20 juin 2026Sécurité

Cyberassurance suisse : couvertures réelles, exclusions et pièges contractuels

Une PME romande qui souscrit une cyberassurance sans auditer ses exclusions découvre souvent, lors d'un sinistre, que 60 à 80 % des coûts restent à sa charge. Voici ce que couvrent réellement les polices disponibles en Suisse, et comment éviter les clauses qui annulent la garantie.

Par ZRS-Holding Sàrl·8 min de lecture·276 lectures
Partager

Une fausse sécurité à six chiffres

En 2023, le coût médian d'un incident de ransomware pour une PME suisse de 50 à 150 collaborateurs se situait entre CHF 180 000 et CHF 450 000, selon les estimations du Centre national pour la cybersécurité (NCSC) et les analyses du marché de l'assurance. Pourtant, la majorité des polices cyberassurance souscrites par ces mêmes entreprises comportent des exclusions qui réduisent l'indemnisation effective à moins de la moitié de ce montant. Connaître la structure exacte d'une police avant le sinistre n'est pas une option.

Anatomie d'une police cyberassurance en Suisse

Les garanties effectivement incluses

La majorité des assureurs suisses actifs sur ce segment (AXA, Zurich, Helvetia, Allianz Suisse, Baloise) structurent leurs produits autour de quatre blocs :

  • Frais de réponse à incident : honoraires d'un prestataire forensique, restauration des données, communication de crise. Plafonds typiques : CHF 100 000 à CHF 500 000 selon la prime.
  • Perte d'exploitation : manque à gagner pendant l'interruption, souvent limité à 30 à 90 jours et soumis à un délai de carence de 8 à 24 heures.
  • Responsabilité civile tiers : demandes de dommages-intérêts de clients, partenaires ou personnes concernées dont les données ont été compromises — directement lié aux obligations de la nouvelle loi fédérale sur la protection des données (nLPD).
  • Frais de notification réglementaire : coûts d'envoi des notifications aux personnes concernées et au Préposé fédéral à la protection des données et à la transparence (PFPDT), parfois limités à CHF 25 000.

Certaines polices premium ajoutent la prise en charge des rançons (sous réserve d'autorisation des autorités), la défense pénale et la couverture des amendes administratives — ce dernier point reste légalement complexe en Suisse, les amendes prononcées à titre personnel n'étant pas assurables selon l'article 100 CO.

La structure de la prime : ce qui pilote le tarif

Pour une PME de 50 endpoints sous Windows 11 avec un chiffre d'affaires de CHF 8 millions, la prime annuelle se situe généralement entre CHF 4 500 et CHF 12 000 pour une couverture de CHF 1 million. Les critères de tarification déterminants sont :

  • Existence d'une authentification multifacteur (MFA) sur la messagerie et le VPN — son absence peut augmenter la prime de 30 à 50 % ou déclencher un refus.
  • Fréquence des sauvegardes hors ligne (air-gap) et test de restauration documenté.
  • Présence d'un EDR ou d'un antivirus managé avec alertes centralisées.
  • Segmentation réseau entre les postes utilisateurs et les serveurs ou NAS.
  • Formation phishing documentée dans les 12 derniers mois.

Ces éléments ne sont pas seulement des critères de tarification : leur absence au moment du sinistre peut constituer une fausse déclaration et annuler la garantie.

Les exclusions qui font mal : lecture critique des clauses

La clause de guerre et de conflit étatique

Depuis les affaires Lloyd's concernant NotPetya (2017), la quasi-totalité des assureurs ont intégré des exclusions pour les cyberattaques attribuables à un État. La difficulté : l'attribution est rarement certaine pendant les premières semaines. Une attaque utilisant un exploit d'origine russe ou nord-coréenne peut être contestée par l'assureur même si aucune attribution officielle n'a été prononcée. Certains contrats exigent une attribution formelle par un gouvernement reconnu — ce qui n'arrive que dans une minorité de cas.

La clause de négligence grossière

C'est l'exclusion la plus fréquemment invoquée en Suisse. Elle couvre typiquement :

  • Absence de correctifs critiques plus de 30 jours après leur publication (ex. : CVE avec score CVSS ≥ 9.0 non patché).
  • Utilisation de systèmes en fin de support (Windows Server 2012, macOS 12 sur des postes critiques).
  • Mots de passe administrateur partagés ou stockés en clair.
  • RDP exposé directement sur Internet (port TCP 3389 accessible sans VPN).

Ces conditions sont évaluées a posteriori lors de l'investigation forensique. Un assureur qui mandate un prestataire d'investigation a accès aux logs, aux configurations et aux journaux d'événements Windows (Event ID 4625, 4648, 4768) — il dispose de preuves techniques pour contester.

La clause de couverture insuffisante (underinsurance)

Une PME qui déclare un chiffre d'affaires de CHF 5 millions mais dont le parc informatique gère en réalité des données pour CHF 15 millions de transactions peut se voir opposer une règle proportionnelle. Les frais de notification nLPD seuls, pour une base de 8 000 clients (envoi postal, centre d'appels, frais juridiques), peuvent atteindre CHF 60 000 à CHF 120 000 — un montant souvent sous-évalué lors de la souscription.

Les délais de déclaration

La majorité des polices imposent une notification à l'assureur dans les 24 à 72 heures suivant la découverte de l'incident. En parallèle, la nLPD impose une notification au PFPDT dans les meilleurs délais (sans délai fixe chiffré dans la loi, mais l'ordonnance OPDo vise 72 heures pour les cas graves). Ces deux délais doivent être gérés simultanément. La procédure de notification d'une violation au PFPDT est disponible sur le site de l'autorité — elle doit être intégrée dans le runbook incident avant tout sinistre.

Obligations nLPD et articulation avec l'assurance

Ce que la nLPD exige concrètement

Entrée en vigueur le 01.09.2023, la nLPD impose au responsable du traitement de notifier le PFPDT en cas de violation de sécurité susceptible d'entraîner un risque élevé pour les personnes concernées. Les sanctions pénales visent les personnes physiques (dirigeants, responsables IT) jusqu'à CHF 250 000 d'amende. Ces amendes personnelles ne sont pas assurables. En revanche, les coûts de défense juridique, la communication aux personnes concernées et les dommages-intérêts civils le sont, selon la police.

Registre des activités et documentation : preuves pour l'assureur

L'article 12 nLPD oblige les entreprises de plus de 250 collaborateurs (et celles qui traitent des données sensibles à grande échelle) à tenir un registre des activités de traitement. Ce registre, couplé à une politique de sécurité documentée, constitue aussi la première ligne de défense contractuelle face à l'assureur : il prouve que des mesures organisationnelles existaient avant l'incident. Une PME de 80 collaborateurs dans le secteur fiduciaire qui traite des données fiscales de 1 200 clients entre dans cette obligation indirectement via la sensibilité des données.

Cas pratique : fiduciaire vaudoise, 65 postes, incident ransomware

Contexte : Fiduciaire Dupraz & Associés SA, Lausanne, 65 endpoints (Windows 11 22H2, 3 serveurs Windows Server 2019), 1 NAS Synology utilisé comme sauvegarde locale. CA : CHF 4,2 millions. Police cyberassurance : plafond CHF 500 000, prime annuelle CHF 6 800. Incident : chiffrement complet du NAS et de deux serveurs par ransomware LockBit 3.0 le 14.03.2024 à 02h17, détecté à 08h30.

Chronologie et coûts réels :

  1. J0, 08h30 — Détection et isolation : déconnexion manuelle des switches (pas d'EDR avec réponse automatisée). Appel au prestataire forensique : CHF 1 200/jour, 4 jours = CHF 4 800.
  2. J0, 10h00 — Notification assureur : déclaration transmise dans le délai contractuel de 24h. L'assureur mandate son propre expert (clause de contrôle d'intervention).
  3. J0, 14h00 — Notification PFPDT : données de 1 200 clients (données fiscales = données sensibles au sens nLPD). Formulaire transmis. Frais juridiques : CHF 3 500.
  4. J1-J5 — Restauration : sauvegardes locales chiffrées, sauvegardes cloud (Veeam vers Azure) avec RPO de 4h. Restauration complète en 68 heures. Coût main-d'œuvre externe : CHF 18 000.
  5. J5-J10 — Notification clients : 1 200 courriers recommandés + centre d'appels externalisé. Coût total : CHF 22 000.
  6. J10-J30 — Perte d'exploitation : facturation réduite de 40 % pendant 3 semaines = CHF 98 000 de manque à gagner.

Coût total incident : CHF 146 300.

Indemnisation effective : L'assureur a contesté CHF 38 000 de perte d'exploitation au motif que le délai de carence de 12 heures n'était pas atteint lors des premières heures, et que la configuration RDP exposée (port 3389 ouvert sans VPN sur un serveur de rebond) constituait une négligence grossière contractuellement définie. Indemnisation nette : CHF 71 500, soit 49 % du sinistre.

Enseignement : la fermeture préventive du port TCP 3389 (ou sa mise derrière un VPN avec MFA) et un test de restauration documenté auraient probablement évité la clause de négligence. Le coût de ces mesures : moins de CHF 2 000 en temps sysadmin.

Récapitulatif opérationnel

  • Avant la souscription : faire auditer les 10 contrôles de base CIS Controls (IG1) — les assureurs les utilisent comme grille d'évaluation.
  • Lire clause par clause : identifier les définitions contractuelles de « négligence grossière », « état de l'art » et « conflit étatique » avant signature.
  • Aligner les délais : cartographier les 72h de notification PFPDT (nLPD), les 24-72h de déclaration assureur, et les délais de notification clients dans un seul runbook incident.
  • Documenter les mesures de sécurité : patches (date, CVE, version), tests de restauration (date, RPO/RTO mesuré), formation phishing (date, taux de clics). Ces preuves sont opposables à l'assureur.
  • Fermer les vecteurs d'entrée évidents : désactiver RDP direct sur Internet, activer MFA sur M365/Google Workspace et VPN, bloquer l'exécution de macros Office non signées.
  • Vérifier la cohérence du plafond : calculer les frais de notification (N clients × CHF 8-15 par envoi recommandé + centre d'appels + juridique) et comparer au sous-plafond « frais de notification » de la police.
  • Tester annuellement : simuler un incident tabletop avec DSI, RSSI, direction et juriste pour identifier les lacunes procédurales avant qu'un assureur ne les découvre à votre place.
  • Ne pas confondre assurance et prévention : une police ne réduit pas la surface d'attaque. Les outils MDM et de gestion des correctifs restent la première ligne — l'assurance couvre le résidu.

SynGuard accompagne les PME romandes dans la documentation de leur posture de sécurité endpoints, un prérequis souvent demandé lors du renouvellement ou de la première souscription d'une police cyberassurance.

Sources

Noter cet article

Pas encore de note