Assurance cyber : ce que les assureurs exigent maintenant (et que peu d'entreprises ont)

Il y a cinq ans, souscrire une assurance cyber ressemblait à n’importe quelle autre assurance : vous remplissiez un formulaire, vous payiez une prime, vous étiez couvert. Ce temps est révolu.

Après plusieurs années de sinistres massifs liés aux ransomwares, aux violations de données et aux fraudes au virement, les assureurs ont durci leurs conditions. Ils demandent désormais des preuves concrètes de votre niveau de sécurité avant d’accorder une couverture — et les entreprises qui ne peuvent pas les fournir se voient refuser la police, ou se retrouvent avec des primes multipliées par deux ou trois.

Pourquoi le marché a changé

Les chiffres parlent d’eux-mêmes. Les pertes liées à la cybercriminalité ont explosé ces dernières années, et les assureurs ont payé des milliards en indemnisations. La réaction était prévisible : durcissement des critères d’éligibilité, introduction de franchises élevées, et exclusions ciblées sur les incidents liés à des mesures de sécurité insuffisantes.

Aujourd’hui, “nous avons un antivirus” ne suffit plus. Les assureurs veulent du détail.

Ce que le questionnaire d’assurance demande vraiment

Les formulaires de souscription cyber sont devenus des audits de sécurité à part entière. Voici les points les plus fréquemment vérifiés :

Authentification multi-facteurs (MFA). Les assureurs vérifient si le MFA est activé sur la messagerie, les accès VPN, les outils d’administration et les applications cloud critiques. Un MFA absent sur la messagerie peut suffire à exclure certains types d’incidents de la couverture.

Sauvegardes testées et isolées. Avoir des sauvegardes ne suffit plus — les assureurs veulent savoir si elles sont testées régulièrement, si elles sont isolées du réseau principal (pour résister à un ransomware), et quelle est la fréquence des restaurations de test. Notre service de sauvegarde managée répond exactement à ces critères.

Gestion des accès et des identités. Compte administrateur séparé du compte de travail quotidien, révocation rapide des accès lors des départs, revue régulière des droits : ces pratiques sont désormais des critères d’éligibilité dans de nombreuses polices.

Mises à jour et patch management. Les systèmes non patchés sont un risque explicitement exclu ou sur-primé. Les assureurs demandent le délai moyen entre la publication d’un correctif critique et son application sur votre parc.

Formation des collaborateurs. Simulations de phishing, sensibilisation aux risques, procédures de signalement des incidents suspects : la dimension humaine est désormais intégrée dans les critères de souscription.

L’assurance n’est pas un substitut à la sécurité

C’est le point que beaucoup d’entreprises ratent : l’assurance cyber couvre les conséquences d’un incident, elle ne le prévient pas. Et si l’incident résulte d’une négligence documentée — un système non patché, un accès non révoqué, une absence de MFA — la couverture peut être refusée.

Les polices modernes contiennent des clauses d’exclusion de plus en plus précises. “Défaut de mise à jour connue”, “absence de contrôles de sécurité de base”, “négligence dans la gestion des accès” : ces formulations peuvent rendre votre police inutile au moment où vous en avez le plus besoin.

Comment se préparer

Avant de renouveler ou de souscrire une assurance cyber, faites l’inventaire honnête de votre posture de sécurité :

• Le MFA est-il actif sur tous les accès distants et la messagerie ?
• Vos sauvegardes sont-elles testées ? Quand date la dernière restauration de test ?
• Vos postes et serveurs sont-ils à jour sur les correctifs critiques ?
• Avez-vous une procédure formalisée pour les départs de collaborateurs ?
• Vos collaborateurs ont-ils reçu une formation à la sécurité dans les 12 derniers mois ?

Si vous répondez “non” ou “je ne sais pas” à plusieurs de ces questions, il est probable que votre prochaine souscription se heurtera à des difficultés — ou que votre couverture actuelle comporte des lacunes que vous ignoriez.

Un audit de sécurité permet de répondre à ces questions avec précision, et de mettre en ordre votre posture avant de vous asseoir face à votre assureur. C’est ce que nous proposons dans le cadre de notre audit gratuit initial. Contactez-nous pour planifier cet audit avant votre prochain renouvellement.