Cyber-assurance PME 2026 : cadrage comptable, fiscal et risque

La cyber-assurance n'est pas un substitut à la cybersécurité. Pour une PME, c'est un contrat de transfert partiel du risque qui doit s'articuler avec le contrôle interne, les sauvegardes, le plan de continuité, les obligations contractuelles vis-à-vis des clients et la capacité à produire des preuves comptables des pertes. En 2026, trois textes structurent le sujet : la directive (UE) 2022/2555 dite NIS2, dont la loi française de transposition (loi Résilience) est attendue à mi-2026 ; l'article 5 de la loi LOPMI n° 2023-22, qui conditionne l'indemnisation à un dépôt de plainte dans les 72 heures ; et l'article 33 du RGPD, qui impose une notification CNIL dans le même délai en cas de violation de données personnelles. Le cabinet observe que moins de 5 % des PME françaises sont couvertes contre un risque cyber alors que 43 % des victimes d'attaques relevées par l'ANSSI en 2024 étaient des PME. La cyber-assurance n'est donc plus un sujet d'expert sécurité ; c'est un sujet de direction générale, de DAF et d'expert-comptable.

La prime d'assurance cyber est en principe déductible du résultat fiscal en tant que charge d'exploitation engagée dans l'intérêt de l'entreprise, conformément aux principes généraux de l'article 39 du CGI et au BOFiP BOI-BIC-CHG-40-20-20. Elle s'enregistre au compte 6161 « Multirisques » avec, lorsque la couverture chevauche deux exercices, une régularisation en charge constatée d'avance via le compte 486. L'indemnité reçue après sinistre s'inscrit au compte 791 ou 7711 selon sa nature, ce qui restaure le résultat à due concurrence. Mais le vrai sujet n'est pas comptable : c'est la qualité du dossier de souscription et de sinistre. Une indemnisation se gagne sur le questionnaire assureur, les exclusions négociées, la franchise, le plafond global et par garantie, le délai de carence, les preuves de sécurité réellement déployées, la chronologie de l'incident et la capacité à chiffrer les pertes d'exploitation. Sans méthode, l'assureur réduit l'indemnité, parfois la refuse, parfois invoque la fausse déclaration. Pour une PME 2026, la fourchette de prime observée se situe entre 800 € et 8 000 € par an selon le chiffre d'affaires, le secteur et le score cybersécurité.

• Contrat : périmètre, franchise globale et par garantie, plafond annuel et par sinistre, exclusions (acte de guerre numérique, défaut de sauvegarde, rançon), délai de carence (souvent 8 à 72 heures).
• Comptabilité : prime au compte 6161, régularisation par charge constatée d'avance (486), indemnités au 791 ou 7711, dépréciation des immobilisations détruites (6816), provisions pour perte certaine si applicables.
• Fiscalité : rattachement de la charge et du produit à l'exercice de naissance du droit, TVA sur prestations IT de remédiation, traitement de la rançon (souvent exclue ou plafonnée).
• Preuves de sécurité réellement déployées : MFA généralisé, sauvegardes immuables hors ligne testées, journalisation centralisée, EDR/XDR, gestion des correctifs, formation phishing annuelle.
• Gouvernance : qui déclare à l'assureur, qui dépose plainte sous 72 heures (LOPMI), qui notifie la CNIL sous 72 heures (article 33 RGPD), qui pilote la communication clients et collaborateurs.
• Continuité : plan de continuité d'activité (PCA), plan de reprise (PRA), tests de restauration documentés, contrats de prestataires d'intervention pré-négociés.

Exemple chiffré récent. Une PME industrielle francilienne (38 salariés, 7,2 M€ de CA, hors scope NIS2 direct mais sous-traitante d'un donneur d'ordre essentiel) paie 4 800 € de prime annuelle pour une garantie de 500 000 € avec une franchise de 10 000 €. En février 2026, elle subit un rançongiciel diffusé via une pièce jointe ouverte par un commercial. Bilan : 18 000 € de prestataires IT (analyse forensique, restauration, reconstruction de l'AD), 12 000 € de marge brute perdue sur quatre jours d'arrêt de production, 3 500 € de frais juridiques et CNIL, 2 000 € de communication clients. Total : 35 500 €. La direction dépose plainte à J+2 (compatible LOPMI), notifie la CNIL à J+3 (RGPD respecté), produit un journal horodaté des actions, les devis et factures des prestataires, la preuve des sauvegardes immuables et l'export comptable des ventes perdues. L'indemnisation atteint 24 200 € (après franchise et plafond pertes d'exploitation). Sans dossier, l'expert assureur aurait pu plafonner à 8 000 €. La différence se joue dans la traçabilité, pas dans le contrat.

Récemment, un dirigeant de PME industrielle nous a sollicités pour cadrer le renouvellement de sa cyber-assurance après un quasi-incident. Notre méthode chez Hayot Expertise consiste à relier assurance, comptabilité et pilotage par trois leviers concrets. D'abord, nous renégocions systématiquement trois clauses en 2026 : l'exclusion liée au non-respect de NIS2 (clause introduite par plusieurs assureurs depuis 2024, qui peut vider la garantie d'une entité importante en cas d'écart sur le ReCyF ANSSI), le plafond ransomware (souvent sous-dimensionné à 50 000 € pour des PME qui pourraient subir 200 000 € de remise en état), et la durée d'indemnisation des pertes d'exploitation (le standard à 30 jours ne couvre pas un sinistre complexe, nous demandons 90 jours minimum pour les activités SaaS et e-commerce). Ensuite, nous formalisons le dossier comptable de sinistre dès la phase de souscription : modèle de journal d'incident, circuit de validation des dépenses d'urgence, méthode de chiffrage des pertes (marge brute perdue, coûts internes redéployés, prestataires, communication). Enfin, nous articulons cyber-assurance et obligations CNIL/LOPMI pour éviter qu'un retard de 24 heures sur la plainte ne vide la couverture. Le contrat est un actif financier ; il doit se piloter comme tel.

Le risque le plus sous-estimé en 2026 est la fausse déclaration au questionnaire de souscription. Cocher « MFA généralisé », « sauvegardes hors ligne testées trimestriellement » ou « plan de continuité opérationnel » alors que ces contrôles sont partiels ou théoriques constitue, au sens des articles L.113-8 et L.113-9 du Code des assurances, une fausse déclaration intentionnelle ou non intentionnelle. Conséquence : nullité du contrat ou réduction proportionnelle de l'indemnité. Deux autres pièges montent en puissance. D'une part, la confusion entre responsabilité civile professionnelle classique et cyber-assurance : la RC pro n'indemnise quasiment jamais les frais de remédiation, la perte d'exploitation cyber ou les amendes CNIL. D'autre part, l'oubli du dépôt de plainte LOPMI dans les 72 heures : une PME qui négocie d'abord avec l'attaquant ou qui attend de comprendre l'attaque perd le bénéfice de la garantie même si toutes les autres conditions sont réunies. Le délai court à compter de la connaissance de l'attaque, pas du chiffrage des dommages.

• Nommer un binôme dirigeant + DAF responsable du dossier cyber-assurance et de la relation courtier.
• Réaliser un diagnostic cybersécurité (autodiagnostic ANSSI MonAideCyber ou prestataire ExpertCyber) avant tout renouvellement.
• Documenter par écrit chaque contrôle déclaré dans le questionnaire (preuves d'audit, captures, attestations prestataires).
• Préparer un plan de preuve comptable type : modèle de journal, circuit dépenses d'urgence, méthode chiffrage des pertes.
• Articuler explicitement cyber-assurance, plan de continuité, RGPD, contrats clients et budget IT dans la cartographie des risques.
• Tester annuellement un scénario sinistre cyber bout en bout (alerte, plainte 72 h, notification CNIL, communication, indemnité).

• Loi Résilience (transposition NIS2) attendue mi-2026 : entités essentielles dès 250 salariés ou 50 M€ de CA, entités importantes dès 50 salariés ou 10 M€, sanctions jusqu'à 10 M€ ou 2 % du CA mondial.
• Référentiel Cyber France (ReCyF) publié par l'ANSSI le 17 mars 2026 : devient le standard d'évaluation pour les questionnaires assureurs renforcés.
• Effet cascading NIS2 : même hors scope direct, une PME sous-traitante de donneurs d'ordre essentiels doit pouvoir documenter ses mesures de sécurité, sous peine de perdre des marchés.
• LOPMI article 5 : plainte sous 72 heures obligatoire pour toute indemnisation cyber, sans exception.
• RGPD article 33 : notification CNIL sous 72 heures en cas de violation de données personnelles, distincte de la plainte LOPMI.
• Exclusions courantes 2026 : actes de cyber-guerre, défaut de sauvegarde testée, non-paiement de prime, rançon dans certains contrats, amendes RGPD non assurables par principe.

• NIS2 et cybersécurité PME en 2026
• protocole anti-fraude au virement
• les 4 piliers de la digitalisation des entreprises
• 12 contrôles anti-fraude RIB fournisseur
• facturation électronique 2026 : guide PME
• crypto-actifs en entreprise : comptabilité PCG/ANC
• transformation digitale finance PME
• DAF externalisé et gestion du risque
• expertise comptable PME à Paris 8e
• expert-comptable e-commerce
• tableaux de bord Power BI pour le pilotage du risque

• ANSSI – Directive NIS 2 et Référentiel Cyber France (ReCyF)
• CNIL – Notifier une violation de données personnelles (article 33 RGPD)
• Légifrance – Loi LOPMI n° 2023-22, article 5 (indemnisation cyber et plainte 72 h)
• BOFiP – BIC, primes d’assurance (BOI-BIC-CHG-40-20-20)
• Légifrance – Article 39 du Code général des impôts
• Direction générale du Trésor – Développement de l’assurance du risque cyber
• Cybermalveillance.gouv.fr – Guide PME et TPE
• France Num – Améliorer la cybersécurité de sa TPE PME

Note de fraîcheur: À jour au 3 mai 2026.