L'assurance cyber : ce qu'elle couvre, ce qu'elle ne couvre pas et comment y avoir droit

10mai, 2026
George Rouse
Assurance cyber

Selon le rapport Kaseya « State of the MSP » de 2026, 44 % des MSP indiquent qu'au moins 10 % de leurs clients ont été victimes d'une cyberattaque en 2025. C'est ce chiffre qui explique pourquoi la cyberassurance est passée du statut de simple option à celui d'élément indispensable pour la plupart des entreprises et pour tous les MSP qui les accompagnent.

Le marché a connu un cycle spectaculaire. Les primes ont augmenté de 73 % en 2021 et de plus de 50 % en 2022, à mesure que les pertes liées aux ransomwares s'alourdissaient. La pression concurrentielle a ensuite entraîné une baisse des taux tout au long de 2023, 2024 et une grande partie de 2025. Début 2026, ce ralentissement s'est arrêté : les analystes de WTW et de S&P Global prévoient une hausse des primes de 15 à 20 % au cours des 12 prochains mois, sous l'effet de la gravité croissante des attaques par ransomware et de la pression exercée par la réassurance. Le marché mondial de la cyberassurance a atteint environ 16 milliards de dollars en 2025 et devrait dépasser les 23 milliards de dollars d'ici 2026.

La question n'est pas tant de savoir s'il faut souscrire une assurance cyber, mais plutôt quelle couverture choisir, comment remplir les conditions requises sur un marché où les assureurs se sont considérablement durcis, et comment éviter les exclusions qui exposent les entreprises au risque au moment même où elles ont le plus besoin de leur police. La plateforme de Kaseya aide les MSP à accompagner leurs clients dans cette démarche, et ce guide présente tout ce que chaque MSP et chaque équipe informatique doit savoir.

Ce que couvre l'assurance cyber

Les polices d'assurance cyber varient considérablement d'un assureur à l'autre, mais les polices les plus complètes couvrent plusieurs catégories.

Les coûts directs sont les dépenses que l'organisme assuré engage directement à la suite d'un incident : services d'enquête judiciaire et d'intervention en cas d'incident, récupération des données et restauration des systèmes, pertes liées à l'interruption d'activité pendant les temps d'arrêt, communication de crise et relations publiques, ainsi que les frais de conseil juridique.

La responsabilité civile couvre les réclamations émanant de clients, de partenaires ou d'autres parties dont les données ont été compromises ou dont les systèmes ont été affectés par une violation provenant de l'environnement de l'assuré. Cela concerne tout particulièrement les MSP, car une compromission de leur environnement peut se répercuter sur celui de leurs clients et entraîner un risque de responsabilité civil cumulé.

Les coûts liés aux ransomwares comprennent la gestion des incidents, les services de négociation de rançon et, dans certaines polices d'assurance et juridictions, le paiement de la rançon lui-même, lorsque celui-ci est légalement autorisé et nécessaire sur le plan opérationnel. Il convient de noter que le paiement des rançons est devenu une question juridiquement complexe : les sanctions de l'OFAC (Office of Foreign Assets Control) s'appliquent aux paiements versés à certains groupes d'acteurs malveillants, et il est indispensable de consulter un conseiller juridique avant toute décision de paiement.

La couverture « Défense réglementaire et sanctions » prend en charge les frais juridiques et les règlements liés aux enquêtes réglementaires menées à la suite d'une violation. Elle est essentielle pour les organisations soumises à la loi HIPAA, à la norme PCI DSS, à la loi CCPA ou à d'autres cadres réglementaires pouvant entraîner des sanctions importantes.

Le chantage informatique ne se limite pas aux ransomwares ; il englobe également les menaces de divulgation de données, le chantage par attaque DDoS et d'autres tactiques de pression qui ne vont pas jusqu'au chiffrement complet des données.

L'ingénierie sociale et la fraude liée aux transferts de fonds englobent les attaques de type « Business Email Compromise » (BEC) qui donnent lieu à des virements bancaires frauduleux. Cette couverture n'est pas systématiquement incluse et fait souvent l'objet de sous-limites spécifiques nettement inférieures à la limite principale de la police.

Ce que l'assurance cyber ne couvre pas

Il est tout aussi important de bien comprendre les exclusions que la couverture elle-même. En 2026, plus de 40 % des demandes d'indemnisation au titre de l'assurance cyber ne donneront lieu à aucun versement, et les exclusions en sont la cause la plus fréquente.

Violations antérieures. Les incidents ayant débuté avant la date d'entrée en vigueur de la police sont généralement exclus. De nombreux auteurs de ransomware s'introduisent dans les systèmes plusieurs semaines, voire plusieurs mois, avant de déployer leur charge utile, ce qui crée une lacune importante dans la couverture si la compromission initiale est antérieure à la date d'entrée en vigueur de la police.

Vulnérabilités connues et non corrigées. Les polices d'assurance excluent de plus en plus souvent les incidents imputables à des vulnérabilités connues que l'assuré avait des motifs raisonnables de corriger. Si une violation exploite une vulnérabilité CVE qui avait été rendue publique et pouvait être corrigée six mois avant l'incident, la couverture peut être refusée. Cette exclusion fait de la gestion des correctifs une obligation directe de l'assurance, et non plus seulement une bonne pratique en matière de sécurité.

Attaques menées par des États. Historiquement, les exclusions liées à la guerre concernaient les conflits armés traditionnels. En 2023, Lloyd’s of London a mis à jour ses exigences de marché afin d’exclure formellement, dans de nombreuses polices autonomes, les pertes résultant de cyberattaques soutenues par des États. Les organisations actives dans les infrastructures critiques, les services financiers et la chaîne d’approvisionnement de la défense sont les plus exposées à ce risque. La formulation varie considérablement d’une police à l’autre et mérite un examen juridique minutieux.

Événements non malveillants. Les polices d'assurance cyber couvrent les événements malveillants. Les pannes matérielles, les erreurs humaines sans intention malveillante et la divulgation accidentelle de données relèvent généralement d'autres types de couverture, tels que la responsabilité civile professionnelle.

Sous-limites. De nombreuses catégories de couverture comportent des sous-limites nettement inférieures à la limite globale de la police. L'interruption d'activité, l'ingénierie sociale et le cryptojacking font partie des catégories couramment soumises à des sous-limites. Une police d'assurance d'une limite de 5 millions de dollars peut, par exemple, prévoir une sous-limite de 250 000 dollars pour les pertes liées à l'ingénierie sociale. Il est essentiel de bien comprendre ces sous-limites pour évaluer de manière réaliste la couverture offerte.

Comment la souscription a évolué

Les conditions de souscription des assurances cyber se sont considérablement durcies entre 2020 et 2022. La fréquence et la gravité des incidents liés aux ransomwares ont entraîné des pertes importantes pour les assureurs, ce qui a provoqué une flambée des primes, une réduction des garanties et un durcissement significatif des exigences en matière de sécurité avant l'octroi de la couverture.

Le marché s'est assoupli entre 2022 et 2025, la pression concurrentielle entre les assureurs ayant entraîné une baisse des tarifs et une augmentation de la capacité. Cet assouplissement n'a toutefois pas entraîné un relâchement des exigences en matière de sécurité. Les assureurs qui ont réduit leurs primes ont maintenu ou renforcé leurs exigences de contrôle, créant ainsi un marché où la couverture est plus accessible, mais où les critères d'éligibilité n'ont pas été assouplis.

Depuis 2026, les critères de souscription se durcissent à nouveau. Les assureurs accordent désormais davantage d'importance aux preuves de la mise en œuvre des mesures de contrôle plutôt qu'aux simples déclarations. Les programmes de gestion des risques liés aux tiers deviennent une exigence incontournable, et non plus un simple atout concurrentiel. Les organisations qui ne sont pas en mesure de démontrer qu'elles disposent d'un dispositif de sécurité à jour et documenté se voient refuser toute couverture ou doivent payer des primes exorbitantes.

Le changement concret : les organisations qui, auparavant, auraient pu se contenter d'une simple attestation d'une page doivent désormais remplir des questionnaires de sécurité détaillés, se conformer à des exigences techniques obligatoires et, dans certains cas, se soumettre à des évaluations de sécurité externes avant que les polices ne soient souscrites. Les assureurs sont ainsi devenus, en réalité, un moteur du marché imposant le respect des règles élémentaires de sécurité.

Ce qu'exigent désormais les assureurs

La plupart des assureurs cyber réputés exigent la mise en place des mesures de sécurité de base suivantes avant d'accorder une couverture.

Authentification multifactorielle pour tous les accès à distance, les comptes de messagerie et les comptes privilégiés. La violation de données subie par Change Healthcare en 2024, au cours de laquelle un portail Citrix non protégé et dépourvu d'authentification multifactorielle a été exploité, entraînant le paiement d'une rançon de 22 millions de dollars et des coûts de réponse immédiate s'élevant à 872 millions de dollars, est désormais la référence incontournable du secteur pour expliquer pourquoi l'authentification multifactorielle est une exigence incontournable. De nombreux assureurs demandent désormais des précisions sur la couverture de l'authentification multifactorielle pour chaque application, plutôt que de se contenter d'une réponse affirmative générale.

La solution de détection et de réponse sur les terminaux (EDR) est déployée sur l'ensemble des terminaux, et pas seulement sur les serveurs. Les antivirus traditionnels ne suffisent plus pour la plupart des politiques. Certains assureurs demandent désormais si l'EDR est gérée ou non, la solution EDR gérée (MDR) bénéficiant de conditions plus avantageuses.

Gestion des accès privilégiés avec authentification multifactorielle (MFA) et contrôles d'accès « juste à temps » pour les comptes administratifs. La distinction entre les accès courants et les accès privilégiés fait de plus en plus l'objet d'une évaluation distincte lors de la souscription.

Une gestion des correctifs s'appuyant sur un processus documenté et justifiant des délais de correction raisonnables pour les vulnérabilités critiques. Les assureurs ne se contentent plus de demander si une gestion des correctifs est en place, mais exigent désormais des indicateurs : délai moyen de correction des CVE critiques, pourcentage de terminaux conformes à la politique de correctifs.

Des sauvegardes testées et isolées. Les sauvegardes qui existent mais qui se trouvent sur le même réseau que les systèmes de production et sont accessibles aux ransomwares n'offrent aucune valeur en termes de restauration ni aucune couverture d'assurance. Les assureurs exigent la preuve de l'existence de sauvegardes isolées du réseau ou hors ligne, d'un stockage immuable et de résultats documentés des tests de restauration. Les sauvegardes qui n'ont jamais été testées sont de plus en plus souvent considérées comme inexistantes.

Formation à la sensibilisation à la sécurité, avec attestation de la formation dispensée et, dans de nombreux cas, résultats de simulations de phishing. Certains assureurs exigent la preuve que la formation est dispensée au moins une fois par trimestre plutôt qu'une fois par an.

Plan d'intervention en cas d'incident accompagné de preuves attestant de la réalisation d'un exercice sur table. Un plan documenté qui n'a jamais fait l'objet d'un exercice constitue une preuve moins solide qu'un plan testé dont les résultats sont consignés.

Les mesures de sécurité qui déterminent la couverture et la prime

Il existe un lien direct et réciproque entre les mesures de sécurité et l'économie de l'assurance.

Les organisations dotées de contrôles de sécurité solides et documentés peuvent bénéficier d'une couverture plus étendue, de plafonds plus élevés et de primes moins élevées. L'investissement dans la sécurité génère un retour financier tangible sous la forme d'une réduction des coûts d'assurance, en plus de l'avantage principal que constitue la diminution du risque d'incident.

Les entreprises dont les contrôles sont insuffisants ou non documentés se voient imposer des primes plus élevées, des plafonds de couverture plus bas, davantage de sous-limites, des franchises plus élevées et, dans certains cas, une couverture indisponible. Un MSP qui aide un client à documenter son dispositif de sécurité en vue d'un renouvellement ne se contente pas de fournir un service de mise en conformité. Il améliore directement les conditions financières de l'assurance de ce client.

L'historique des sinistres a une incidence considérable sur les conditions de renouvellement. Une entreprise ayant subi une violation de données majeure peut se voir proposer des conditions de couverture sensiblement modifiées lors du renouvellement, quelles que soient les améliorations apportées après l'incident. Les douze mois qui suivent un sinistre important constituent souvent la période d'assurance la plus coûteuse pour une entreprise.

Du point de vue d'un MSP, aider les clients à atteindre et à documenter le niveau de sécurité de base exigé par les assureurs constitue à la fois une valeur ajoutée en matière de prestation de services et une fonction de gestion des risques. Cela permet de réduire les coûts d'assurance du client, de limiter la responsabilité civile du MSP en cas d'incidents chez le client et de renforcer son positionnement en tant que conseiller.

Assurance cyber pour les MSP

Les MSP doivent tenir compte de deux aspects distincts en matière de cyberassurance : d'une part, la couverture interne de leurs propres activités, et d'autre part, leur rôle de conseil auprès des clients pour les aider à remplir les conditions requises et à conserver leur couverture.

La couverture interne doit refléter le profil de risque propre aux activités des MSP. L'accès à des privilèges élevés dans de multiples environnements clients engendre un risque de responsabilité civil fondamentalement différent de celui d'un service informatique au sein d'une seule organisation. Une violation de sécurité chez un MSP peut se répercuter simultanément sur des dizaines d'environnements clients, créant ainsi une responsabilité civile globale envers des tiers qu'une police d'assurance cyber standard est peu susceptible de couvrir de manière adéquate. Les polices d'assurance cyber destinées aux MSP devraient inclure une couverture spécifique pour la responsabilité civile envers les clients tiers, ainsi que des limites proportionnelles à la valeur totale du portefeuille de clients.

Les opportunités en matière de conseil sont importantes et en pleine croissance. On sollicite de plus en plus les MSP pour aider leurs clients à documenter leurs contrôles de sécurité dans le cadre des questionnaires de souscription, à s'assurer que les services fournis sont conformes aux exigences des polices d'assurance et à donner leur avis sur l'adéquation de la couverture. Il s'agit là d'un prolongement naturel de l'offre de services de sécurité gérés, qui génère de nouvelles opportunités de revenus : les services de conseil en conformité et de préparation à l'assurance sont de plus en plus souvent facturés à des tarifs majorés.

La cohérence contractuelle est essentielle. Les contrats de services des MSP doivent clairement définir la responsabilité en cas d'incident de sécurité, les obligations de notification des violations et l'étendue des responsabilités en matière de protection des données des clients. Il convient d'examiner conjointement la cyberassurance et les clauses contractuelles. Un MSP dont le contrat limite la responsabilité à trois mois de frais, mais dont la violation subie par un client entraîne 2 millions de dollars de réclamations de tiers, présente une lacune de couverture qu'il faut identifier avant qu'un incident ne la mette en évidence.

Comment Kaseya aide les MSP à répondre aux exigences des assureurs

Kaseya 365 sur une seule et même plateforme les mesures de sécurité désormais exigées par les assureurs, offrant ainsi aux MSP à la fois la protection et la traçabilité requises par les souscripteurs.

Datto EDR assure la détection et la réponse au niveau des terminaux sur l'ensemble des terminaux gérés, avec des fonctionnalités de détection et de réponse gérées (MDR) pour les entreprises qui ont besoin d'un centre d'opérations de sécurité (SOC) surveillé. La preuve du déploiement de l'EDR et de la réponse aux alertes constitue une question standard posée lors de la souscription.

BullPhish ID propose des formations à la sensibilisation à la sécurité et des simulations de phishing dans les environnements des clients, avec des rapports qui documentent la fréquence des formations et les résultats des employés à des fins de documentation de souscription.

Dark Web ID surveille en permanence les identifiants compromis sur les domaines des clients, détectant ainsi les identifiants exposés avant qu'ils ne soient exploités. La surveillance des identifiants est une exigence de souscription de plus en plus courante.

Inky propose une solution de sécurité des e-mails et de protection contre le phishing basée sur l'IA, qui s'attaque au vecteur de menace que constitue l'ingénierie sociale, à l'origine de la plupart des incidents d'accès initial.

Datto SIRIS offre une solution de sauvegarde isolée et immuable, dotée d'une vérification automatisée par capture d'écran, qui fournit les preuves documentées des tests de restauration que les assureurs exigent de plus en plus souvent pour s'assurer que les sauvegardes sont effectivement restaurables.

Compliance Manager GRC génère, à partir d’une plateforme unique, la documentation relative à la posture de sécurité et la piste d’audit de conformité requises par les questionnaires de souscription, pour plusieurs clients.

Pour les MSP éligibles, le programme « Kaseya Cyber Insurance Fast Track », disponible via KaseyaOne partenariat avec Cysurance, offre une couverture de responsabilité civile cyber pré-approuvée pouvant atteindre 1,5 million de dollars pour les MSP et leurs clients ayant déployé la suite de solutions de sécurité de Kaseya. Les MSP éligibles bénéficient d'une couverture à des tarifs nettement inférieurs aux prix habituels du marché, avec une procédure de demande simplifiée via le KaseyaOne .

Découvrez la solution Kaseya 365 pour les MSP

Points clés à retenir

  • L'assurance cyber couvre les coûts liés aux incidents subis par l'assuré, la responsabilité civile, la défense en cas de poursuites réglementaires et les dépenses liées aux ransomwares ; toutefois, les exclusions concernant les attaques menées par des États, les violations préexistantes et les vulnérabilités connues non corrigées entraînent régulièrement le rejet des demandes d'indemnisation. Il est tout aussi important de bien comprendre les exclusions que de bien comprendre la couverture.
  • Les exigences en matière de souscription ne se sont pas assouplies parallèlement à la baisse des primes. Les assureurs exigent désormais des preuves documentées de la mise en place d'une authentification multifactorielle (MFA) et d'un système de détection et de réponse aux incidents (EDR), de sauvegardes testées, d'une gestion des correctifs, ainsi que de tests du plan d'intervention en cas d'incident avant de valider la couverture. Une simple attestation ne suffit plus.
  • Les investissements en matière de sécurité et l'économie de l'assurance sont étroitement liés. Des contrôles rigoureux et documentés permettent d'obtenir une meilleure couverture, des primes moins élevées et un traitement plus simple des sinistres. À l'inverse, des contrôles non documentés ou insuffisants entraînent l'effet inverse, quel que soit le contenu du questionnaire.
  • Pour les MSP, le conseil en matière d'assurance cyber, qui consiste à aider les clients à documenter leurs contrôles, à aligner leurs services sur les exigences des polices d'assurance et à remplir les conditions requises pour bénéficier d'une couverture, constitue une offre de services en pleine expansion et facturable qui renforce les relations avec la clientèle et le positionnement concurrentiel des MSP.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Qu'est-ce que l'authentification multifactorielle (MFA) ? Pourquoi est-elle importante et quel est son rôle essentiel dans la cybersécurité ?

L'authentification multifactorielle (MFA) est un élément essentiel de la vérification d'identité et de la cybersécurité, dans le cadre duquel les utilisateurs confirment leur identité à l'aide de plusieurs méthodes.

Lire l'article de blog

Pourquoi est-il si difficile de souscrire une assurance cyber et que faire pour y remédier ?

Découvrez pourquoi il peut être difficile de souscrire une cyberassurance et comment le nouveau programme Kaseya Fast Track permet de surmonter ces obstacles.

Lire l'article de blog

Pourquoi vous devez aborder la question de l'assurance cyber avec les PME

Au cours des dernières années, nous avons constaté que les cybercriminels s'attaquaient de plus en plus aux petites et moyennes entreprises, alors que de nombreux chefs de petites entreprises continuent de penser

Lire l'article de blog