14 juillet 2026Sécurité

Cyberassurance suisse : couvertures réelles, exclusions cachées

Un sinistre ransomware coûte en moyenne 6 à 18 mois de travail de remédiation — et votre police cyberassurance refusera peut-être d'indemniser si votre MFA n'était pas activé. Tour d'horizon des garanties effectives et des pièges contractuels pour les PME suisses.

Par ZRS-Holding Sàrl·9 min de lecture·17 lectures
Partager

Une fausse sécurité qui coûte cher

Souscrire une cyberassurance n'immunise pas contre un incident ; cela transfère une partie du risque financier — à condition de remplir les conditions contractuelles. Or, lors d'un sinistre ransomware, les assureurs suisses refusent aujourd'hui entre 20 % et 35 % des demandes d'indemnisation, principalement pour non-respect des prérequis de sécurité déclarés à la souscription. Pour un DSI ou un RSSI de PME, comprendre ces mécanismes avant la signature vaut mieux que de les découvrir après l'incident.

Ce que la police couvre — et dans quelles limites

Frais de réponse à incident

La majorité des polices suisses du marché (Zurich, Helvetia, AXA XL, Allianz Cyber) incluent une couverture des frais directs de réponse à incident : investigation forensique, containment, restauration des systèmes. Les plafonds varient fortement : entre CHF 150 000 et CHF 2 500 000 selon la prime annuelle. Point critique : l'assureur désigne généralement son propre prestataire forensique. Si vous avez déjà mandaté un tiers avant de déclarer le sinistre, les frais engagés sont souvent non remboursables. La procédure type impose une notification à l'assureur dans les 24 à 72 heures suivant la détection.

Interruption d'activité (Business Interruption)

Le poste le plus litigieux. La plupart des polices prévoient un délai de carence de 8 à 24 heures avant déclenchement de l'indemnisation, avec une franchise en jours (souvent 2 jours ouvrables). Le calcul repose sur la marge brute journalière déclarée à la souscription — si vous avez sous-déclaré votre chiffre d'affaires pour réduire la prime, la règle proportionnelle s'applique et l'indemnisation est réduite d'autant. Pour une PME de 60 personnes avec un CA de CHF 8 millions, la marge brute journalière représente environ CHF 10 000 à 15 000 : deux semaines de remédiation, c'est potentiellement CHF 70 000 à 105 000 de perte non couverte si la franchise n'est pas calibrée correctement.

Responsabilité civile cyber

Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) le 01.09.2023, les entreprises suisses s'exposent à des sanctions pénales personnelles (jusqu'à CHF 250 000 d'amende) et à des actions civiles en cas de violation de données. La couverture RC cyber d'une police standard prend en charge les frais de défense, les dommages-intérêts à des tiers et les frais de notification aux personnes concernées. Ce dernier poste est souvent sous-estimé : pour 10 000 personnes à notifier (emails, lettres, hotline), le coût réel dépasse CHF 50 000.

Rançon et extorsion

Le paiement de rançon reste légal en Suisse mais contraire aux recommandations du Centre national pour la cybersécurité (NCSC). Certaines polices couvrent la rançon jusqu'à un sous-plafond spécifique (souvent 10 à 20 % du plafond global). Attention aux clauses de sanction internationale (OFAC, listes UE) : si le groupe ransomware est sanctionné, le paiement — et donc le remboursement — peut être bloqué légalement, ce qui rend la couverture théorique.

Les exclusions qui surprennent

Défaillances de sécurité connues et non corrigées

C'est l'exclusion la plus fréquemment invoquée. Si à la date du sinistre une vulnérabilité exploitée était référencée dans les CIS Benchmarks ou dans un bulletin officiel depuis plus de 30 jours sans que le correctif ait été appliqué, l'assureur peut qualifier cela de « négligence grave » et réduire ou refuser l'indemnisation. Ce délai de 30 jours figure explicitement dans certains contrats helvétiques depuis 2022.

Absence de MFA sur les accès critiques

Depuis mi-2022, pratiquement tous les assureurs cyber actifs en Suisse incluent une déclaration de conformité minimale : MFA activé sur messagerie, VPN, accès cloud et interfaces d'administration. Si vous avez coché « oui » dans le questionnaire de souscription mais qu'au moment du sinistre le MFA n'était effectivement pas déployé sur tous les comptes concernés, c'est une fausse déclaration — les conséquences vont de la réduction de l'indemnisation à la nullité de la police.

Incidents antérieurs non déclarés

Une exfiltration de données survenue six mois avant la souscription et non déclarée constitue un vice de consentement. Avec l'obligation de tenue d'un registre des activités de traitement imposée par la nLPD aux entreprises de taille significative, les traces d'un incident antérieur sont désormais plus facilement identifiables lors d'un audit post-sinistre.

Guerre, cyberguerre et actes d'État

La clause « war exclusion » a fait jurisprudence au niveau international (affaire NotPetya / Merck, US, 2023). En Suisse, les polices modernes tentent de définir contractuellement la notion d'« acte de cyberguerre étatique ». La délimitation reste floue : une campagne APT attribuée à un État tiers, ayant frappé votre PME via un prestataire cloud, tombe-t-elle dans l'exclusion ? La réponse dépend des clauses spécifiques et de l'attribution, souvent incertaine. Ce risque résiduel est non-assurable en pratique.

Pannes d'infrastructure non malveillantes

Une coupure AWS ou Azure qui paralyse votre SaaS métier n'est pas un cyberincident au sens de la police. La couverture d'interruption d'activité exige typiquement une cause malveillante avérée. Quelques assureurs proposent des extensions « contingent business interruption » pour les dépendances cloud critiques, mais ces riders augmentent la prime de 15 à 25 %.

Cyberassurance et conformité nLPD : une interaction directe

La nLPD impose une obligation de signalement des violations de données à haute probabilité de risque auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais. Cette obligation administrative est indépendante de l'assurance, mais elle interagit avec elle de deux façons :

  • Délai de notification vs délai d'expertise forensique : l'assureur peut demander un rapport forensique complet avant de valider la couverture, ce qui peut prendre 5 à 10 jours ouvrables. Le PFPDT s'attend à une notification rapide. Ces deux horloges tournent en parallèle et doivent être gérées simultanément.
  • Registre des violations : les entreprises doivent tenir un registre interne des violations (art. 8 nLPD et OPDo). Ce registre devient une pièce à conviction dans la procédure de sinistre — s'il montre un historique de vulnérabilités non traitées, l'assureur s'en servira.

Pour les entreprises du secteur financier régulées par la FINMA, les exigences de notification sont encore plus strictes (circulaire 2023/1) et doivent être intégrées dans les SLA de réponse à incident définis dans la police.

Cas pratique : fiduciaire vaudoise de 45 collaborateurs

Contexte : Cabinet fiduciaire à Lausanne, 45 ETP, CA CHF 6,2 millions, parc de 52 endpoints (38 Windows 11 23H2, 14 macOS 14 Sonoma), hébergement OnPremise + Microsoft 365. Police cyberassurance souscrite en mars 2023 pour CHF 28 000/an, plafond CHF 1 500 000.

Incident (15.03.2024) : Chiffrement ransomware via un compte de service RDP exposé sur le port TCP 3389 sans MFA. 34 endpoints chiffrés, serveur de fichiers inaccessible. Durée d'interruption totale : 11 jours ouvrables.

Déroulé de la déclaration de sinistre :

  1. J+0 (détection, 15.03, 07h40) : DSI isole le segment réseau, contacte l'assureur via la hotline 24/7 — ticket ouvert dans l'heure.
  2. J+0 (10h00) : L'assureur mandate son prestataire forensique ; le DSI doit fournir accès aux logs Windows Event, pare-feu, M365 Unified Audit Log.
  3. J+1 : Direction notifie le PFPDT (risque élevé : données fiscales clients). Juriste externe co-rédige la notification.
  4. J+3 : Rapport forensique préliminaire confirme vecteur RDP sans MFA. L'assureur soulève immédiatement la clause MFA du questionnaire de souscription : le cabinet avait déclaré « MFA activé sur les accès distants ».
  5. J+5 : Négociation avec l'assureur. Le RSSI produit des captures d'écran Azure AD montrant que le MFA était activé sur M365 mais pas sur le gateway RDP natif Windows. L'assureur applique une réduction de 40 % de l'indemnisation pour fausse déclaration partielle.
  6. J+11 : Systèmes restaurés depuis backup (RPO 24h, perte d'une journée de saisies).
  7. J+30 : Règlement définitif : CHF 142 000 versés (forensique CHF 38 000, BI 9 jours à CHF 8 500/jour après franchise = CHF 76 500, frais de notification PFPDT CHF 27 500) — sur un total de coûts réels de CHF 237 000. Delta à la charge du cabinet : CHF 95 000, en grande partie dû à la réduction MFA.

Leçon : le MFA doit être déployé sur tous les vecteurs d'accès distants documentés dans le questionnaire de souscription, pas uniquement sur les applications SaaS. Un audit de conformité pré-souscription, réalisé en 2 heures par le RSSI ou via un outil MDM, aurait évité CHF 95 000 de découvert.

Récapitulatif opérationnel

  • Avant souscription : réaliser un inventaire exhaustif des vecteurs d'accès distants (RDP, VPN, SSH, interfaces cloud) et vérifier que le MFA est effectivement actif sur chacun — pas seulement déclaré.
  • Questionnaire de souscription : répondre avec le RSSI et un juriste présents ; toute sur-déclaration de maturité sécurité constitue un risque de nullité de police.
  • Politique de patching : documenter les cycles de correctifs (cible : critiques sous 72h, élevés sous 7 jours) et conserver les preuves de déploiement — ces logs seront demandés lors d'un sinistre.
  • Franchises et sous-plafonds : vérifier explicitement le délai de carence BI (en heures), le sous-plafond rançon, et les extensions cloud/tiers ; ne pas supposer que le plafond global s'applique à chaque poste.
  • Clause war exclusion : demander à l'assureur une définition contractuelle précise de « cyberguerre étatique » et l'attribution requise pour déclencher l'exclusion.
  • Plan de réponse à incident : documenter la procédure de notification à l'assureur (numéro hotline, délai maximal, contacts désignés) dans le runbook IR, distinct de la procédure PFPDT.
  • Registre des violations nLPD : maintenir un registre formel des incidents de sécurité même mineurs — il démontre la bonne foi mais ne doit pas révéler des manquements structurels non corrigés.
  • Révision annuelle : soumettre une mise à jour du questionnaire à chaque renouvellement si le parc, les prestataires cloud ou l'architecture ont évolué — un changement non déclaré peut invalider la couverture.
  • Test de la police : simuler un exercice tabletop incluant la déclaration à l'assureur pour vérifier que les délais contractuels sont tenables avec votre organisation réelle.

Des outils de gestion de parc et de conformité endpoint — comme ceux proposés par SynGuard — permettent de générer les preuves de configuration (MFA, patching, chiffrement disque) nécessaires lors d'un sinistre, directement exportables pour l'assureur ou le forensicien.

Sources

Noter cet article

Pas encore de note