Une assurance pour toute entreprise qui traite des données numériques : ransomware, fuite de données, RGPD, NIS2, gestion de crise, frais d'enquête forensic, pertes d'exploitation. TPE, PME, ETI, professions libérales, e-commerce, ESN, secteur public.
Demander mon devisPME, e-commerce, cabinet libéral, ESN, ETI, association : chaque profil a son risque. On adapte la couverture au secteur, au volume de données et à la maturité cyber.
PME industrielle, commerce, services, BTP, transport : toute entreprise qui traite des données numériques (clients, fournisseurs, salariés, commandes, comptabilité) est exposée. Profil le plus représenté dans nos demandes : un sinistre cyber moyen sur une PME atteint plusieurs centaines de milliers d'euros tous frais confondus.
E-commerçant, marketplace, dropshipping, place de marché B2B. Risque accru : carte bancaire (PCI-DSS), comptes clients, données de paiement, indisponibilité du site (perte directe de chiffre d'affaires). Le secteur cumule risque RGPD et risque financier de pertes d'exploitation.
Cabinet médical, avocat, notaire, expert-comptable, conseil. Données particulièrement sensibles : santé, juridique, financier, fiscal. Sanction CNIL accrue en cas de fuite. Secret professionnel et obligation de confidentialité ajoutent une couche de responsabilité.
ESN, infogéreur, MSP, éditeur SaaS, hébergeur. Vous traitez les données de vos clients : un sinistre se propage à toute votre clientèle. La RC informatique couvre les dommages aux clients, la cyber-risques couvre vos propres systèmes et la gestion de crise.
ETI, foncière, distribution, retail, transport, secteur public. Volumes de données importants (centaines de milliers à millions de personnes). Sanctions CNIL maximales de 20 M€ ou 4 % du CA mondial. Programme cyber structuré (SOC, ISO 27001) recommandé.
Mairie, EPCI, association loi 1901, syndicat, fédération sportive ou culturelle. Cibles privilégiées des attaques (ressources IT limitées, budgets contraints). Directive NIS2 applicable aux entités essentielles et importantes du secteur public depuis 2024.
Vous êtes une ESN ou un éditeur de logiciel ? Complétez par une RC Informatique qui couvre les dommages causés à vos clients par un bug ou une livraison défaillante. Pour les autres entreprises, la cyber se complète d'une RC Pro générique, d'une multirisque professionnelle et d'une protection juridique pro.
Quatre étapes pour souscrire un contrat cyber adapté à votre maturité.
3 minutes pour qualifier votre secteur, votre taille et votre maturité cyber.
Échange pour préciser le SI, les volumes de données et compléter le questionnaire cyber.
Comparatif des principaux porteurs cyber selon votre profil et votre maturité.
Souscription, attestation, numéro d'urgence cyber 24/7 communiqué dès la mise en place.
6 questions rapides pour qualifier votre exposition. Sans engagement, sans frais.
Le secteur détermine le type de données traitées et le risque associé.
Le nombre de salariés et le CA déterminent les plafonds adaptés.
Données personnelles : clients, salariés, prospects, fournisseurs. Influence directe sur la sanction CNIL en cas de fuite.
Mesures techniques et organisationnelles déjà en place. Plus vous êtes mature, plus la cotisation est avantageuse.
Information utilisée pour évaluer le risque et calibrer la couverture.
Réponse rapide par email et téléphone. Vos données ne sont transmises qu'aux assureurs interrogés (RGPD).
Merci ! Notre équipe étudie votre demande et revient vers vous rapidement.
Un email de confirmation vient d'être envoyé sur votre adresse. Pensez à vérifier vos spams si vous ne le voyez pas.
Le formulaire n'a pas pu être envoyé. Réessayez dans un instant ou contactez-nous directement à contact@atmoassurances.com ou au 01 87 66 71 03.
Oui, dès lors que vous traitez des données numériques (clients, fournisseurs, salariés, comptabilité). Les PME et TPE sont aujourd'hui la cible principale des cyber-attaques (ransomware, phishing) car les attaquants savent qu'elles sont moins protégées. Selon les baromètres du secteur, 60 % des PME victimes d'une attaque ferment dans les 18 mois. Le cyber-risque est devenu le risque opérationnel n°1 pour la plupart des entreprises.
Quatre grandes catégories. (1) Frais de gestion de crise : cellule 24/7, experts forensic, communication. (2) Frais de notification : CNIL, clients, courriers, centre d'appels. (3) Restauration des données et des systèmes : reconstruction, sauvegardes, sur-coûts informatiques. (4) Pertes financières : pertes d'exploitation pendant l'interruption, cyber-extorsion, fraude au président, responsabilité civile vis-à-vis des tiers (clients dont les données ont fuité). Plafonds élevés selon formule.
Le RGPD (article 33) impose au responsable du traitement de notifier toute violation de données personnelles à la CNIL dans les 72 heures après en avoir pris connaissance, dès lors qu'elle est susceptible d'engendrer un risque pour les droits et libertés des personnes. Si le risque est élevé, les personnes concernées doivent aussi être informées (article 34). En cas de manquement, sanction CNIL pouvant aller jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial.
La directive NIS2 (Network and Information Security 2), transposée en droit français en 2024, étend les obligations de cybersécurité à un nombre important d'entités. Elle distingue entités essentielles (énergie, transport, santé, infrastructure numérique, administration publique) et entités importantes (alimentation, fabrication, services postaux, gestion des déchets, fournisseurs numériques). Obligations principales : analyse de risque, plan de continuité, gestion d'incidents, notification dans les 24 heures à l'ANSSI en cas d'incident significatif. La conformité NIS2 facilite la souscription cyber et fait baisser la cotisation.
Le paiement de rançon peut être couvert par certains contrats cyber, sous conditions strictes : dépôt de plainte préalable, déclaration auprès de l'ANSSI, justification de l'absence d'alternative technique raisonnable, vérification des sanctions internationales (impossible si l'attaquant est listé OFAC ou UE). En France, la loi LOPMI de 2023 conditionne explicitement la prise en charge à un dépôt de plainte sous 72h. Le contrat couvre aussi la négociation avec les attaquants via un négociateur spécialisé, qui souvent permet de réduire la rançon initialement demandée.
Dès que vous détectez une attaque, vous appelez un numéro d'urgence dédié (24/7) inclus dans le contrat. Une cellule de crise est activée : chef de projet incident, experts forensic (analyse technique de l'attaque), juristes RGPD (notification CNIL), communicants (gestion média si fuite publique), négociateurs (si rançongiciel). L'objectif : contenir l'attaque dans les premières heures, préserver les preuves, restaurer les systèmes critiques, et maîtriser la communication.
Pour souscrire, les assureurs demandent généralement : antivirus à jour sur tous les postes, pare-feu au périmètre, sauvegardes régulières et déconnectées (3-2-1), authentification multi-facteurs (MFA) sur les comptes sensibles, mises à jour systèmes et applications, sensibilisation des collaborateurs au phishing. Pour les ETI et grands comptes, on attend également un SOC ou un EDR/XDR, une cartographie des données, un plan de continuité, voire une certification ISO 27001 ou HDS selon le secteur.
La cotisation dépend du chiffre d'affaires, du secteur, du volume de données traitées et de la maturité cyber. Pour une TPE (CA < 1 M€), comptez quelques centaines à plus de mille euros par an pour des plafonds adaptés. Pour une PME (1 à 50 M€), de quelques milliers à plus de dix mille euros. Pour une ETI, plusieurs dizaines de milliers d'euros. Une maturité cyber élevée (SOC, MFA généralisé, sauvegardes immuables, sensibilisation) peut faire baisser la cotisation de 20 à 40 %. Plafonds élevés selon formule.
Exclusions courantes : guerre cybernétique étatique (cyber-warfare), faute intentionnelle de l'assuré, défauts de sécurité connus et non corrigés, certaines amendes administratives non assurables (CNIL : la part assurable de la sanction varie selon les contrats et la jurisprudence), atteintes à la propriété intellectuelle hors périmètre, événements antérieurs à la souscription. Les infrastructures non sécurisées (absence d'antivirus, sauvegardes non vérifiées, absence de MFA) peuvent entraîner une réduction d'indemnité ou une déchéance de garantie.
Questionnaire cyber détaillé (mesures de sécurité, secteur, CA, volume de données, antécédents), extrait Kbis, cartographie de votre SI ou architecture simplifiée, documentation de votre RGPD (registre des traitements, DPO si requis), politique de sauvegarde, plan de continuité d'activité si vous en avez un, certifications éventuelles (ISO 27001, HDS, PCI-DSS, SOC 2), antécédents de sinistralité cyber des 5 dernières années.
L'assurance cyber-risques est une couverture financière contre les conséquences d'une attaque informatique ou d'une fuite de données personnelles. Elle prend en charge la gestion de crise, les frais d'enquête forensic, les frais de notification RGPD, la restauration des données, les pertes d'exploitation et la responsabilité civile envers les tiers (clients dont les données ont fuité). Elle est devenue indispensable pour toute entreprise qui traite des données numériques : en pratique, presque toutes les entreprises modernes.
Selon les baromètres du secteur, plus de la moitié des PME victimes d'une cyber-attaque ferment dans les 18 mois suivant l'incident. Le coût moyen d'un sinistre cyber sur une PME se chiffre en centaines de milliers d'euros tous frais confondus (forensic, notification, restauration, perte d'exploitation, sanctions). Sans assurance cyber, ces frais sont à la charge directe de l'entreprise.
La PME (10 à 250 salariés) est aujourd'hui la cible principale des attaques. Elle traite des données clients, des données salariés, de la comptabilité, des paiements. Elle dispose rarement d'un SOC dédié ou d'un RSSI à temps plein. Les vecteurs d'attaque les plus fréquents : phishing (email frauduleux qui pousse à donner ses identifiants), ransomware (chiffrement des fichiers contre rançon), fraude au président (virement frauduleux par usurpation d'identité), compromission d'un compte (vol d'identifiants par fuite ou réutilisation de mot de passe).
Le Règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, impose au responsable du traitement trois obligations majeures en cas de violation. (1) Notifier la CNIL dans les 72 heures dès qu'un risque pour les droits et libertés est suspecté (article 33). (2) Informer les personnes concernées si le risque est élevé (article 34). (3) Documenter la violation dans un registre interne. Les sanctions CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Le contrat cyber prend en charge les frais juridiques de notification, le centre d'appels pour répondre aux personnes, et la part assurable des sanctions selon les contrats.
La directive NIS2 (Network and Information Security 2) a été transposée en droit français en 2024. Elle élargit le champ d'application de NIS1 et impose des obligations à des milliers d'entités essentielles et importantes : administration publique, santé, énergie, transport, banque, infrastructure numérique, alimentation, fabrication, services postaux, fournisseurs numériques. Obligations principales : analyse de risque, plan de continuité, formation des collaborateurs, notification des incidents significatifs à l'ANSSI dans les 24 heures, responsabilité personnelle des dirigeants. La conformité NIS2 facilite la souscription cyber et fait baisser la cotisation.
Le ransomware (rançongiciel) est l'attaque la plus fréquente et la plus coûteuse. L'attaquant chiffre l'ensemble des fichiers de l'entreprise et exige une rançon en cryptomonnaie en échange de la clé de déchiffrement. De plus en plus souvent, l'attaquant exfiltre aussi les données avant de les chiffrer (double extorsion) : il menace de publier les données si la rançon n'est pas payée. Le contrat cyber couvre : la négociation avec l'attaquant via un négociateur spécialisé, le paiement éventuel de la rançon (sous conditions strictes : dépôt de plainte, déclaration ANSSI, vérification des sanctions internationales, conformité à la loi LOPMI de 2023), la restauration des données à partir des sauvegardes, la reconstruction des systèmes.
Dès qu'une attaque est détectée, l'enjeu est de contenir le sinistre dans les premières heures. Le contrat cyber inclut un numéro d'urgence 24/7 qui active une cellule de crise : chef de projet incident, experts forensic qui analysent l'attaque et préservent les preuves, juristes RGPD qui pilotent la notification CNIL, communicants qui gèrent la presse et les réseaux sociaux, négociateurs en cas de rançon. Les frais d'expertise et de gestion de crise représentent souvent 40 à 60 % du coût total d'un sinistre.
Une attaque qui paralyse les systèmes peut interrompre l'activité plusieurs jours, voire plusieurs semaines. Le contrat cyber indemnise les pertes financières liées à cette interruption : marge brute non réalisée sur la période, frais supplémentaires d'exploitation (location de matériel, prestataires externes, sous-traitance), sur-coûts informatiques temporaires. Indemnisation calculée sur la base des comptes des 12 mois précédant le sinistre. Pour les e-commerçants, où chaque heure d'arrêt se traduit en CA perdu, c'est une garantie centrale.
Si la fuite de données ou l'attaque cause un préjudice à des tiers (clients, partenaires, fournisseurs), votre responsabilité civile est engagée. Exemples : vos clients ont vu leurs données bancaires utilisées frauduleusement, votre éditeur a propagé un malware via une mise à jour, votre cabinet a divulgué un secret professionnel. Le contrat cyber inclut une RC cyber qui prend en charge les indemnités versées aux tiers et les frais de défense (avocats, experts, procédures).
Quatre critères principaux. (1) Le chiffre d'affaires et l'effectif. (2) Le secteur (santé, finance, e-commerce sont plus chers). (3) Le volume de données traitées (plus le fichier est gros, plus la sanction CNIL potentielle est élevée). (4) La maturité cyber : une entreprise avec MFA généralisé, sauvegardes immuables, EDR, sensibilisation, voire ISO 27001, paie 20 à 40 % moins cher qu'une entreprise sans aucune mesure. Pour une TPE, comptez quelques centaines à plus de mille euros par an. Pour une PME, plusieurs milliers d'euros. Pour une ETI, plusieurs dizaines de milliers d'euros. Plafonds élevés selon formule.
Le marché cyber est volatil : les capacités, les tarifs et les exigences techniques varient fortement entre porteurs et d'une année à l'autre. Notre rôle de courtier : sélectionner les porteurs adaptés à votre profil (TPE-PME, ETI, secteur sensible), monter le questionnaire cyber avec vous (souvent un point bloquant pour les non-spécialistes), négocier les conditions (plafonds, franchise, sous-limites par garantie), et vous accompagner en cas de sinistre pour activer la cellule de crise et coordonner la déclaration. La cyber est l'un des produits où le rôle de courtier apporte le plus de valeur.
Pour comprendre en détail comment nous travaillons, consultez notre FAQ générale sur le rôle d'un courtier en assurances. Vérifiez notre agrément sur le registre ORIAS sous le numéro 24 006 887, ou consultez nos mentions légales.
Demandez votre devis cyber via le formulaire ci-dessus. PME, e-commerce, cabinet libéral, ESN, ETI, association, collectivité : on configure le contrat le plus adapté à votre exposition réelle.
« PME industrielle 80 salariés, on a subi un ransomware il y a deux ans. Sans assurance cyber, on aurait probablement fermé. Atmo nous a accompagnés pour souscrire une nouvelle couverture après l'incident, et on a pu obtenir un contrat malgré l'historique grâce à un dossier solide (EDR généralisé, MFA, sauvegardes immuables). Tarif correct vu les antécédents. »
« Cabinet d'expertise comptable, fichier client important et données sensibles. Je voulais une cyber qui couvre vraiment la sanction CNIL et les frais de notification. Atmo a parfaitement compris le besoin, m'a aidée à remplir le questionnaire, et trouvé un contrat avec des plafonds adaptés à mon volume de dossiers. »
Ransomware, fuite de données, RGPD, NIS2, gestion de crise. Pour toute entreprise qui traite des données numériques.
