Nouveau
Découvrez notre nouvelle page de  fonctionnalités

Assurance cyber : comment choisir la bonne couverture pour votre entreprise

La plupart des entreprises qui souscrivent une assurance cyber se trompent dans l’une de ces deux directions. Certaines paient pour une couverture qu’elles n’utiliseront jamais. D’autres découvrent, en pleine crise de rançongiciel, que la police pour laquelle elles cotisent ne couvre pas la perte qui les frappe. Ces deux issues ont la même cause profonde : la couverture a été dimensionnée à partir d’un benchmark de marché ou de l’intuition d’un courtier, plutôt qu’à partir de l’exposition réelle de l’entreprise.

Ce guide explique le fonctionnement de l’assurance cyber en termes business, ce qu’il faut rechercher dans une police, et comment s’assurer que la couverture souscrite correspond aux pertes auxquelles vous seriez réellement exposé.

Les points à retenir :
  • La plupart des entreprises se trompent dans leur assurance cyber : elles paient pour une couverture inutile, ou découvrent en pleine crise que leur police ne couvre pas la perte qui les frappe. Cause commune : la couverture a été dimensionnée sur un benchmark de marché, pas sur leur exposition financière réelle.
  • Une police cyber n'est pas une garantie unique, c'est un ensemble de protections distinctes, chacune avec ses propres sous-limites, délais de carence et exclusions. Une police à 5 M€ avec une sous-limite BI de 500 000 € ne paiera pas plus de 500 000 € pour l'indisponibilité, quoi que dise le montant affiché. Confronter ces clauses à vos scénarios réels, c'est ce qui distingue une couverture adéquate d'une lacune dangereuse.
  • L'assurance cyber transfère l'impact financier d'un incident sévère, elle ne prévient pas une attaque, ne restaure pas la confiance des clients et ne récupère pas vos données. Les entreprises les mieux positionnées au renouvellement sont celles qui arrivent avec une évaluation du risque documentée, pas seulement un questionnaire complété.
Explorez davantage avec l'IA :
Claude
Perplexity
ChatGPT

Pourquoi l’assurance cyber est devenue indispensable

Identifier les incidents qui vous coûteraient le plus cher

Pour une PME, le coût direct moyen d’un incident cyber se situe entre 50 000 € et 60 000 €, avant même de compter l’atteinte à la réputation ou la perte de clients. Pour environ une entreprise sur huit touchée par une attaque, la facture dépasse 230 000 €. Les données du secteur indiquent que près de 60 % des petites entreprises victimes d’un incident cyber majeur cessent leur activité dans les six mois.

Les moyennes, toutefois, ne vous diront pas ce qu’il faut assurer. Les pertes qui comptent sont propres à votre activité. Une attaque par rançongiciel qui paralyse la production pendant trois semaines, une violation de données clients déclenchant notification, examen réglementaire et contentieux, ou une panne chez le fournisseur cloud sur lequel reposent vos opérations : chacun de ces scénarios a sa propre probabilité et sa propre fourchette de conséquences financières. Ils ne sont pas tous aussi dangereux. Pour un industriel, l’arrêt de production est généralement la perte dominante. Pour une société de services détenant des données clients sensibles, c’est la responsabilité civile.

Choisir la bonne couverture commence par cette analyse. Identifiez les scénarios qui causeraient le plus de dégâts à votre entreprise, estimez la fréquence à laquelle chacun pourrait se produire et son coût, puis décidez quelle part de cette perte votre entreprise peut absorber et quelle part doit être transférée à un assureur. Cette décision constitue votre appétit au risque, et elle relève de la direction. Une fois ce travail effectué, vous savez ce que votre police doit couvrir et à quel niveau.

Quand la couverture devient un prérequis business

La pression pour souscrire une assurance cyber vient de plus en plus de l’extérieur de l’entreprise. Les grands comptes inscrivent désormais des exigences minimales de couverture dans leurs contrats d’achat. Investisseurs et conseils d’administration considèrent la couverture cyber comme une exigence de gouvernance qui protège le capital investi. Et avec des réglementations telles que NIS2 et DORA qui relèvent les attentes en matière de résilience opérationnelle, une stratégie financée de transfert du risque devient une condition pour opérer en Europe.

Pour la plupart des comités de direction, la question n’est plus de savoir s’il faut s’assurer, mais comment souscrire la bonne couverture au juste prix.

Comprendre ce que couvre réellement une police cyber

Les composantes essentielles de la couverture

Une police cyber est un ensemble de protections distinctes, chacune répondant à un type de perte spécifique :

  • Coûts de réponse à incident : investigation numérique, conseil juridique, communication de crise et accompagnement à la négociation de rançon, généralement délivrés via le panel d’experts pré-agréés de l’assureur. Pour les entreprises sans équipe sécurité interne, cette capacité de réponse a souvent autant de valeur que l’indemnisation elle-même.
  • Pertes d’exploitation (BI) : perte de chiffre d’affaires et frais supplémentaires pendant l’indisponibilité des systèmes. Pour la plupart des entreprises, il s’agit de la principale catégorie de pertes lors d’un incident sévère.
  • Cyber-extorsion : paiements de rançon lorsque la loi l’autorise, ainsi que les coûts de négociation et de récupération.
  • Restauration des données : reconstruction des systèmes et récupération des données après une attaque.
  • Responsabilité civile envers les tiers : réclamations des clients ou partenaires dont les données ont été compromises, y compris les coûts de notification et la défense en cas de contentieux.
  • Couverture réglementaire : frais de défense et, lorsqu’elles sont assurables, amendes découlant d’actions réglementaires liées au RGPD ou à d’autres réglementations.

Les clauses qui déterminent les garanties de votre police

La limite globale (aggregate limit) correspond au montant total que l’assureur versera sur la durée de la police. La façon dont il indemnise dépend de l’incident concerné, type de perte par type de perte, dans des conditions spécifiques. Les clauses ci-dessous sont là où cela devient mesurable par rapport à votre appétit au risque, et c’est pourquoi raisonner en scénarios quantifiés a de la valeur.

Les sous-limites plafonnent les indemnisations pour certains types de pertes à l’intérieur de la limite globale. C’est ici que la logique des scénarios apparaît pour la première fois : une police de 5 millions € assortie d’une sous-limite BI de 500 000 € ne paiera pas plus de 500 000 € pour l’indisponibilité, quoi que dise la limite globale.

Les délais de carence définissent le nombre d’heures d’indisponibilité que vous prenez à votre charge avant que la couverture BI ne s’applique. Si votre entreprise ne peut pas fonctionner plus de quatre heures sans ses systèmes, un délai de carence de 8 à 12 heures doit être une priorité de négociation.

Les exclusions retirent des catégories entières de pertes. La carence d’exploitation dépendante (dependent business interruption), c’est-à-dire les pertes provoquées par une panne chez votre fournisseur cloud ou SaaS, est fréquemment exclue ou sous-limitée. Pour les entreprises qui reposent entièrement sur des plateformes tierces, il s’agit d’une lacune majeure.

Les franchises (retentions) définissent ce que vous payez de votre poche par incident avant que la police ne se déclenche.

La sous-assurance est aussi fréquente que la sur-assurance, et beaucoup d’entreprises ne le découvrent malheureusement qu’au moment de gérer un incident. Confronter ces clauses à vos propres scénarios peut faire une grande différence pour votre appétit au risque.

Comment évaluer vos besoins de couverture en assurance cyber

Quatre questions pour comprendre votre risque cyber en termes financiers

Quatre questions essentielles permettent d’amorcer l’évaluation de vos besoins d’assurance cyber. Elles sont aussi le socle de toute évaluation du risque cyber :

1. Quels sont les incidents probables ? Il peut s’agir d’un rançongiciel, d’une violation de données, d’une fraude ou d’une panne chez un prestataire critique.

2. Quels incidents sont les plus importants ? Classez-les en fonction de leur probabilité et de leur coût en termes financiers.

3. Quels sont les types de pertes probables par incident ? Un seul événement de rançongiciel peut en produire plusieurs à la fois : arrêt d’activité, coûts de remise en état, rançon, notification et exposition juridique.

4. Quel est l’impact financier probable par type de perte ? Estimez, même grossièrement, ce que chaque perte coûterait à votre entreprise en termes financiers. Cela réduira votre incertitude au moment d’évaluer une police d’assurance.

De l’impact financier à l’appétit au risque et au transfert de risque

Votre évaluation vous permet de confronter votre risque à votre appétit au risque : quel niveau de perte l’entreprise est-elle prête à assumer, et quel niveau peut-elle assumer tout en restant opérationnelle ? Les pertes situées dans votre appétit signifient que vous pouvez accepter ce niveau de risque. Les pertes qui le dépassent sont celles que vous devez transférer, et l’assurance cyber est l’instrument de ce transfert de risque.

Connaître votre exposition au risque en termes financiers vous permet d’analyser une police cyber au regard de votre propre situation. Pour chacun de vos scénarios prioritaires, vérifiez que la couverture existe pour les types de pertes concernés, puis confrontez les sous-limites, délais de carence et exclusions au coût qu’aurait le scénario. Si votre courtier vous recommande un montant de garantie, demandez quel scénario de perte le justifie.

Travailler avec votre souscripteur d’assurance cyber

Choisir une police après une évaluation du risque fondée sur les données

La souscription d’une police cyber commence par un questionnaire. L’assureur interroge vos mesures de sécurité : MFA, sauvegardes et vérification de leurs tests, protection des postes, gestion des correctifs, sensibilisation des collaborateurs et gestion des accès pour les télétravailleurs et les tiers. Certains assureurs complètent le tableau par un scan externe de vos systèmes.

Les réponses au questionnaire aident le souscripteur à déterminer la couverture dont vous avez besoin. Un assureur qui ne peut pas vérifier votre posture de sécurité tarife l’incertitude, ce qui se traduit par des tarifs alignés sur la moyenne du secteur, des sous-limites prudentes et, dans les cas les plus défavorables, un refus de couverture. Les lacunes dans les mesures de sécurité de base figurent parmi les raisons les plus fréquentes qui font grimper le coût d’une police.

Une entreprise qui se présente à la souscription avec une évaluation du risque documentée fournit au souscripteur des données objectives pour adapter la police à vos besoins. Les assureurs considèrent de plus en plus la gestion formelle du risque comme une condition de couverture, et présenter votre propre évaluation se traduit généralement par une meilleure tarification, des conditions plus larges et un renouvellement plus simple.

Gestion d’incident et déclaration de sinistre

Une police cyber ne paie que si le sinistre est traité correctement. Il est essentiel de disposer d’un plan de continuité d’activité qui précise comment notifier l’assureur, qui contacter pour la gestion de l’incident et ce qu’il faut documenter. Intégrez l’étape de notification de l’assureur dans votre plan de réponse à incident, et testez-la avant d’en avoir besoin.

L’assurance est l’une des mesures de votre stratégie de cybersécurité

L’assurance cyber absorbe l’impact financier d’un incident cyber sévère. Elle n’empêche pas une attaque, ne restaure pas la confiance des clients et ne récupère pas vos données. Elle n’est qu’une couche d’une stratégie plus large de gestion du risque cyber : les mesures fondamentales réduisent la probabilité d’un incident, la planification de la réponse et de la continuité en réduit la sévérité, et l’assurance transfère l’impact financier hors de l’entreprise.

Article suivant : DORA pour les PME
Assurance Cyber

Comment C-Trust peut vous aider

C-Trust est une solution de gestion du risque cyber de bout en bout, conçue pour les PME et ETI qui ne disposent pas encore d’une équipe risque et sécurité mature. Chaque abonnement comprend une évaluation du risque qui quantifie votre exposition financière par scénario, une évaluation de la maturité de vos mesures de sécurité comparée aux référentiels du secteur et aux exigences de base des assureurs, ainsi qu’un plan d’action priorisant les recommandations sur les volets technologie, gouvernance et assurance cyber. Un reporting prêt pour le comité de direction vous fournit une évaluation documentée à présenter lors de la souscription, et des revues régulières avec un analyste C-Trust maintiennent votre profil de risque à jour à l’approche de chaque renouvellement.

In progress Completed edit Not started In progress

Prêt à élaborer votre stratégie de cybersécurité ?

C-Trust vous fournit un plan d'action priorisé, adapté à votre entreprise, vous savez ainsi exactement par où commencer et quoi faire ensuite.

Demander une démo →