Cyber-assurance : ce que votre assureur va exiger de votre IT

Souscrire ou renouveler une cyber-assurance ressemble de plus en plus à un audit de sécurité : questionnaire détaillé, preuves à l'appui, prime indexée sur vos réponses. Les exigences convergent d'un assureur à l'autre — MFA, sauvegardes isolées, PRA testé, EDR, gestion des accès — et la bonne nouvelle, c'est qu'elles décrivent exactement ce qu'une IT bien tenue devrait déjà faire.
Pourquoi le questionnaire s'est durci
Les assureurs cyber ont appris que les déclarations de bonne foi ne suffisaient pas : les rançongiciels ont mis leur modèle sous pression, et le marché a réagi en durcissant la sélection des risques. Le questionnaire cyber-assurance d'aujourd'hui ne demande plus « avez-vous un antivirus ? » mais « quelle proportion de vos accès distants est protégée par une authentification multifacteur, et pouvez-vous le prouver ? ».
L'enjeu dépasse le montant de la prime. Une réponse inexacte — cochée « oui » de bonne foi mais fausse sur le terrain — peut fonder une réduction, voire un refus d'indemnisation au moment précis où vous en avez besoin. Le vrai risque n'est pas de remplir le questionnaire : c'est de le remplir sans vérifier.
Les cinq exigences qui reviennent partout
Le MFA partout où ça compte
Messagerie, VPN et accès distants, comptes d'administration, consoles cloud : l'authentification multifacteur est devenue la première question, et souvent une condition d'éligibilité. Un MFA « déployé à 80 % » ne rassure personne : les comptes restants sont précisément ceux qu'un attaquant ira chercher.
Des sauvegardes isolées et testées
Une sauvegarde joignable depuis le réseau de production sera chiffrée avec le reste lors d'une attaque. Les assureurs attendent une copie hors ligne ou immuable, des accès séparés de ceux de la production, et des tests de restauration documentés. Une sauvegarde jamais restaurée est une hypothèse, pas une protection.
Un PRA écrit, daté et exercé
Le plan de reprise d'activité demandé n'est pas un document théorique : il désigne des rôles, fixe des objectifs de reprise et s'appuie surtout sur la preuve d'un exercice récent. Un PRA qui n'a jamais été testé vaut, aux yeux d'un assureur comme dans la réalité, à peu près zéro.
Une détection au-delà de l'antivirus
L'EDR sur les postes et les serveurs détecte des comportements, pas seulement des signatures. Mais la détection sans réponse ne vaut rien : le questionnaire demande de plus en plus qui regarde les alertes, à quelle heure, et en combien de temps une machine compromise peut être isolée. Une supervision managée sous contrat répond à cette question.
La gestion des accès et des privilèges
Moindre privilège, revue périodique des comptes, désactivation immédiate des départs, inventaire des comptes de service, encadrement des accès prestataires : c'est le volet le moins spectaculaire et l'un des plus scrutés, car la plupart des intrusions passent par un compte légitime.
Le dossier type à préparer
Plutôt que de subir le questionnaire, constituez un dossier permanent, tenu à jour toute l'année :
- politiques écrites : sauvegarde, gestion des accès, réponse à incident ;
- exports de configuration MFA et EDR, avec taux de couverture ;
- rapport daté du dernier test de restauration et du dernier exercice PRA ;
- registre des comptes à privilèges et procédure de départ des collaborateurs ;
- un responsable désigné du dossier, côté direction et pas seulement côté technique.
Ce dossier sert au renouvellement de la police, mais pas uniquement : les clients grands comptes posent désormais les mêmes questions dans leurs appels d'offres, et un audit de conformité les reposera encore. Le travail n'est fait qu'une fois.
Des exigences qui vous protègent, avec ou sans police
Il faut le dire clairement : l'assurance indemnise, elle ne restaure ni vos données ni votre réputation. Les mesures exigées — MFA, sauvegardes isolées, PRA exercé, détection, gestion des accès — sont précisément celles qui réduisent la probabilité qu'un rançongiciel aboutisse, et son impact s'il aboutit. Les mettre en place pour l'assureur, c'est d'abord se protéger soi-même.
C'est le type de chantier qu'un partenaire comme SOVALYX mène en amont du questionnaire, avec des preuves datées à la clé : un premier échange suffit à mesurer l'écart entre les réponses que vous aimeriez cocher et votre réalité technique.
Tableau récapitulatif : exigence, attente, preuve
| Exigence | Ce que l'assureur attend | Preuve à fournir |
|---|---|---|
| MFA | Généralisé aux accès distants, à la messagerie et aux comptes admin | Export de configuration, taux de couverture |
| Sauvegardes | Copie isolée ou immuable, restaurations testées | Rapport de test de restauration daté |
| PRA | Plan écrit avec objectifs de reprise, exercice récent | Compte rendu d'exercice, plan versionné |
| Détection | EDR déployé, alertes surveillées, réponse organisée | Taux de déploiement, contrat de supervision |
| Accès | Moindre privilège, revue périodique, départs maîtrisés | Registre des comptes, procédure de départ |
Comment SOVALYX peut vous aider
SOVALYX prépare votre IT au questionnaire avant que l'assureur ne le fasse : sauvegardes immuables et isolées, PRA automatisé avec exercices documentés, supervision 24/7 sous SLA et revue des accès. Vous répondez avec des preuves datées plutôt que des déclarations — et les mêmes mesures réduisent le risque que la police n'ait jamais à jouer.
Parler conformité avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.