Encore sous-équipées, les PME et TPE françaises hésitent à franchir le pas de l’assurance cyber. Pourtant, les offres ont évolué, les prérequis se sont allégés, et les outils de prévention inclus se multiplient. Pour Arnaud Gressel, fondateur de Resco Courtage, il est temps de dépasser les fantasmes et de démocratiser un levier stratégique de gestion du risque.
Depuis 2018, Arnaud Gressel défend une approche spécialisée du courtage en cyberassurance. Avec Resco Courtage, désormais filiale du groupe Alptis, il s’adresse prioritairement aux TPE, PME, associations et collectivités locales. Alors que les obligations réglementaires issues de DORA et NIS2 se précisent, il alerte sur les blocages persistants : manque de pédagogie, méconnaissance des offres, crainte de la complexité. Il plaide pour une communication renforcée sur la valeur métier d’un contrat cyber – bien au-delà de l’indemnisation.
Pour nos lecteurs désireux d’approfondir le sujet ou de confronter leurs propres interrogations, ils pourront rencontrer l’équipe de Resco Courtage au salon APS 2025, dédié cette année à la cybersécurité et à la prévention des risques numériques. Le cabinet animera un atelier intitulé
« L’assurance Cyber : prévenir plutôt que subir. Et si on en parlait ? ». Cette session proposera un décryptage des mécanismes de couverture, des obligations contractuelles, mais aussi des leviers de prévention désormais intégrés aux offres d’assurance. Une opportunité pour initier une réflexion opérationnelle sur la résilience numérique, en lien avec les nouvelles obligations réglementaires et la montée du risque cyber. Entretien avec Arnaud Gressel.
IT Social : Le taux de souscription à l’assurance cyber reste très faible. Quelles en sont les raisons principales ?
Arnaud Gressel : Le marché reste embryonnaire : moins de 10 % des PME et environ 25 % des ETI sont aujourd’hui couvertes. Pour les TPE, on parle de 2 à 3 %. Ce faible taux s’explique par une méconnaissance persistante. Beaucoup de dirigeants pensent encore que c’est complexe, cher ou inutile. D’autres ont entrepris des démarches sans aboutir, faute d’intermédiaire compétent. Il y a aussi un déficit d’information sur les composantes de ces contrats. Peu savent que l’assistance et la réponse à incident sont incluses dans la couverture. Or, c’est précisément là que réside leur valeur stratégique.
Comment Resco Courtage se positionne-t-il face à cette situation ?
Notre rôle va bien au-delà du placement de contrats. Nous faisons du conseil en assurance, non du consulting : pas d’honoraires, uniquement des commissions sur contrat. Nous intervenons auprès des entreprises, mais aussi des associations, des ONG et des collectivités. La pédagogie est au cœur de notre démarche. J’interviens régulièrement dans des colloques ou des masters spécialisés pour expliquer ce qu’est l’assurance cyber. C’est un triptyque : un outil de prévention, l’assistance à la gestion de crise, et la couverture assurantielle.
Quels sont aujourd’hui les prérequis pour être assurable ?
Ils ont été fortement allégés, surtout pour les structures réalisant moins de 50 millions d’euros de chiffre d’affaires. En général, une entreprise est assurable si elle dispose de sauvegardes déconnectées, d’un antivirus à jour, et d’une bonne gestion de l’obsolescence. Pour certaines offres, un scan de vulnérabilité est également proposé. Le MFA, les VPN ou l’EDR deviennent nécessaires au-delà d’un certain seuil ou selon les exigences spécifiques d’un assureur. Mais globalement, nous constatons une réelle ouverture du marché.
Que se passe-t-il lorsqu’une entreprise ne satisfait pas à ces exigences ?
Nous l’accompagnons dans sa trajectoire. L’objectif est de sécuriser l’organisation pour qu’elle devienne assurable à moyen terme. Le déclaratif reste la norme, mais les contrôles interviennent au moment du sinistre. Si les prérequis ne sont pas respectés, l’entreprise risque une déchéance de garantie, et le courtier engage sa responsabilité. C’est pourquoi nous sommes très rigoureux avant toute souscription. Nous suivons parfois des clients plusieurs mois, le temps qu’ils atteignent le niveau requis.
En cas d’attaque, quelles sont les conditions d’indemnisation ?
La première étape est d’activer immédiatement le contrat, sans attendre. Cela permet la mobilisation des experts en gestion de crise : forensic, juridique, communication. Le dépôt de plainte dans les 72 heures est une obligation légale, imposée par la loi Lopmi. Ensuite, les assureurs prennent en charge les coûts : frais supplémentaires, perte d’exploitation, responsabilité civile pour atteinte à des tiers ou compromission de données. C’est un dispositif complet qui, dans certains cas, inclut aussi la fraude informatique ou téléphonique en option.
Quel est l’impact des règlements DORA et NIS2 sur ce marché ?
Ils vont jouer un rôle structurant. Nous constatons déjà un effet d’entraînement via les obligations contractuelles : de plus en plus d’entreprises cherchent une couverture parce que leur donneur d’ordre l’exige. En revanche, une obligation légale de s’assurer serait contre-productive. Elle forcerait certaines structures à s’assurer sans respecter les prérequis, ce qui créerait de fausses attentes. Aujourd’hui, les entreprises qui souscrivent sont déjà dans une trajectoire vertueuse. Et c’est dans ce contexte que le rôle du courtier spécialisé prend toute sa valeur.
Le prix reste-t-il un frein ?
Non. Une TPE peut s’assurer pour moins de 1 000 € par mois, une PME pour 7 000 € avec des couvertures allant jusqu’à 1,8 million d’euros. Une ETI assurée à hauteur de 4,5 millions paiera environ 47 000 €. Mais, dans ces tarifs, il faut aussi intégrer les services inclus : scans hebdomadaires, modules de hameçonnage, sensibilisation... Acheter ces outils séparément coûterait souvent plus cher. Le frein n’est plus le prix, c’est le manque d’information. Il faut encore beaucoup communiquer, y compris auprès des DSI et des RSSI qui ignorent ce que permet concrètement un contrat cyber.
Comment évolue l’offre côté assureurs ?
On assiste à une montée en gamme et une meilleure segmentation. Certains proposent désormais des EDR managés, des services intégrés ou des outils d’analyse de risque en continu. Cette intégration reste modulaire, mais elle témoigne d’une convergence entre assurance, cybersécurité et conseil. Chez Resco, nous envisageons des partenariats avec des prestataires techniques, notamment dans les territoires. L’objectif est de démocratiser l’accès aux services de prévention et de valoriser les efforts de sécurisation déjà engagés.
Quelle vision portez-vous sur l’évolution du marché dans les mois à venir ?
Je crois à une accélération. L’étude Lucy (réalisée par l’Amrae, [NDLR]) parle d’une croissance de 32 à 33 % par an sur les segments PME et ETI, et nous observons cette dynamique sur le terrain. Le profil des entreprises qui nous contactent se diversifie. Certaines viennent dès leur création pour inclure l’assurance cyber dans leur couverture de base. C’est un signe de maturité. Mais il faut aller plus loin, notamment en intégrant l’assurance dans les plans de continuité ou les exercices de gestion de crise. Et puis il faut rappeler que ce risque relève aujourd’hui de la responsabilité du dirigeant. Il ne peut plus l’ignorer.
Quelles sont les prochaines étapes pour Resco Courtage ?
Resco est né en 2018, seul cabinet entièrement dédié au cyber à l’époque. Depuis 2023, nous sommes filiale d’Alptis. Cela nous donne les moyens d’accélérer. Nous voulons rester des spécialistes, proches de l’écosystème, capables d’accompagner les TPE et PME dans la durée, y compris lors du renouvellement des contrats ou en cas de crise. Aujourd’hui, nous recevons de plus en plus de demandes entrantes par le web, signe que le marché cherche du conseil structuré. C’est à cette exigence que nous voulons répondre.
