En bref : votre assurance cyber ne vous couvrira pleinement que si vous respectez certaines exigences minimales de sĂ©curitĂ©. Sauvegardes rĂ©guliĂšres et testĂ©es, double authentification sur les accĂšs sensibles et plan de rĂ©ponse aux incidents documentĂ© sont dĂ©sormais des conditions quasi systĂ©matiques. Sans ces mesures, l’assureur peut rĂ©duire, voire refuser totalement l’indemnisation en cas de cyberattaque.
Une PME suisse est victime d’un rançongiciel. Les fichiers sont chiffrĂ©s, l’activitĂ© paralysĂ©e, la direction contacte immĂ©diatement son assureur cyber, convaincue d’ĂȘtre protĂ©gĂ©e. Quelques semaines plus tard, la dĂ©sillusion est brutale : faute de sauvegardes fonctionnelles et d’authentification renforcĂ©e sur les accĂšs Ă distance, l’indemnisation est refusĂ©e ou fortement rĂ©duite.
Ce scĂ©nario n’a rien d’exceptionnel. Il illustre une rĂ©alitĂ© mĂ©connue : les conditions assurance cyber ne sont pas de simples cases Ă cocher lors de la souscription, mais des obligations contractuelles dont le non-respect peut coĂ»ter cher au moment oĂč l’entreprise a le plus besoin de son assureur.
Cet article dĂ©taille les exigences techniques et organisationnelles qui conditionnent rĂ©ellement le paiement d’un sinistre cyber, et comment vous assurer d’y rĂ©pondre avant de signer votre contrat.
Pourquoi les assureurs cyber posent des conditions strictes avant de couvrir votre entreprise
Contrairement Ă une assurance responsabilitĂ© civile ou Ă une assurance choses classique, le risque cyber dĂ©pend en grande partie du comportement de l’assurĂ©. Les assureurs cherchent donc Ă limiter l’alĂ©a moral, ce risque que l’entreprise relĂąche sa vigilance simplement parce qu’elle se sait couverte. Ils imposent un devoir de diligence, formalisĂ© dans les conditions gĂ©nĂ©rales du contrat.
En droit suisse, la loi fĂ©dĂ©rale sur le contrat d’assurance (LCA) encadre ces situations. L’article 14 LCA traite de la cause fautive de l’Ă©vĂ©nement redoutĂ© et permet Ă l’assureur de rĂ©duire, voire de supprimer sa prestation lorsque le sinistre rĂ©sulte d’une nĂ©gligence grave de l’assurĂ©. AppliquĂ© au cyber, une absence manifeste de mesures de sĂ©curitĂ© de base peut ĂȘtre assimilĂ©e Ă une faute grave, avec des consĂ©quences directes sur l’indemnisation.
ConcrĂštement, le non-respect des conditions du contrat peut entraĂźner :
- Une rĂ©duction proportionnelle de l’indemnisation
- Un refus total de prise en charge du sinistre
- Dans les cas les plus graves, une nullité rétroactive du contrat
Une cyberattaque n’affecte pas uniquement les systĂšmes internes : la fuite de donnĂ©es clients ou de partenaires peut engager la responsabilitĂ© civile professionnelle de votre entreprise. Les deux couvertures sont complĂ©mentaires et mĂ©ritent une attention conjointe.

Les sauvegardes réguliÚres, premier rempart exigé par votre police cyber
En cas d’attaque par rançongiciel, la premiĂšre question posĂ©e par l’assureur est presque toujours la mĂȘme : disposiez-vous de sauvegardes fonctionnelles et rĂ©centes ? Ce critĂšre est devenu le premier point de vĂ©rification lors de l’instruction d’un sinistre, car il dĂ©termine la capacitĂ© de l’entreprise Ă restaurer son activitĂ© sans cĂ©der au chantage des cybercriminels.
Les exigences des assureurs portent généralement sur plusieurs points :
- Une fréquence de sauvegarde adaptée à la criticité des données (quotidienne à hebdomadaire)
- Des copies hors-ligne ou dĂ©connectĂ©es du rĂ©seau principal, pour Ă©viter qu’elles ne soient elles-mĂȘmes chiffrĂ©es lors de l’attaque
- Des tests de restauration réguliers, permettant de vérifier que les sauvegardes sont réellement exploitables
Les sauvegardes rĂ©guliĂšres et testĂ©es figurent explicitement dans de nombreuses clauses de garantie. Le cas typique est celui d’une entreprise qui paie une rançon dans l’urgence, sans en informer prĂ©alablement son assureur ni justifier de sauvegardes conformes : le remboursement de cette rançon, ou mĂȘme la prise en charge des pertes d’exploitation associĂ©es, peut alors ĂȘtre refusĂ©.
Ce que vĂ©rifie l’assureur lors d’un audit ou d’un questionnaire de souscription
Ă la souscription, l’entreprise remplit un questionnaire dĂ©claratif dĂ©taillant son niveau de maturitĂ© en cybersĂ©curitĂ©. Cette dĂ©claration engage sa responsabilitĂ© : toute rĂ©ponse inexacte ou approximative concernant les sauvegardes, si elle est dĂ©couverte lors d’un sinistre, peut ĂȘtre interprĂ©tĂ©e comme une rĂ©ticence. L’article 6 LCA prĂ©voit que ce type de dĂ©claration inexacte peut entraĂźner la rĂ©siliation, voire la nullitĂ© du contrat, indĂ©pendamment mĂȘme du lien avec le sinistre survenu.
Authentification à double facteur (MFA) : une exigence désormais incontournable
La majoritĂ© des compromissions de systĂšmes d’information ne rĂ©sulte plus d’une faille technique sophistiquĂ©e, mais du vol ou de la rĂ©utilisation d’identifiants : phishing, credential stuffing, mots de passe faibles ou recyclĂ©s. Face Ă cette rĂ©alitĂ©, la double authentification s’est imposĂ©e comme un standard que les assureurs traduisent dĂ©sormais en clause contractuelle.
Le pĂ©rimĂštre exigĂ© couvre gĂ©nĂ©ralement l’ensemble des points d’entrĂ©e sensibles du systĂšme d’information :
- La messagerie électronique professionnelle
- Les accĂšs VPN et connexions Ă distance
- Les comptes Ă privilĂšges et comptes administrateurs
- Les outils et plateformes hébergés dans le cloud
Il faut distinguer ce qui relĂšve d’une simple recommandation et ce qui constitue une condition suspensive de garantie dans les conditions gĂ©nĂ©rales d’assurance. Dans de nombreux contrats rĂ©cents, l’absence de MFA sur les comptes Ă privilĂšges n’est plus tolĂ©rĂ©e et peut suffire Ă justifier un refus de prise en charge en cas d’intrusion via des identifiants compromis.

Plan de réponse aux incidents : anticiper pour rester couvert
Au-delĂ des outils techniques, les assureurs attendent une prĂ©paration organisationnelle. Un plan de rĂ©ponse aux incidents documentĂ© dĂ©montre que l’entreprise peut rĂ©agir rapidement et de maniĂšre structurĂ©e face Ă une cyberattaque, ce qui limite l’ampleur des dommages et facilite la gestion du sinistre.
Ce plan doit généralement prévoir :
- Une procĂ©dure d’alerte interne claire, dĂšs la dĂ©tection d’une anomalie
- Une liste de contacts d’urgence (Ă©quipe IT, conseil juridique, assureur)
- Un dĂ©lai de notification du sinistre Ă l’assureur, clairement identifiĂ©
Ce dernier point mĂ©rite une attention particuliĂšre : une notification tardive du sinistre peut justifier, Ă elle seule, une rĂ©duction de l’indemnitĂ© versĂ©e. La formation rĂ©guliĂšre du personnel Ă la reconnaissance des tentatives de phishing constitue un critĂšre complĂ©mentaire Ă©valuĂ© par les assureurs, dans une logique de continuitĂ© d’activitĂ© qui dĂ©passe le seul cadre de l’assurance cyber.
Comment vérifier et renforcer votre conformité avant de souscrire ou renouveler
Avant de souscrire ou de renouveler une police cyber, quelques vĂ©rifications permettent d’Ă©viter bien des dĂ©sillusions :
- Auditer l’Ă©tat rĂ©el de vos sauvegardes et leur capacitĂ© de restauration
- GĂ©nĂ©raliser la double authentification sur l’ensemble des accĂšs sensibles
- RĂ©diger, mĂȘme de façon simple, un plan de rĂ©ponse aux incidents
- Mettre à jour vos réponses au questionnaire de souscription en fonction de votre situation réelle
Chez Bien-AssurĂ©, nous insistons sur l’importance de relire attentivement les conditions gĂ©nĂ©rales d’assurance et les clauses d’exclusion avant signature, pas seulement de comparer les montants de primes. Un contrat apparemment avantageux peut se rĂ©vĂ©ler inefficace s’il repose sur des exigences que votre entreprise ne remplit pas encore. Nous accompagnons les indĂ©pendants et PME dans la mise en correspondance de leur niveau de maturitĂ© cyber rĂ©el avec la police souscrite. Pensez aussi Ă vĂ©rifier votre assurance choses pour protĂ©ger votre infrastructure informatique physique (serveurs, postes de travail, Ă©quipements rĂ©seau).
La conformitĂ© cyber n’est jamais acquise : les menaces Ă©voluent, tout comme les exigences des assureurs Ă chaque renouvellement annuel. Pour structurer votre dĂ©marche de sĂ©curisation, consultez les recommandations officielles du Centre national pour la cybersĂ©curitĂ©, en complĂ©ment de l’accompagnement que nous proposons chez Bien-AssurĂ© pour comparer les offres du marchĂ©.