Cyberattaque : qui paie quoi ? Ce que couvrent (vraiment) les assurances cyber en Suisse romande : rançon, interruption, restauration, expertise, juridique

Cyberattaque : qui paie quoi ? Ce que couvrent (vraiment) les assurances cyber en Suisse romande

Introduction

Les cyberattaques ne sont plus une menace abstraite : selon des assureurs actifs en Suisse, des milliers d’incidents sont signalés chaque année, et les PME figurent parmi les cibles les plus fréquentes.  Pour un dirigeant ou un responsable financier, l’enjeu n’est pas seulement technique : c’est une question de survie financière et de gouvernance. Après une attaque, combien l’entreprise devra-t-elle payer elle-même, et quelles montants ou services un assureur cyber peut-il réellement prendre en charge ? Cet article clarifie, de manière opérationnelle, ce que couvrent les assurances cyber en Suisse : rançon, interruption d’activité, restauration des systèmes, expertise technique et frais juridiques. À la fin, vous saurez quelles décisions poser à votre courtier pour piloter ce risque.

Qu’est-ce qu’une assurance cyber ? (cadre de base)

Une assurance cyber est un contrat conçu pour transférer une partie du risque financier lié aux incidents numériques. Elle agit comme un filet financier quand les systèmes sont compromis, les données volées, ou que des tiers réclament réparation. 

Ce type d’assurance se distingue des couvertures classiques (incendie, RC professionnelle) : elle couvre des pertes immatérielles liées à l’utilisation de systèmes d’information et à la responsabilité qui en découle.

En Suisse, le produit n’est pas encore obligatoire, mais de nombreuses grandes polices multirisques incluent désormais des modules cyber spécifiques ; il se développe aussi comme contrat autonome pour les PME.

1. Rançon et cyber-extorsion : qui paie quoi ?

Cyber-extorsion (ransomware) : définition opérationnelle

Un ransomware est un logiciel malveillant qui chiffre les données d’une entreprise et exige une rançon pour restaurer l’accès. 

L’assurance cyber peut couvrir les frais liés à l’extorsion, y compris parfois la rançon elle-même ou les coûts de négociation avec les attaquants. Ce type de prise en charge est généralement optionnel et soumis à des clauses strictes, notamment :

• Conditions préalables à payer : recours à des spécialistes en négociation autorisés.

• Limites contractuelles ou exclusions liées à certaines formes d’attaques ou à des actes illégaux.

Un assureur bien structuré comprendra souvent dans son offre des experts en cyber-négociation, mais le paiement direct de la rançon reste une décision stratégique qui doit être pilotée avec le courtier.

Ce que l’assurance prend généralement en charge

Selon les standards du marché, une police cyber comprend souvent :

• Frais d’investigation et de réponse à l’attaque, y compris forensic informatique. 

• Coûts de négociation avec des attaquants et éventuel paiement sous conditions. 

• Services de gestion de crise pour limiter l’impact d’une extorsion.

Ce qu’elle ne couvre pas nécessairement : sanctions pénales, amendes pour activité illégale non dénoncée, pertes de revenus non documentées.

2. Interruption d’activité (perte d’exploitation)

Pourquoi cette couverture est stratégique

Une cyberattaque peut paralyser des systèmes critiques, rendant impossible la facturation, la production ou même l’accès aux fichiers. Cette interruption d’exploitation se traduit souvent par une chute de revenus alors que les coûts fixes continuent de courir.

Une assurance cyber bien structurée inclut une indemnisation pour perte d’exploitation spécifiquement liée à un incident informatique. Elle se distingue d’une perte d’exploitation classique (ex. dégâts matériels) : ici, l’origine est immatérielle mais l’impact financier est réel. 

Ce que l’assureur couvre typiquement

• Compensation des revenus manqués documentés pendant la période où l’activité est affectée.

• Couverture des frais supplémentaires pour maintenir les opérations (heures supplémentaires, solutions de substitution).

• Indemnisation des charges fixes (salaires, loyers) qui continuent de courir malgré l’arrêt.

Ce type de couverture repose souvent sur une baseline historique de résultats fournie par l’entreprise (chiffre d’affaires, marges, etc.), d’où l’importance de bien documenter ses chiffres avant sinistre.

3. Restauration des données et des systèmes

Données et systèmes : des actifs critiques

Quand un système est compromis, la première question opérationnelle est : “Comment remettre en état nos données, serveurs et applications ?” Cette étape est souvent coûteuse, surtout si la PME n’a pas d’équipe IT interne.

L’assurance cyber prend généralement en charge :

• Les coûts de récupération des données à partir de sauvegardes ou de services spécialisés. 

• Les frais de restauration des systèmes (intervention d’experts techniques). 

• Les honoraires de consultants indépendants si nécessaire pour la reconstruction de l’infrastructure.

Pièces à documenter

Encadré – Ce qu’il faut documenter pour la restauration

• Journal des sauvegardes et logs d’incident.

• Contrats et SLA avec prestataires IT.

• Preuves des pertes de données et coûts réels engagés.

• Devis et factures des intervenants externes.

4. Expertise, forensic et coûts juridiques

Expertise technique

Les assureurs cyber financent souvent des analyses forensic (expertise informatique pour comprendre comment l’attaque s’est produite). Ce travail est essentiel pour maîtriser le risque et répondre aux exigences légales de notification.

Assistance juridique et défense

Après un incident, l’entreprise peut être exposée à :

• Des réclamations de clients ou partenaires si des données les concernant ont fuité. 

• Des obligations légales de notification sous la nouvelle Loi suisse sur la protection des données (nLPD) ou sous des règles sectorielles.

• Des besoins de défense juridique, d’avocats spécialisés ou de représentation devant des autorités.

Une assurance cyber peut couvrir :

• Les honoraires d’avocats et de défense. 

• Les frais de représentation devant des instances administratives ou civiles.

• Les coûts de conformité et de suivi de procédure.

5. Responsabilité civile et tiers

Une cyberattaque peut entraîner une responsabilité vis-à-vis de tiers : clients, partenaires, fournisseurs. La couverture de responsabilité civile cyber prend en charge :

• Les indemnisations dues à des tiers pour des pertes liées à une violation de données. 

• Les frais de défense contre ces réclamations.

• Parfois, les pénalités contractuelles si prévues par des engagements liant l’entreprise à des tiers.

Repères et check-list pour PME

Catégorie de couverture Ce que cela couvre Documents/indicateurs

Extorsion / rançon Paiement, négociation, conseil Contrat, niveaux de limites

Perte d’exploitation Revenus manqués, frais fixes Historique CA, marges

Restauration IT Données + systèmes Sauvegardes, logs, devis

Juridique Avocats, notifications Contrats, correspondances

Responsabilité civile Réparations à tiers Contrats clients/fournisseurs

Erreurs fréquentes et comment les éviter

1. Confondre assurance cyber et RC professionnelle

L’assurance RC ne couvre pas automatiquement les risques purement numériques. Il faut un module cyber explicite.

2. Sous-estimer les seuils et exclusions

De nombreuses polices ont des limites par sinistre, des franchises élevées ou des exclusions (actions intentionnelles, état de négligence connue). Lisez les Conditions générales d’assurance (CGI) avec votre courtier.

3. Omettre de documenter avant sinistre

Des couvertures comme la perte d’exploitation ou la restauration des données nécessitent des éléments documentés avant un incident (CA, plans de sauvegarde, prestataires).

4. Négliger l’intégration avec la gouvernance interne

La cyberassurance ne remplace pas une politique de cybersécurité interne : elle doit être intégrée à un plan de prévention et d’interruption.

Questions à poser à son assureur / courtier

1. Quels sont les plafonds et franchises par type de risque (rançon, perte d’exploitation, juridique) ?

2. Que couvre exactement la cyber-extorsion ? Le paiement direct est-il inclus ?

3. Comment la perte d’exploitation est-elle calculée ? Sur quelles bases historiques ?

4. Quels pré-requis de sécurité sont exigés pour que la couverture soit valide ?

5. L’assurance couvre-t-elle les obligations de notification sous la loi suisse sur la protection des données ?

6. Les frais de forensic informatique sont-ils inclus sans limite séparée ?

7. Quelle est la couverture responsabilité civile pour des tiers ?

8. Y a-t-il une assistance juridique dédiée incluse ?

9. Quels sont les exclusions principales, notamment sur actes intentionnels ou négligence lourde ?

10. Comment se déroule la gestion de sinistre et peut-on avoir un interlocuteur unique ?

Conclusion

Pour une PME en Suisse romande, une assurance cyber ne se résume pas à un gadget commercial : c’est un outil de gouvernance permettant de piloter, documenter et suivre le risque cyber. Savoir « qui paie quoi » exige de comprendre les catégories de couverture, les documents requis et les décisions chiffrables à prendre avec son courtier. Intégrer cette couverture à votre plan de gestion des risques vous aide à transformer une crise potentielle en réponse maîtrisée.

Prochaine étape : faites un audit de portefeuille centré sur vos risques numériques, puis menez un atelier structuré avec votre courtier pour combler les écarts identifiés.