AccueilÀ proposOffres & Services BlogRessourcesFAQ
Planifier un appel gratuit
Accueil Blog Assurance cyber : ce que votre courtier ne vous dit pas
Conformité RGPD / NIS2 6 min de lecture

Assurance cyber : ce que votre courtier ne vous dit pas toujours

Publié le 3 décembre 2024 · Par Shield Up Consulting

Le marché de l'assurance cyber en France connaît une croissance fulgurante. Selon France Assureurs, les primes collectées ont dépassé les 300 millions d'euros en 2023, en hausse de 40 % par rapport à l'année précédente. Face à la multiplication des cyberattaques visant les PME, de plus en plus de dirigeants se tournent vers leur courtier pour souscrire une police d'assurance cyber. Mais entre les promesses commerciales et la réalité des contrats, l'écart peut être considérable.

Cet article décrypte les zones d'ombre de l'assurance cyber, les prérequis que les assureurs exigent réellement, et les stratégies pour négocier les meilleures conditions. Parce qu'une assurance mal calibrée peut donner un faux sentiment de sécurité bien plus dangereux que l'absence de couverture.

Le marché de l'assurance cyber en France : état des lieux

L'assurance cyber est un produit relativement récent en France. Il y a encore cinq ans, seule une poignée d'assureurs proposait des polices dédiées. Aujourd'hui, la quasi-totalité des grands groupes (AXA, Allianz, Generali, Hiscox, Chubb) et de nombreux acteurs spécialisés (Stoïk, Dattak) offrent des couvertures adaptées aux PME.

Cette explosion de l'offre s'explique par deux facteurs convergents. D'une part, la sinistralité cyber a explosé : les attaques par ransomware ont été multipliées par quatre entre 2020 et 2023 selon l'ANSSI. D'autre part, la loi LOPMI de janvier 2023 a conditionné l'indemnisation des rançongiciels au dépôt d'une plainte dans les 72 heures, créant un cadre juridique plus clair pour les assureurs.

Malgré cette dynamique, le taux de pénétration reste faible chez les PME. Selon une étude de l'AMRAE, moins de 5 % des entreprises de moins de 250 salariés disposent d'une assurance cyber dédiée. Beaucoup comptent sur leur responsabilité civile professionnelle, qui ne couvre en réalité que très marginalement les risques numériques.

Ce que couvre réellement une police cyber (et ce qu'elle ne couvre pas)

Une police d'assurance cyber standard couvre généralement trois volets principaux :

  • Les dommages propres : frais de remédiation technique, coûts de restauration des systèmes, pertes d'exploitation liées à l'interruption d'activité, frais de notification CNIL et communication de crise.
  • La responsabilité civile cyber : réclamations de tiers (clients, partenaires) suite à une fuite de données ou à une interruption de service causée par l'incident.
  • L'assistance et la gestion de crise : hotline 24/7, mobilisation d'experts en forensique, avocats spécialisés, négociateurs (dans le cas de ransomware).

Jusqu'ici, tout semble rassurant. Mais c'est dans les exclusions et les conditions que le diable se cache.

Les exclusions classiques à surveiller

  • Acte de guerre et cyberguerre : depuis le conflit en Ukraine, de nombreux assureurs ont élargi cette exclusion. Le problème est que l'attribution d'une cyberattaque à un État est souvent impossible à prouver, créant une zone grise exploitée par les assureurs pour refuser l'indemnisation. Le Lloyd's de Londres a publié en 2023 des clauses types excluant les cyberattaques soutenues par un État, reprises par de nombreux acteurs du marché français.
  • Non-respect des mesures de sécurité minimales : si votre contrat stipule que vous devez disposer de MFA et que vous ne l'avez pas activé au moment de l'incident, l'assureur peut refuser toute indemnisation. Ce n'est pas théorique : plusieurs dossiers contentieux sont en cours devant les tribunaux de commerce français.
  • Systèmes obsolètes et non patchés : l'exploitation d'une vulnérabilité connue dont le correctif était disponible depuis plus de 30 jours est souvent exclue. Cela signifie concrètement que si vous ne mettez pas à jour vos systèmes régulièrement, votre assurance peut ne servir à rien.
  • Erreurs humaines intentionnelles ou fraude interne : la malveillance d'un collaborateur est rarement couverte, sauf option spécifique.
  • Amendes réglementaires : les sanctions CNIL ne sont généralement pas assurables en droit français, contrairement à certains marchés anglo-saxons.
À retenir : Lisez chaque page de votre contrat d'assurance cyber, en particulier les sections "Exclusions" et "Conditions de garantie". Un contrat dont les exclusions sont trop larges peut vous laisser sans couverture au moment critique.

Les prérequis pour être assurable : le questionnaire qui fait mal

Avant de vous proposer un tarif, l'assureur vous soumettra un questionnaire de sécurité détaillé. Celui-ci est devenu un véritable audit simplifié. Répondre de manière inexacte constitue une fausse déclaration qui peut entraîner la nullité du contrat. Les points systématiquement évalués sont :

  1. Authentification multifacteur (MFA) : obligatoire sur la messagerie, le VPN, les accès administrateur et les outils cloud. C'est le critère numéro un. Sans MFA, de nombreux assureurs refuseront simplement de vous couvrir.
  2. Politique de sauvegarde : les assureurs exigent des sauvegardes régulières, testées, avec au moins une copie hors ligne ou immuable. La règle 3-2-1 (3 copies, 2 supports différents, 1 hors site) est devenue un standard attendu.
  3. Solution de protection des postes (EDR/XDR) : un simple antivirus ne suffit plus. Les assureurs demandent une solution de détection et réponse sur les endpoints, idéalement managée par un SOC ou un MSSP.
  4. Gestion des correctifs : politique de patching documentée, délai d'application des correctifs critiques inférieur à 30 jours, inventaire des systèmes à jour.
  5. Segmentation réseau : les réseaux à plat, où tout communique avec tout, sont un signal d'alerte pour les assureurs. Une segmentation minimale entre le réseau bureautique, les serveurs critiques et le Wi-Fi invité est attendue.
  6. Plan de réponse à incident : document formalisé décrivant les procédures en cas de cyberattaque, avec des rôles et responsabilités clairement définis.
  7. Sensibilisation des collaborateurs : preuve de formations régulières et de campagnes de simulation de phishing.

Si vous ne cochez pas la majorité de ces cases, vous vous retrouverez face à l'un de ces trois scénarios : refus de couverture, prime prohibitive (parfois 5 à 10 fois le tarif standard), ou franchise tellement élevée qu'elle vide la police de son intérêt.

Comment préparer votre dossier d'assurance

La préparation du dossier d'assurance cyber est un exercice stratégique qui mérite d'être traité avec le même sérieux qu'un dossier bancaire. Voici une méthodologie en cinq étapes :

Étape 1 : Réaliser un état des lieux honnête. Avant de remplir le questionnaire, faites un audit interne (ou faites-vous accompagner) pour identifier précisément votre niveau de maturité. Mieux vaut corriger les failles avant de postuler que de mentir sur le questionnaire.

Étape 2 : Combler les lacunes critiques. Concentrez-vous sur les prérequis non négociables : MFA, sauvegardes, EDR. Ces trois mesures peuvent souvent être déployées en quelques semaines et transforment radicalement votre profil de risque aux yeux de l'assureur.

Étape 3 : Documenter vos mesures. Les assureurs apprécient les preuves concrètes. Préparez un dossier comprenant : captures d'écran des configurations MFA, rapport de test de restauration de sauvegarde, tableau de bord EDR, politique de sécurité formalisée, registre des formations dispensées aux collaborateurs.

Étape 4 : Quantifier votre exposition. Estimez vos pertes potentielles en cas d'incident : coût journalier d'arrêt d'activité, volume de données personnelles traitées, nombre de clients impactés, engagements contractuels avec vos donneurs d'ordre. Cela vous permettra de calibrer les garanties nécessaires.

Étape 5 : Solliciter plusieurs courtiers. Les écarts de tarification entre assureurs peuvent aller du simple au triple pour des niveaux de couverture comparables. Faites jouer la concurrence et comparez non seulement les primes, mais aussi les franchises, les plafonds de garantie, les délais de carence et la qualité des services d'assistance.

À retenir : Le meilleur moment pour souscrire une assurance cyber est AVANT d'en avoir besoin. Préparez votre dossier comme un dossier de financement : avec rigueur, transparence et documentation.

Négocier son contrat : les leviers à activer

La négociation d'un contrat d'assurance cyber n'est pas un exercice passif. Plusieurs leviers permettent d'obtenir de meilleures conditions :

  • La franchise : accepter une franchise plus élevée (par exemple 10 000 euros au lieu de 5 000) permet de réduire significativement la prime. Pour une PME solide financièrement, absorber les petits incidents en interne et réserver l'assurance aux événements majeurs est souvent plus pertinent.
  • La sous-limite de garantie : attention aux sous-limites par poste de garantie. Un contrat affichant 1 million d'euros de couverture globale peut ne prévoir que 50 000 euros pour les pertes d'exploitation, ce qui est dérisoire. Négociez des sous-limites cohérentes avec votre exposition réelle.
  • Le délai de carence : c'est la période entre la survenance de l'incident et le début de l'indemnisation des pertes d'exploitation. Un délai de carence de 12 heures au lieu de 24 heures peut faire une différence considérable pour une entreprise fonctionnant en continu.
  • La rétroactivité : certains contrats incluent une clause de rétroactivité couvrant les incidents dont la cause est antérieure à la souscription mais découverte pendant la période de garantie. C'est un atout majeur, car de nombreuses compromissions restent dormantes pendant des mois.
  • Les services d'assistance : vérifiez la qualité du panel d'experts mis à disposition : forensique, juridique, communication de crise. Un bon service d'assistance peut valoir autant que l'indemnisation financière elle-même.

Le processus de déclaration de sinistre : les pièges à éviter

Le moment de vérité d'une assurance cyber arrive lors de la déclaration de sinistre. Voici les erreurs qui peuvent compromettre votre indemnisation :

Ne pas respecter les délais. La plupart des contrats imposent une déclaration dans les 48 à 72 heures suivant la découverte de l'incident. La loi LOPMI ajoute une obligation de dépôt de plainte dans les 72 heures pour les ransomwares. Manquer ces délais peut entraîner une déchéance de garantie.

Agir sans prévenir l'assureur. Vous venez de découvrir une compromission et votre premier réflexe est d'appeler votre prestataire IT pour tout remettre en ordre. Erreur. En effaçant les traces de l'attaque, vous détruisez les preuves nécessaires à l'investigation forensique exigée par l'assureur. Appelez d'abord la hotline d'assistance de votre assureur.

Payer la rançon sans accord de l'assureur. Si vous décidez de payer (ce qui n'est jamais recommandé), faites-le impérativement après accord écrit de votre assureur. Un paiement non autorisé peut être exclu de la couverture.

Ne pas documenter les pertes. Tenez un journal précis des impacts : heures d'arrêt, commandes perdues, heures supplémentaires, frais engagés. Sans documentation, le calcul de l'indemnisation sera long, conflictuel et rarement à votre avantage.

Assurance cyber et conformité NIS2 : une convergence inévitable

La directive NIS2, transposée en droit français courant 2024-2025, impose des obligations de sécurité renforcées à un périmètre élargi d'entreprises, y compris de nombreuses PME et ETI travaillant dans des secteurs critiques ou comme sous-traitants de ces secteurs.

Les exigences NIS2 en matière de gestion des risques, de notification d'incidents et de gouvernance de la sécurité convergent fortement avec les prérequis des assureurs. En pratique, une entreprise conforme à NIS2 cochera automatiquement la plupart des cases du questionnaire d'assurance et obtiendra de meilleures conditions tarifaires.

À l'inverse, une entreprise non conforme à NIS2 s'expose à un double risque : sanctions réglementaires et refus d'assurance. Les assureurs intègrent progressivement la conformité NIS2 dans leurs critères d'évaluation, et certains en font déjà une condition explicite de couverture.

Faut-il souscrire une assurance cyber ? Notre recommandation

L'assurance cyber n'est ni une solution miracle ni une dépense inutile. C'est un outil de transfert de risque qui prend tout son sens lorsqu'il est combiné à une stratégie de prévention solide. Souscrire une assurance sans avoir mis en place les mesures de sécurité de base, c'est comme assurer une maison dont la porte d'entrée reste ouverte : l'assureur trouvera toujours une raison de ne pas payer.

Notre recommandation pour les PME est claire :

  1. Investissez d'abord dans la prévention. MFA, sauvegardes, EDR, sensibilisation. Ces mesures coûtent moins cher qu'une prime d'assurance et réduisent réellement votre risque.
  2. Souscrivez ensuite une assurance pour couvrir le risque résiduel. Même avec les meilleures protections, le risque zéro n'existe pas. L'assurance est votre filet de sécurité.
  3. Réévaluez annuellement. Votre exposition évolue, le marché évolue, les menaces évoluent. Revoyez votre couverture chaque année avec votre courtier.

En résumé : ne laissez pas votre courtier vous vendre un sentiment de sécurité. Exigez de comprendre chaque clause, chaque exclusion, chaque condition. Et surtout, ne considérez jamais l'assurance comme un substitut à la cybersécurité. C'est un complément, jamais un remplacement.

Shield Up Consulting

Consultant indépendant en cybersécurité, certifié ISO 27001 & ISO 27005. J'accompagne les PME et ETI françaises dans la structuration de leur sécurité informatique.

Cet article vous parle ?

Échangeons sur votre situation. 30 minutes suffisent pour faire le point.

Planifier un appel gratuit

Articles similaires

Gouvernance & Risques

Cyberattaque : combien ça coûte vraiment à une PME française ?

7 min de lecture

 Conformité RGPD / NIS2

NIS2 : le guide complet pour les dirigeants

8 min de lecture