Blog Regard(s) d'expert(s)

Risque cyber : un défi pour l’assurabilité et la stabilité financière

24 mars 2026

Temps de lecture 4min

©InfiniteFlow / AdobeStock

Le risque cyber a changé d’échelle. Il ne relève plus d’une succession d’incidents techniques isolés, mais d’une transformation profonde de l’architecture de nos économies numérisées. A l’aire des bouleversements de l’Intelligence Artificielle et des tensions géopolitiques accrues, le risque cyber constitue une menace de plus en plus importante pour le tissu économique et  la stabilité financière.  

Les estimations situent aujourd’hui le coût global du cybercrime autour de 1 % du PIB mondial. Certaines projections avancent qu’il pourrait atteindre 10 % du PIB dans les prochaines années. L’édition 2025 du rapport Marsh sur les dommages de cyber-assurance en Europe continentale (The Evolution of Cyber Claims in Europe, 2025) montre une hausse de 61 % des demandes d’indemnisation liées à des incidents cyber en 2024 par rapport à 2023. En France, le risque cyber occupe pour la neuvième année consécutive la première place de la cartographie prospective des risques de France Assureurs. Cette permanence ne traduit pas seulement une intensité élevée ; elle signale une mutation structurelle.  Le cyber est devenu un risque massif, dynamique et corrélé … des caractéristiques qui complexifient la mutualisation du risque et pose la question de son assurabilité.

Une menace devenue structurelle

Le rapport 2025 de l’ENISA recense 4 900 incidents significatifs entre juillet 2024 et juin 2025. Il souligne un environnement de menaces en pleine évolution, caractérisé par une exploitation rapide des vulnérabilités et une complexité croissante dans le suivi des adversaires.
Le hameçonnage constitue 60 % des vecteurs d’intrusion, confirmant le rôle central des mécanismes d’ingénierie sociale. Les attaques par déni de service (DDoS) sont les plus fréquentes, mais les intrusions (notamment par rançongiciel) concentrent les impacts les plus graves, qu’il s’agisse d’interruptions d’activité, de fuites de données ou d’exfiltration stratégique d’informations. 
La cybercriminalité s’est industrialisée. Les modèles de type ransomware-as-a-service, phishing-as-a-service ou malware-as-a-service structurent un véritable écosystème économique. Certains acteurs entretiennent des proximités avec des États. Le risque est donc à la fois financier, stratégique et géopolitique. 

©ENISA Threat Landscape report-2025

©ENISA Threat Landscape report-2025

La France apparaît particulièrement exposée : deuxième pays au monde le plus ciblé par les attaques DdoS en 2023, premier pays de l’Union européenne visé par des groupes hacktivistes en 2024. Des attaques liées à la Russie ont ciblé des entités gouvernementales, diplomatiques, les secteurs de la défense ainsi que des infrastructures numériques. 
La question dépasse largement la sphère privée : elle engage directement la souveraineté.

L’IA générative : amplificateur du risque et accélérateur de corrélation

L’intelligence artificielle modifie profondément la dynamique du risque, en permettant une automatisation et une industrialisation des attaques. Les attaques d’ingénierie sociale ont été multipliées par trois entre 2022 et 2024, puis par quatre entre 2024 et 2025. La personnalisation et la sophistication des attaques réduisent les signaux d’alerte traditionnels et rendent les fraudes de plus en plus difficiles à détecter.
Parallèlement, de nouvelles vulnérabilités propres aux modèles de données apparaissent et les systèmes d’IA deviennent eux-mêmes des cibles : injection de prompts, empoisonnement de données d’entraînement, insertion de biais invisibles ou de portes dérobées. L’usage non encadré d’outils d’IA au sein des entreprises (le phénomène de « IA fantôme»)  accroît encore la surface d’exposition. 
Le cyber n’augmente pas seulement en fréquence ; il augmente en interconnexion.   

Le cœur du problème : la corrélation et l’accumulation

Du point de vue actuariel, le cyber présente plusieurs caractéristiques atypiques. Il s’agit d’un risque récent, évoluant très rapidement, pour lequel les bases de données restent lacunaires et hétérogènes. Sa modélisation suppose une compréhension fine des comportements humains, tant du côté des usagers que des acteurs malveillants. Or ces comportements s’adaptent en permanence. 
Mais l’enjeu central est ailleurs : le cyber comporte une composante systémique. Les chaînes d’approvisionnement numériques, la dépendance à des prestataires communs, les infrastructures cloud partagées ou les mises à jour logicielles simultanées créent des « points de défaillance uniques ». Une seule vulnérabilité peut générer une accumulation de sinistres, voire une « pandémie cyber ». 
Dans ces conditions, la mutualisation assurantielle est mise à l’épreuve. L’assurance repose sur une diversification des risques ; la corrélation extrême en fragilise le fondement. 
Le secteur financier en offre une illustration particulièrement sensible : numérisation intensive, interconnexions multiples, dépendance à des prestataires TIC critiques. Une attaque majeure pourrait perturber des services essentiels (paiements, conservation de titres, infrastructures de marché) et produire des effets de contagion macro-financiers, voire une perte de confiance assimilable à un « cyber-run ». 

Un marché assurantiel volatil

En France, le marché de l’assurance cyber connaît une montée en maturité, mais demeure fragile. En 2024, le montant des sinistres indemnisés a progressé de 43 % par rapport à 2023, avec deux sinistres supérieurs à 10 millions d’euros chacun. La couverture progresse chez les entreprises de taille moyenne (+33 %), mais reste très faible chez les petites entreprises (moins de 5 %). 
Avec une diversification du risque cyber qui est difficile, la robustesse des portefeuilles d’assurance peut être mise à rude épreuve, notamment dans le cas d’accumulation de chocs corrélés. Mais le rôle de l’assurance cyber ne se cantonne pas aux compensations financières des sinistres : par la diffusion de normes de sécurité, les exigences d’hygiène numérique, l’incitation à la prévention, elle joue un rôle structurant essentiel.  Elle devient un vecteur d’élévation collective du niveau de protection.   

Résilience et souveraineté

La souveraineté numérique ne se réduit pas à la production technologique ou à la localisation des données. Elle suppose une capacité d’absorption des chocs, une maîtrise des interdépendances et une continuité des services essentiels. 
Le risque cyber révèle un déséquilibre : nos économies sont interconnectées plus vite que nos mécanismes de protection ne s’adaptent. Anticiper les nouvelles formes de menaces numériques est crucial. La question stratégique n’est donc pas seulement celle de la protection technique, mais celle de la résilience systémique. 
Rendre le numérique durablement assurable constitue l’un des tests les plus exigeants de cette souveraineté à bâtir. 

Mots Clés :