Cyberassurance 6 min de lecture

Ce que les assureurs cyber vérifient avant de vous couvrir

Dans cet article

MFA, sauvegardes, formation : ce que les assureurs cyber exigent des PME avant d'offrir une couverture et comment s'y préparer.

Ce que les assureurs cyber vérifient avant de vous couvrir

De plus en plus de PME se font refuser une cyberassurance ou reçoivent des primes très élevées. La raison : les assureurs ont durci leurs exigences au cours des dernières années.

Voici ce qu'ils vérifient concrètement et comment préparer votre PME avant de demander une soumission.

Pourquoi les assureurs sont devenus plus exigeants

L'augmentation des réclamations liées aux rançongiciels

Les rançongiciels ont entraîné une explosion des réclamations en cyberassurance. Les coûts de restauration, les pertes d'exploitation et les frais d'intervention d'urgence ont fait grimper les sinistres de façon significative. Les assureurs ont réagi en relevant leurs exigences d'entrée.

Le coût des sinistres pour les assureurs

Pendant plusieurs années, les primes collectées ne couvraient pas les sinistres payés. Pour rétablir l'équilibre, les assureurs ont fait deux choses : augmenter les primes et exiger un niveau minimal de sécurité avant d'accepter de couvrir une entreprise.

L'évolution des questionnaires de souscription

Les questionnaires de souscription se sont considérablement allongés et précisés. Il y a quelques années, on demandait « avez-vous un antivirus ? ». Aujourd'hui, on demande « le MFA est-il activé sur tous les accès distants ? », « vos sauvegardes sont-elles stockées hors réseau et testées ? », « avez-vous un plan de réponse aux incidents documenté ? ». Les questions sont devenues techniques et spécifiques.

Les exigences les plus fréquentes

Les exigences varient d'un assureur à l'autre, mais certaines reviennent dans la quasi-totalité des questionnaires.

MFA sur les accès critiques

L'authentification multifacteur sur les accès à distance (VPN), les comptes de courriel, les consoles d'administration et les accès au cloud est devenue une exigence quasi universelle. C'est souvent un critère éliminatoire : sans MFA, pas de couverture.

Sauvegardes hors réseau et testées

Les assureurs veulent savoir si vos sauvegardes sont stockées de façon à ce qu'un rançongiciel ne puisse pas les atteindre en même temps que vos systèmes principaux. Ils veulent aussi savoir si vous avez testé une restauration — pas juste si les sauvegardes existent sur papier.

EDR / antivirus nouvelle génération

L'antivirus traditionnel (basé uniquement sur les signatures connues) n'est plus considéré suffisant par la plupart des assureurs. Ils s'attendent à un outil de type EDR (Endpoint Detection and Response) capable de détecter des comportements suspects, pas seulement des virus connus.

Gestion des mises à jour et des correctifs

Les logiciels non à jour sont l'un des vecteurs d'attaque les plus exploités. Les assureurs demandent si vous avez un processus de mise à jour régulier, particulièrement pour les systèmes exposés à Internet et les logiciels critiques.

Formation des employés à l'hameçonnage

L'hameçonnage reste le point d'entrée le plus courant des attaques. Les assureurs demandent si vos employés reçoivent une formation régulière sur le sujet — pas seulement une fois à l'embauche, mais de façon récurrente.

Plan de réponse aux incidents documenté

Que faites-vous si un incident survient ? Qui appeler ? Quelles sont les premières étapes ? Un plan documenté montre à l'assureur que vous êtes préparé et que vous ne découvrirez pas la marche à suivre en situation de crise.

Ce qui se passe si vous ne répondez pas aux exigences

Refus de couverture

Certains assureurs refusent simplement de couvrir les entreprises qui ne répondent pas aux exigences minimales. Le MFA non activé est souvent le critère qui déclenche un refus catégorique.

Surprime ou exclusions importantes

Si l'assureur accepte de vous couvrir malgré des lacunes, il peut appliquer une surprime importante ou ajouter des exclusions. Par exemple : couverture accordée mais exclusion des incidents liés aux rançongiciels, ou exclusion des pertes liées à un accès non protégé par le MFA. Dans ce cas, vous payez pour une police qui ne couvre pas les scénarios les plus probables.

Refus de réclamation après incident

Si un incident survient et que l'assureur découvre que les mesures déclarées dans le questionnaire de souscription ne sont pas réellement en place, il peut refuser la réclamation. Déclarer que le MFA est activé alors qu'il ne l'est pas, c'est un faux déclaratif qui peut invalider votre police.

Comment un audit ou un diagnostic vous prépare

L'audit de cybersécurité identifie exactement vos écarts par rapport aux exigences typiques des assureurs. Il vous dit clairement : le MFA est activé ici mais pas là, vos sauvegardes existent mais ne sont pas testées, votre plan d'incident n'est pas documenté.

Le diagnostic de vulnérabilité fournit une preuve technique de votre posture : un rapport daté qui montre l'état de vos systèmes, les failles identifiées et les corrections appliquées.

Les deux deviennent des outils de négociation avec votre assureur. Un rapport d'audit récent qui montre une démarche structurée peut jouer en votre faveur pour obtenir de meilleures conditions ou une prime plus raisonnable.

Erreurs fréquentes

Demander une soumission sans se préparer. Remplir le questionnaire de souscription sans vérifier au préalable si les mesures sont réellement en place mène à deux scénarios : soit vous déclarez honnêtement vos lacunes et la prime est très élevée (ou le refus est immédiat), soit vous surévaluez votre posture et vous risquez un refus de réclamation en cas d'incident.

Déclarer des mesures qui ne sont pas réellement en place. L'assureur ne vérifie pas toujours au moment de la souscription. Mais en cas de sinistre, l'enquête peut révéler que le MFA déclaré n'était activé que sur un seul compte, ou que les sauvegardes « testées » ne l'ont jamais été. Le risque : un refus de couverture au moment où vous en avez le plus besoin.

Ignorer les exclusions dans la police. Lisez les exclusions avant de signer. Une police qui exclut les rançongiciels ou les accès non protégés par le MFA vous laisse à découvert sur les scénarios les plus fréquents.

Ce qu'il faut faire maintenant

Vérifiez si votre MFA est actif partout. Pas seulement sur les postes — sur le courriel, le VPN, les accès cloud, les consoles d'administration. Si ce n'est pas le cas, c'est la première action.

Testez une restauration de sauvegarde. Pas demain, pas le mois prochain. Demandez à votre fournisseur TI de restaurer un fichier ou un système à partir de la dernière sauvegarde. Si ça ne fonctionne pas, vous le saurez avant l'assureur — et surtout avant un incident.

Relisez votre questionnaire d'assurance. Si vous avez déjà une police, relisez le questionnaire que vous avez rempli à la souscription. Vérifiez que chaque déclaration correspond à la réalité actuelle.

Questions fréquentes

Est-ce qu'une cyberassurance est obligatoire ? Non, ce n'est pas une obligation légale. Mais de plus en plus de clients, de partenaires et de contrats l'exigent comme condition de faire affaire.

Combien coûte une cyberassurance pour PME ? Le coût varie selon la taille de l'entreprise, le secteur, le chiffre d'affaires, le niveau de couverture et votre posture de sécurité. La meilleure façon d'obtenir un prix juste est de préparer votre posture avant de demander des soumissions.

Est-ce que l'audit aide à réduire la prime ? Un audit récent qui démontre une démarche structurée peut jouer en votre faveur lors de la négociation. Les assureurs évaluent le risque — si votre risque documenté est plus bas, la prime peut l'être aussi.

Thématiques

cyberassuranceassureursexigencesPMEMFAsauvegardes

Vous voulez savoir où vous en êtes ?

20 minutes, sans engagement. On évalue votre situation ensemble.

Réserver un appel
Retour au blog