Sans sauvegardes ni double authentification, votre assureur cyber peut refuser de payer

ï€ź 3 Sommaire

Besoin d'une Cyber assurance ?

DĂ©couvrez l’assurance en dĂ©tail, des exemples concrets de sinistres pris en charge et des rĂ©ponses Ă  vos questions.

→

En bref : votre assurance cyber ne vous couvrira pleinement que si vous respectez certaines exigences minimales de sĂ©curitĂ©. Sauvegardes rĂ©guliĂšres et testĂ©es, double authentification sur les accĂšs sensibles et plan de rĂ©ponse aux incidents documentĂ© sont dĂ©sormais des conditions quasi systĂ©matiques. Sans ces mesures, l’assureur peut rĂ©duire, voire refuser totalement l’indemnisation en cas de cyberattaque.

Une PME suisse est victime d’un rançongiciel. Les fichiers sont chiffrĂ©s, l’activitĂ© paralysĂ©e, la direction contacte immĂ©diatement son assureur cyber, convaincue d’ĂȘtre protĂ©gĂ©e. Quelques semaines plus tard, la dĂ©sillusion est brutale : faute de sauvegardes fonctionnelles et d’authentification renforcĂ©e sur les accĂšs Ă  distance, l’indemnisation est refusĂ©e ou fortement rĂ©duite.

Ce scĂ©nario n’a rien d’exceptionnel. Il illustre une rĂ©alitĂ© mĂ©connue : les conditions assurance cyber ne sont pas de simples cases Ă  cocher lors de la souscription, mais des obligations contractuelles dont le non-respect peut coĂ»ter cher au moment oĂč l’entreprise a le plus besoin de son assureur.

Cet article dĂ©taille les exigences techniques et organisationnelles qui conditionnent rĂ©ellement le paiement d’un sinistre cyber, et comment vous assurer d’y rĂ©pondre avant de signer votre contrat.

Pourquoi les assureurs cyber posent des conditions strictes avant de couvrir votre entreprise

Contrairement Ă  une assurance responsabilitĂ© civile ou Ă  une assurance choses classique, le risque cyber dĂ©pend en grande partie du comportement de l’assurĂ©. Les assureurs cherchent donc Ă  limiter l’alĂ©a moral, ce risque que l’entreprise relĂąche sa vigilance simplement parce qu’elle se sait couverte. Ils imposent un devoir de diligence, formalisĂ© dans les conditions gĂ©nĂ©rales du contrat.

En droit suisse, la loi fĂ©dĂ©rale sur le contrat d’assurance (LCA) encadre ces situations. L’article 14 LCA traite de la cause fautive de l’Ă©vĂ©nement redoutĂ© et permet Ă  l’assureur de rĂ©duire, voire de supprimer sa prestation lorsque le sinistre rĂ©sulte d’une nĂ©gligence grave de l’assurĂ©. AppliquĂ© au cyber, une absence manifeste de mesures de sĂ©curitĂ© de base peut ĂȘtre assimilĂ©e Ă  une faute grave, avec des consĂ©quences directes sur l’indemnisation.

ConcrĂštement, le non-respect des conditions du contrat peut entraĂźner :

  • Une rĂ©duction proportionnelle de l’indemnisation
  • Un refus total de prise en charge du sinistre
  • Dans les cas les plus graves, une nullitĂ© rĂ©troactive du contrat

Une cyberattaque n’affecte pas uniquement les systĂšmes internes : la fuite de donnĂ©es clients ou de partenaires peut engager la responsabilitĂ© civile professionnelle de votre entreprise. Les deux couvertures sont complĂ©mentaires et mĂ©ritent une attention conjointe.

Sans sauvegardes ni double authentification, votre assureur cyber peut refuser de payer

Les sauvegardes réguliÚres, premier rempart exigé par votre police cyber

En cas d’attaque par rançongiciel, la premiĂšre question posĂ©e par l’assureur est presque toujours la mĂȘme : disposiez-vous de sauvegardes fonctionnelles et rĂ©centes ? Ce critĂšre est devenu le premier point de vĂ©rification lors de l’instruction d’un sinistre, car il dĂ©termine la capacitĂ© de l’entreprise Ă  restaurer son activitĂ© sans cĂ©der au chantage des cybercriminels.

Les exigences des assureurs portent généralement sur plusieurs points :

  • Une frĂ©quence de sauvegarde adaptĂ©e Ă  la criticitĂ© des donnĂ©es (quotidienne Ă  hebdomadaire)
  • Des copies hors-ligne ou dĂ©connectĂ©es du rĂ©seau principal, pour Ă©viter qu’elles ne soient elles-mĂȘmes chiffrĂ©es lors de l’attaque
  • Des tests de restauration rĂ©guliers, permettant de vĂ©rifier que les sauvegardes sont rĂ©ellement exploitables

Les sauvegardes rĂ©guliĂšres et testĂ©es figurent explicitement dans de nombreuses clauses de garantie. Le cas typique est celui d’une entreprise qui paie une rançon dans l’urgence, sans en informer prĂ©alablement son assureur ni justifier de sauvegardes conformes : le remboursement de cette rançon, ou mĂȘme la prise en charge des pertes d’exploitation associĂ©es, peut alors ĂȘtre refusĂ©.

Ce que vĂ©rifie l’assureur lors d’un audit ou d’un questionnaire de souscription

À la souscription, l’entreprise remplit un questionnaire dĂ©claratif dĂ©taillant son niveau de maturitĂ© en cybersĂ©curitĂ©. Cette dĂ©claration engage sa responsabilitĂ© : toute rĂ©ponse inexacte ou approximative concernant les sauvegardes, si elle est dĂ©couverte lors d’un sinistre, peut ĂȘtre interprĂ©tĂ©e comme une rĂ©ticence. L’article 6 LCA prĂ©voit que ce type de dĂ©claration inexacte peut entraĂźner la rĂ©siliation, voire la nullitĂ© du contrat, indĂ©pendamment mĂȘme du lien avec le sinistre survenu.

Authentification à double facteur (MFA) : une exigence désormais incontournable

La majoritĂ© des compromissions de systĂšmes d’information ne rĂ©sulte plus d’une faille technique sophistiquĂ©e, mais du vol ou de la rĂ©utilisation d’identifiants : phishing, credential stuffing, mots de passe faibles ou recyclĂ©s. Face Ă  cette rĂ©alitĂ©, la double authentification s’est imposĂ©e comme un standard que les assureurs traduisent dĂ©sormais en clause contractuelle.

Le pĂ©rimĂštre exigĂ© couvre gĂ©nĂ©ralement l’ensemble des points d’entrĂ©e sensibles du systĂšme d’information :

  • La messagerie Ă©lectronique professionnelle
  • Les accĂšs VPN et connexions Ă  distance
  • Les comptes Ă  privilĂšges et comptes administrateurs
  • Les outils et plateformes hĂ©bergĂ©s dans le cloud

Il faut distinguer ce qui relĂšve d’une simple recommandation et ce qui constitue une condition suspensive de garantie dans les conditions gĂ©nĂ©rales d’assurance. Dans de nombreux contrats rĂ©cents, l’absence de MFA sur les comptes Ă  privilĂšges n’est plus tolĂ©rĂ©e et peut suffire Ă  justifier un refus de prise en charge en cas d’intrusion via des identifiants compromis.

Sans sauvegardes ni double authentification, votre assureur cyber peut refuser de payer

Plan de réponse aux incidents : anticiper pour rester couvert

Au-delĂ  des outils techniques, les assureurs attendent une prĂ©paration organisationnelle. Un plan de rĂ©ponse aux incidents documentĂ© dĂ©montre que l’entreprise peut rĂ©agir rapidement et de maniĂšre structurĂ©e face Ă  une cyberattaque, ce qui limite l’ampleur des dommages et facilite la gestion du sinistre.

Ce plan doit généralement prévoir :

  • Une procĂ©dure d’alerte interne claire, dĂšs la dĂ©tection d’une anomalie
  • Une liste de contacts d’urgence (Ă©quipe IT, conseil juridique, assureur)
  • Un dĂ©lai de notification du sinistre Ă  l’assureur, clairement identifiĂ©

Ce dernier point mĂ©rite une attention particuliĂšre : une notification tardive du sinistre peut justifier, Ă  elle seule, une rĂ©duction de l’indemnitĂ© versĂ©e. La formation rĂ©guliĂšre du personnel Ă  la reconnaissance des tentatives de phishing constitue un critĂšre complĂ©mentaire Ă©valuĂ© par les assureurs, dans une logique de continuitĂ© d’activitĂ© qui dĂ©passe le seul cadre de l’assurance cyber.

Comment vérifier et renforcer votre conformité avant de souscrire ou renouveler

Avant de souscrire ou de renouveler une police cyber, quelques vĂ©rifications permettent d’Ă©viter bien des dĂ©sillusions :

  1. Auditer l’Ă©tat rĂ©el de vos sauvegardes et leur capacitĂ© de restauration
  2. GĂ©nĂ©raliser la double authentification sur l’ensemble des accĂšs sensibles
  3. RĂ©diger, mĂȘme de façon simple, un plan de rĂ©ponse aux incidents
  4. Mettre à jour vos réponses au questionnaire de souscription en fonction de votre situation réelle

Chez Bien-AssurĂ©, nous insistons sur l’importance de relire attentivement les conditions gĂ©nĂ©rales d’assurance et les clauses d’exclusion avant signature, pas seulement de comparer les montants de primes. Un contrat apparemment avantageux peut se rĂ©vĂ©ler inefficace s’il repose sur des exigences que votre entreprise ne remplit pas encore. Nous accompagnons les indĂ©pendants et PME dans la mise en correspondance de leur niveau de maturitĂ© cyber rĂ©el avec la police souscrite. Pensez aussi Ă  vĂ©rifier votre assurance choses pour protĂ©ger votre infrastructure informatique physique (serveurs, postes de travail, Ă©quipements rĂ©seau).

La conformitĂ© cyber n’est jamais acquise : les menaces Ă©voluent, tout comme les exigences des assureurs Ă  chaque renouvellement annuel. Pour structurer votre dĂ©marche de sĂ©curisation, consultez les recommandations officielles du Centre national pour la cybersĂ©curitĂ©, en complĂ©ment de l’accompagnement que nous proposons chez Bien-AssurĂ© pour comparer les offres du marchĂ©.

"

Votre offre personnalisée

Rapide et sans engagement