Le marché de l'assurance cyber pour PME a explosé ces dernières années. Mais beaucoup d'entreprises souscrivent une police sans vraiment comprendre ce qu'elles achètent, et découvrent les lacunes au pire moment.

Ce qu'une assurance cyber couvre généralement

  • Frais de remédiation : coût de l'intervention des experts pour nettoyer et restaurer les systèmes
  • Perte d'exploitation : revenus perdus pendant la période d'indisponibilité (selon franchise et plafond)
  • Frais juridiques et de notification : avocat, notification CNIL, communication de crise
  • Rançon : certaines polices couvrent le paiement de la rançon (nous déconseillons de l'utiliser)
  • Responsabilité civile : si vos données clients sont compromises et qu'ils subissent un préjudice

Ce qu'elle ne couvre pas, les clauses à lire attentivement

L'absence de mesures de sécurité de base

La clause la plus fréquemment invoquée par les assureurs pour refuser une indemnisation : vous n'aviez pas mis en place les mesures de sécurité déclarées lors de la souscription. Avez-vous vraiment le MFA activé partout ? Vos sauvegardes sont-elles vraiment externalisées ? Si non, l'assureur peut refuser.

Les actes de guerre et cyberattaques étatiques

Les attaques attribuées à des États (Russie, Chine, Corée du Nord) peuvent être exclues. Un tribunal américain a récemment validé cette exclusion pour une attaque NotPetya. Le débat sur la définition d'"acte de guerre cyber" est ouvert.

Les dommages aux tiers déjà connus

Si vous saviez qu'une faille existait et ne l'avez pas corrigée, les dommages causés aux tiers peuvent être exclus.

Ce que les assureurs demandent de plus en plus

Pour obtenir une couverture cyber raisonnable en 2026, les assureurs exigent généralement :

  • MFA activé sur les accès distants et la messagerie
  • Sauvegardes testées et externalisées
  • Antivirus avec EDR sur tous les postes
  • Plan de réponse aux incidents documenté
  • Formation des collaborateurs aux risques cyber

Ces exigences correspondent exactement aux bonnes pratiques que nous recommandons. Si vous avez un contrat d'infogérance avec Leader System incluant la sécurité, vous remplissez la grande majorité de ces critères.

Notre recommandation

L'assurance cyber est utile, mais elle ne remplace pas la sécurité. C'est un filet de sécurité financier, pas une protection technique. Commencez par mettre en place les mesures de base, puis souscrivez une assurance avec un dossier technique solide pour obtenir de meilleures conditions.