Conformité — Assurance cyber
Assurance cyber PME : les prérequis que votre assureur exigera
MFA actif, sauvegardes testées et documentées, patch management à jour, EDR déployé. Un sinistre survenu sur un système non conforme aux conditions déclarées peut entraîner un refus total d'indemnisation.
Préparer mon dossier assureurLe piège du questionnaire coché à la main
En cas de sinistre, l'assureur mandate un expert pour vérifier que les mesures déclarées existaient bien au moment de la souscription. Si ce n'est pas le cas (absence de MFA réel, sauvegardes non testées, patch management en retard), l'assureur peut invalider le contrat et refuser l'indemnisation.
Ce que les assureurs vérifient
Authentification et contrôle des accès
- MFA (authentification multi-facteurs) actif sur les accès sensibles : messagerie, VPN, outils cloud, postes d'administration
- Politique de mots de passe documentée et appliquée
- Gestion des comptes à privilèges (administrateurs)
- Procédure de révocation des accès lors du départ d'un collaborateur
Patch management
- Correctifs de sécurité appliqués dans des délais définis
- Suivi des vulnérabilités sur les systèmes exposés
- Processus documenté de gestion des mises à jour
Sauvegarde et plan de reprise
- Sauvegardes régulières, chiffrées, stockées hors site (pas uniquement sur le réseau local)
- Tests de restauration réguliers et documentés (point le plus souvent défaillant chez les PME)
- Plan de reprise d'activité (PRA) formalisé avec des délais de reprise définis
- Sauvegarde résistante aux ransomwares (isolation ou immuabilité)
Détection et réponse aux incidents
- Supervision en temps réel du parc informatique
- Antivirus de nouvelle génération (NGAV/EDR)
- Procédure de réponse aux incidents documentée
- Capacité de confinement rapide en cas d'attaque
Sensibilisation des collaborateurs
- Formation à la cybersécurité pour l'ensemble du personnel
- Sensibilisation au phishing : simulation et formation
- Politique d'usage des équipements et des données
Documentation
- Politique de sécurité du système d'information (PSSI)
- Inventaire du parc informatique
- Cartographie des données sensibles traitées
Ce que l'offre Conformité+ couvre
L'offre Conformité+ (57 €/poste/mois) est conçue pour répondre aux prérequis des assureurs cyber, et produire les preuves documentaires qu'ils demandent.
| Prérequis assureur | Ce que Conformité+ apporte |
|---|---|
| Antivirus nouvelle génération | NGAV + anti-ransomware comportemental actif |
| EDR / détection avancée | XDR actif (endpoint + emails + identités M365) |
| Patch management documenté | OS + 300 apps tierces, automatisé, traçable |
| MFA et gestion des accès | MFA M365 actif, politique de mots de passe, gestion des comptes |
| Sauvegardes chiffrées hors site | CDP 3×/jour, stockage cloud sécurisé hors réseau local |
| Tests de restauration documentés | Test semestriel avec rapport écrit |
| PRA formalisé | Plan de reprise documenté et testé |
| Sensibilisation des collaborateurs | Simulations phishing + e-learning cybersécurité |
| Documentation SI | Politique de sécurité, charte informatique |
| Rapport de conformité mensuel | Document directement utilisable par votre assureur |
Questions fréquentes
Mon assurance multirisque professionnelle couvre-t-elle déjà le cyber ?
Généralement non, ou de façon très limitée — dommages matériels, pas les pertes d'exploitation liées à une attaque informatique, pas la responsabilité envers les tiers dont les données ont été compromises. Une assurance cyber dédiée est nécessaire pour une couverture réelle.
Combien coûte une assurance cyber pour une PME ?
Entre 1 500 € et 10 000 €/an pour une PME de 20 à 50 postes, selon le secteur, le chiffre d'affaires et le niveau de sécurité existant. Améliorer votre posture réduit votre prime.
L'assureur cyber peut-il refuser de nous couvrir ?
Oui. Les assureurs cyber refusent de plus en plus les dossiers sans garanties minimales — notamment sur le MFA, les sauvegardes testées et le patch management. Un niveau de sécurité insuffisant rend la couverture inaccessible ou exclut les sinistres les plus probables.
On a déjà été victimes d'un ransomware. Peut-on encore s'assurer ?
Oui, mais les conditions sont plus strictes et les primes plus élevées. L'assureur demandera des preuves que des mesures de remédiation ont été mises en place. Un audit post-incident suivi d'un plan de remédiation documenté est généralement requis.
Votre prochain questionnaire assureur mérite de vraies réponses.
On évalue votre posture actuelle, on identifie les écarts par rapport aux prérequis des assureurs et on met en place les mesures manquantes.
Préparer mon dossier assureur