Evaluer l’impact financier d’un risque cyber : mission impossible ?

Ce n’est plus un secret : le risque cyber fait maintenant partie intégrante de la vie des entreprises, quelle que que soit leur taille. Conséquence logique, il doit être couvert, et donc assuré.

Si l’assurance du risque cyber, après plusieurs réflexions réglementaires, n’est pas obligatoire, comme l’est l’assurance RC (responsabilité civile, laquelle couvre parfois une partie du risque cyber, comme la perte de données lors d’un crash ou du vol de matériel informatique pour les TPE), la plupart des organisations souscrivent une assurance du risque cyber spécifique ou bien incluse dans une couverture plus globale, comme c’est parfois le cas pour les entreprises de petite taille. Selon les derniers chiffres du Baromètre du Cesin publié en janvier 2026, 67 % des entreprises interrogées ont souscrit un contrat cyber et pensent le renouveler.

77 % des entreprises n’ont pas utilisé leur assurance cyber 

Mais on constate aussi, que, même si le but de la souscription d’une assurance est d’éviter d’avoir à s’en servir – un principe sur lequel se base le fonctionnement même de l’assurance ! - 77 % des entreprises, toujours selon ce même baromètre, n’ont pas utilisé leur couverture du risque cyber. On pourrait s’en réjouir pour elles, en se disant que ces entreprises sont bien protégées et que le travail d'information et de sensibilisation, autant mené par les médias que par les pouvoirs publics ou les assurances, a porté ses fruits. 

De leur côté, les compagnies d’assurances, dans leur immense majorité, quand elles ont commencé à vraiment s’intéresser au risque cyber en temps que tel, l’ont considéré comme un risque « classique », avec une réflexion statistique basée sur les probabilités : combien d’attaques dans un certain laps de temps,  quels dommages, pour quels impact financiers.

Elles en ont déduit et calculé des montants de capacités (couverture) et des montants de souscriptions de contrats en rapport aux capacités couvertes, et avec des franchises elles aussi calculées sur ces montants. C’est ainsi que, selon l’étendue de la couverture, le montant des risque couvert peut atteindre plusieurs dizaines de millions d'euros, pour quelques dizaines de milliers d’euros de souscription de garantie, et une franchise qui peut se chiffrer de quelques milliers d’euros à… beaucoup plus.

Le marché de la cyberassurance, en train de se consolider a donc été marqué en 2024 / 2025 par une baisse des primes. La cinquième édition de l’étude Lucy (lumière sur la cyberassurance) menée par l’Amrae et parue en juin 2025 chiffre le montant moyen des capacités à 2,04 millions d’euros pour une franchise moyenne de 150 000 euros (elle était de 218 000 euros en 2022). Encore faut-il mentionner de très fortes disparités de montant de primes et de garanties entre les grandes entreprises et les plus petites structures.

Cette évaluation n’a rien que de très classique, c’est précisément le métier de l’assurance que de faire ces calculs, éprouvés par une analyse statistique sérieuse qui se base sur des données consolidées année après année. Dans le cadre du risque de cybersécurité, elle pose cependant une question fondamentale : celle de sa fiabilité.

Des estimations financières peu fiables

Car le risque cyber est en fait très difficile à évaluer et à chiffrer… et tenter une évaluation donne vite un sacré mal de tête, tant les estimations sont disparates, facilement astronomiques, et finalement peu cohérentes : la plupart des sites de prestataires de conseil en cyber citent, sans que cela soit ni confirmé, ni vérifiable, des pertes de l’ordre de 5 à 10 % du chiffre d’affaires en cas d’attaque cyber, avec un montant de plus de 400 000 euros pour une PME, et 13 millions pour une ETI ! Des montants font penser à une perte de la totalité du chiffre d’affaires…  Selon des chiffres 2022 du cabinet Astarès, une attaque cyber « coûterait » 56 000 euros pour un incident moyen de sécurité, tout en pouvant atteindre 250.000 euros, voire plus. On ne peut que rester prudent, vu la volatilité et la diversité des chiffres et des sources, sur la fiabilité de leur quantification. 

Ces chiffres montrent surtout la difficulté de donner une évaluation financière réaliste des dommages causées par une cyberattaque.

Le risque cyber : complexe à évaluer… et à chiffrer

Comme l'explique Arnaud Martin, directeur des risques opérationnels à la Caisse des Dépôts et Consignations, et administrateur du Cesin : « le risque cyber, que les gestionnaires de risque et les statisticiens appellent risque Dirac, est en fait un risque extrêmement complexe à évaluer. Il a une probabilité non nulle, mais ses conséquences, concentrées sur une attaque et comparées à sa probabilité d’occurrence, potentiellement dévastatrices, sont difficilement prévisibles, et encore plus mesurables».

En d’autres termes, c’est un risque probable, qui peut être extrêmement destructeur : il peut essaimer sur tous les départements de l’entreprise, mais avec des modalités diversifiées et des conséquences, selon la nature de l’attaque, et le secteur d’activité, peut-être  finalement moins redoutables que prévues… chiffrées… et assurées !

Par exemple, une attaque en DDoS sur une collectivité territoriale n’aura pas les mêmes répercussions si c’est en période électorale ou non. La violation suivie d’une mise en ligne de données confidentielles bancaires d’une grande banque de la place, ou la violation de données de santé d’une compagnie d’assurance aura bien plus d’impact… y compris financier. 

Face à cela, des initiatives plus concrètes, plus proches de la réalité du terrain apparaissent. Notamment celle proposée par le courtier en assurance Bessé, qui annonce se rapprocher d'Inquest pour proposer une évaluation plus pragmatique et concrète du risque cyber. 

Vers une approche « terrain » du risque cyber ?

Christophe Madec, directeur de clientèle et référent cyber chez Bessé, explique : « nous travaillons avec les grands assureurs de la place (Axa, AIG, Chubb) mais aussi les « pure players » cyber (Stoïk). Nous avons fait le constat, en temps que courtiers , que la sinistralité cyber s’était améliorée. Les entreprises sont plus sensibilisées, éduquées, équipées, et font plus de prévention, notamment parfois grâce aux outils diagnostic mis en place par les compagnies d’assurance. Conséquence : les sinistres cyber baissent, ce qui est en soi une bonne chose. Mais par ricochet, les dommages financiers couverts, et donc les primes associées, peuvent être trop importants et décalés de la réalité du terrain ».

« Nous avons donc mis en place une démarche basée aussi sur une approche de terrain du risque cyber, qui définit plusieurs scenarii d’attaques possibles, les risques associés et ses conséquences financières pour l’entreprise. Nous faisons travailler ensemble à l'évaluation du risque cyber tous les intervenants concernés : le RSSI et le risk manager, mais aussi le responsable de production dans le cadre d’une usine, le directeur financier pour chiffrer le coût de l’arrêt d’une ligne de production suite à une cyberattaque, la direction de la communication pour évaluer les impacts médiatiques en terme d’image, la direction juridique, etc. Ensuite, nous déterminons plusieurs scenarii possibles de dommages, que l’on chiffre avec l’entreprise concernée, qui décide de les assurer en conséquence, que ce soit par notre intermédiaire… ou ailleurs. C’est une vision plus réaliste et beaucoup plus fine du risque cyber, basée non pas sur la nature des attaques, mais sur ses conséquences sur les métiers», reprend Christophe Madec. 

« Cette phase préalable à la souscription d’un contrat d’assurance cyber prend quelques semaines, et fait intervenir 2 à 3 consultants . Elle est facturée environ 10 000 euros, sur la base du temps passé », précise-t-il.

Cette démarche a le mérite de nourrir une réflexion, non plus statistique, mais basée sur une étude terrain et métier du risque cyber. « C’est une approche que nous avons commencé à mener en interne », explique Arnaud Martin, « plus réaliste pour modéliser les risques cyber, les analyser et les quantifier, non pas de manière globale, mais strates par strates. Le risque cyber est identifié en interne comme faisant partie du Top 3 des risques majeurs. C’est en fait plus facile pour des organisations comme la nôtre, le secteur bancaire, ou encore le transport et l’énergie, où l’étude du risque et sa quantification font partie de l’ADN du secteur d’activité. Par contre, ce type de démarche montre aussi que le risque cyber devient un risque avéré, pérenne, ce qui nourrit donc une réflexion beaucoup plus mature sur sa prise en charge ».