurance, qui viennent boucher les trous : des polices dédiées au risque cyber, et plus récemment des offres ciblées sur certains risques IA.

On passe d’une logique statique d’évaluation des risques à une logique plus dynamique.

Les assureurs ne se limitent plus à indemniser. Ils intègrent désormais des services préventifs : diagnostic initial, tests réguliers, monitoring continu, sensibilisation et simulations d’attaques. Pour ce faire ils s’appuient sur des partenariats avec des professionnels de la cybersécurité.

Cette approche réduit la fréquence et la gravité des sinistres et stabilise donc les primes. L’assurance cyber devient un service global combinant prévention, assistance et indemnisation.

Pour finir, un conseil pratique à retenir : depuis une loi Lopmi de 2023, l’indemnisation de dommages causés par une atteinte à un système de traitement automatisé de données est subordonnée au dépôt d'une plainte au plus tard 72 heures après la connaissance de l’attaque. Pour rappel, la plainte peut être déposée dans un commissariat mais aussi directement auprès des services du procureur du tribunal judiciaire compétent.