La checklist “assurance cyber” avant de signer – 12 questions à poser à votre assureur/courtier

La checklist “assurance cyber” avant de signer – 12 questions à poser à votre assureur/courtier

Introduction

Pour une PME en Suisse romande, signer une assurance cyber ne se limite pas à accepter une proposition commerciale : c’est une décision stratégique qui engage la continuité de l’activité, la maîtrise des coûts et la gouvernance du risque numérique. Une police peut sembler complète sur le papier, mais sans questions ciblées, vous pourriez découvrir des zones d’incertitude (franchises élevées, exclusions mal comprises, prestataires imposés) au moment où vous en avez le plus besoin. Cette checklist vise à clarifier ce qu’il faut documenter, comprendre et arbitrer avec votre assureur ou courtier avant de signer.

Le mot-clé principal checklist assurance cyber guide ce contenu. Vous y trouverez des questions claires à poser, des repères méthodologiques pour évaluer les réponses, des erreurs fréquentes à éviter et une approche centrée sur le pilotage et la décision.

1. Comprendre la couverture offerte

1.1 Quelles garanties sont réellement incluses ?

Une assurance cyber couvre typiquement les coûts associés à une cyberattaque : récupération des données, pertes d’exploitation, responsabilité envers des tiers et frais juridiques. La couverture varie selon l’assureur et le contrat. Par exemple, certaines polices mentionnent explicitement ces éléments : récupération des données, pertes d’exploitation et prétentions en responsabilité des clients ou partenaires.  

À documenter: liste explicite des garanties avec renvois aux clauses des Conditions générales d’assurance (CGA).

1.2 Qu’est-ce qui n’est pas couvert (exclusions) ?

Les exclusions peuvent transformer une police séduisante en protection à trous : actes intentionnels, non-respect des prérequis de sécurité, certaines formes de rançongiciels, amendes légales, etc.

Questions concrètes:

• Liste des exclusions principales avec références exactes dans les CGA.

• Exclusion spécifique en cas de non-respect des mesures de sécurité requises (MFA, sauvegardes régulières, plan d’intervention).

2. Évaluer les paramètres financiers

2.1 Quelles sont les franchises pour chaque type de garantie ?

Les franchises (la part que l’entreprise paie avant l’entrée en jeu de l’assurance) peuvent varier selon la nature du sinistre (rançongiciel, perte d’exploitation, responsabilité civile).

Questions concrètes:

• Franchise appliquée pour une attaque par rançongiciel.

• Franchise pour perte d’exploitation informatique.

• Existe-t-il une franchise différente selon le type de services prestés (juridique vs. restauration de données)?

2.2 Y a-t-il des plafonds de garantie par sinistre ou par année ?

Un plafond significatif peut limiter la couverture pour des incidents graves.

Questions concrètes:

• Plafonds par type de garantie.

• Plafond annuel global.

• Modalités de réinstauration des limites après un sinistre.

3. Prestataires et gestion des sinistres

3.1 Prestataires imposés ou libre choix ?

Certaines assurances exigent de travailler avec des prestataires agréés (experts forensiques, juristes, négociateurs). C’est un élément important à clarifier afin de planifier la réponse au sinistre.

Questions concrètes:

• Liste des prestataires agréés.

• Conditions de recours à des prestataires externes à la liste.

• Impact sur la couverture si on utilise un prestataire non agréé.

3.2 Quel est le processus de gestion de sinistre ?

La gestion de sinistre conditionne la rapidité de redémarrage de l’activité. Vérifiez les délais de réponse, les interlocuteurs privilégiés, la hotline 24/7 et les SLA (Accords de niveau de service).

Questions concrètes:

• Délai de prise en charge après notification.

• Coordonnées et disponibilité de l’assistance 24/7.

• Étapes formalisées entre déclaration, expertise, intervention et indemnisation.

4. Délais et conditions spécifiques

4.1 Délais de carence ou périodes d’attente

Certains contrats prévoient des délais avant que la couverture ne prenne effet.

Questions concrètes:

• Existe-t-il un délai de carence pour certaines garanties ?

• Les événements survenus juste avant la signature sont-ils exclus ?

4.2 Conditions de renouvellement et révision des primes

Avec l’évolution du profil de risque cyber, les assureurs peuvent ajuster les primes ou les conditions au renouvellement.

Questions concrètes:

• Fréquence de révision des primes.

• Critères pouvant justifier une modification de termes à la reconduction.

5. Spécificités de couverture

5.1 Rançongiciels et cyber-extorsion

La prise en charge des rançons et des interventions de négociation est un point clé : certaines polices couvrent ces frais sous conditions strictes.

Questions concrètes:

• Le paiement des rançons est-il couvert ?

• Conditions préalables (ex. intervention forensique) pour payer une rançon.

5.2 Perte d’exploitation due à une cyberattaque

La perte d’exploitation liée à un incident informatique est souvent une des garanties les plus stratégiques, mais elle repose sur la documentation préalable des revenus de l’entreprise.

Questions concrètes:

• Méthode de calcul de la perte d’exploitation.

• Documents requis pour justifier les pertes (CA, marges historiques).

6. Documentation et conformité

Encadré – Ce qu’il faut documenter avant signature

• Extrait des Conditions générales d’assurance (CGA) pour chaque clause répondue.

• Historique des incidents cyber antérieurs.

• Liste des prestataires IT, sauvegardes et plans de continuité.

• Mesures de sécurité en place (MFA, plan de réponse).

Scénarios pratiques

Cas pratique 1 : PME sans équipe IT interne

Une PME de services découvre une vulnérabilité exploitée par un ransomware. Sans prestataire interne, elle dépend entièrement des experts listés par l’assureur. Clarifier en amont les prestataires agréés et les délais d’intervention permet de réduire l’arrêt d’activité et d’optimiser l’usage de la garantie.

Cas pratique 2 : incident avec responsabilité tiers

Après une fuite de données clients, une PME est confrontée à des réclamations. Avant de signer, la question du plafond de garantie pour responsabilité civile cyber et de l’assistance juridique associée (y compris les frais d’avocat) doit être résolue.

Repères et check-list actionnable

| Domaine clé | Question type | Pièces à demander |

| Couverture | Garanties incluses | Extrait CGA |

| Exclusions | Exclusions détaillées | Liste clauses excluantes |

| Financier | Franchises | Tableau des franchises |

| Plafonds | Limites par sinistre/année | Conditions limites |

| Prestataires | Choix/forçage | Liste prestataires agréés |

| Sinistre | Processus & délais | SLA, hotline |

| Conditions | Carences & renouvellement | Calendrier de termes |

| Spécifiques | Rançon, IT | Clauses dédiées |

Erreurs fréquentes et comment les éviter

Erreur 1 : signer sans vérifier les exclusions détaillées

Une couverture qui semble complète peut exclure des cas critiques. Demandez l’extrait des clauses d’exclusion.

Erreur 2 : négliger les prestataires imposés

Si l’assureur impose des prestataires, cela peut retarder la réponse. Clarifiez en amont.

Erreur 3 : oublier les conditions de renouvellement

Les primes et limites peuvent changer à la reconduction : documentez ces conditions.

Erreur 4 : ne pas préparer la documentation requise

Sans données claires sur vos revenus ou sauvegardes, une réclamation peut être rejetée.

Questions à poser à son assureur/courtier

1. Quelles garanties spécifiques sont incluses dans la police ?

2. Quelle est la liste complète des exclusions ?

3. Quelles franchises s’appliquent pour chaque type de sinistre ?

4. Quels sont les plafonds de garantie par sinistre et par année ?

5. Y a-t-il des prestataires imposés pour l’intervention ?

6. Quel est le processus de gestion de sinistre et les délais associés ?

7. Existe-t-il des délais de carence avant l’entrée en vigueur de certaines garanties ?

8. Comment est calculée la perte d’exploitation cyber ?

9. La police inclut-elle l’assistance juridique et les frais de défense ?

10. Quelles conditions s’appliquent au renouvellement et à la révision des primes ?

11. (Bonus) Quelles mesures de sécurité internes doivent être documentées pour valider la couverture ?

12. (Bonus) Comment l’assurance aide-t-elle en cas de demandes réglementaires ou de notifications obligatoires après un incident ?

Conclusion

Une checklist assurance cyber structurée vous aide à piloter la phase de décision avec rigueur et clarté. En posant ces questions précises à votre assureur ou courtier, vous transformez un acte de souscription en une démarche de gouvernance du risque. Documentez les réponses, intégrez-les à votre plan de gestion des risques et alignez-les avec vos contrôles internes. La prochaine étape consiste à intégrer ces éléments à votre audit de portefeuille pour combler les écarts identifiés.