Une fausse sécurité à six chiffres
Une PME lausannoise de 45 employés, active dans l'engineering mécanique, reçoit en mars 2024 une demande de rançon de 85 000 CHF après le chiffrement de ses serveurs de fichiers. Son assureur cyber refuse de couvrir la rançon elle-même, les frais de reconstruction des données non sauvegardées hors périmètre contractuel et les pénalités liées à la notification tardive à ses clients. Résultat : 112 000 CHF de pertes sur les 160 000 CHF de préjudice total — sans compter les trois semaines d'interruption partielle. Ce scénario n'est pas exceptionnel ; il illustre l'écart structurel entre la perception de la cyberassurance et sa réalité contractuelle.
Ce que couvre effectivement une police cyber suisse
Les postes de couverture standard
Les polices cyber commercialisées en Suisse — principalement par AXA, Zurich, Helvetia, Baloise et quelques courtiers spécialisés — convergent autour d'un socle commun, mais avec des plafonds et des franchises très variables selon la taille de l'entreprise et le secteur.
- Frais de réponse à incident : forensique numérique, investigation post-incident, frais d'un prestataire de crise (CSIRT externe). Plafonds typiques entre 50 000 et 250 000 CHF pour une PME de 20-100 employés.
- Frais de notification : depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) le 01.09.2023, la notification au PFPDT en cas de violation grave est obligatoire dans les meilleurs délais. Certaines polices couvrent les frais juridiques et administratifs liés à cette procédure.
- Perte d'exploitation (Business Interruption) : indemnisation du chiffre d'affaires non réalisé pendant la période d'interruption, avec une franchise temporelle (souvent 8 à 24 heures) et une durée maximale d'indemnisation (généralement 30 à 90 jours).
- Responsabilité civile cyber : couverture des dommages causés à des tiers par une violation de données, notamment si des données client sont compromises. Pertinent face aux obligations de l'PFPDT (Préposé fédéral à la protection des données).
- Extorsion et rançon : prise en charge partielle ou totale du paiement de rançon, sous conditions strictes (validation préalable de l'assureur, intervention d'un négociateur mandaté). Ce poste est de plus en plus restrictif depuis 2022.
- Frais de gestion de crise et communication : agence PR, hotline client, campagne de notification aux personnes concernées.
Ce que les plafonds ne disent pas
Un plafond de 500 000 CHF semble confortable pour une PME de 50 employés. En pratique, ce montant est consommé rapidement : une investigation forensique sérieuse coûte entre 15 000 et 60 000 CHF, la reconstruction d'un Active Directory compromis peut dépasser 20 000 CHF, et les frais juridiques liés à la nLPD — rédaction de la notification, analyse d'impact, coordination avec un DPO externe — atteignent facilement 8 000 à 15 000 CHF. Les sous-plafonds par poste (ex. : max 50 000 CHF pour la rançon sur une police à 500 000 CHF globaux) piègent régulièrement les assurés.
Les exclusions qui font mal
Exclusions techniques courantes
Les polices cyber comportent des exclusions qui ressemblent souvent à des clauses techniques anodines, mais qui s'activent précisément lors des incidents les plus graves.
- Absence de mesures de sécurité de base : la majorité des contrats suisses exigent une MFA active sur les accès distants (VPN, RDP, webmail). L'absence de MFA au moment de l'incident peut invalider la couverture, particulièrement si l'accès initial a exploité ce vecteur. Les CIS Benchmarks constituent souvent la référence implicite dans les questionnaires pré-souscription.
- Systèmes hors support : un serveur sous Windows Server 2012 R2 (fin de support étendu : 13.10.2023) ou Windows 7 dans le périmètre compromis peut entraîner un refus partiel ou total de couverture.
- Guerre et conflit étatique (war exclusion) : clause réactivée depuis les incidents NotPetya (2017). Plusieurs assureurs ont tenté de l'invoquer pour des attaques attribuées à des États. La délimitation reste juridiquement floue en droit suisse.
- Infrastructure cloud hors périmètre déclaré : si un environnement SaaS ou IaaS n'était pas mentionné dans le questionnaire de souscription, les incidents affectant cet environnement peuvent être hors couverture.
- Faute intentionnelle ou négligence grave : un collaborateur ayant désactivé l'EDR ou ignoré une alerte de sécurité documentée peut suffire à qualifier une négligence grave selon certaines polices.
- Dommages antérieurs à la prise d'effet : le dwell time moyen d'un attaquant avant détection est de 20 à 30 jours. Si l'intrusion initiale précède la date de souscription, l'incident peut être considéré comme antérieur à la couverture.
Exclusions liées à la nLPD et à la conformité réglementaire
La nLPD impose une notification au PFPDT en cas de violation pouvant entraîner un risque élevé pour les personnes concernées. Les amendes administratives prévues (jusqu'à 250 000 CHF en cas d'infraction pénale selon l'art. 60 et suivants nLPD) sont généralement exclues des polices cyber standard : les assureurs refusent de couvrir des sanctions pénales ou quasi-pénales. Les frais de mise en conformité post-incident (révision du ROPA, mise à jour des contrats sous-traitants, audit DPO) sont également rarement couverts.
Pour les entités soumises à la FINMA — banques, gérants de fortune, assureurs —, les exigences de notification et de résilience opérationnelle (circulaire 2023/1) imposent des délais et des documentations supplémentaires que la plupart des polices cyber génériques ne prennent pas en compte dans leur définition des frais couverts.
Questionnaire de souscription : le piège déclaratif
Le questionnaire pré-souscription est le document le plus sous-estimé du processus. Il détermine non seulement le tarif, mais surtout la validité de la couverture en cas de sinistre. Une fausse déclaration — même involontaire — peut entraîner la nullité du contrat selon les art. 6 et 8 de la Loi fédérale sur le contrat d'assurance (LCA).
Questions types à risque élevé :
- Disposez-vous d'un EDR/antivirus sur 100 % des endpoints ? — Une réponse « oui » avec 3 postes non gérés hors périmètre peut suffire à invalider.
- Effectuez-vous des sauvegardes hors ligne régulières ? — La fréquence, le test de restauration et l'isolation réseau du backup doivent correspondre à la réalité opérationnelle.
- Avez-vous un patch management formalisé ? — Un parc avec un délai moyen de patching supérieur à 30 jours pour les vulnérabilités critiques peut contredire une réponse affirmative.
- Utilisez-vous la MFA sur tous les accès distants ? — Vérifier port par port : VPN (UDP 1194, TCP 443), RDP (TCP 3389), portails webmail, accès admin cloud.
Recommandation : faire valider le questionnaire par le RSSI ou un auditeur avant signature, et conserver la version soumise comme pièce contractuelle.
Cas pratique : fiduciaire vaudoise, 38 employés
Contexte : Fiduciaire basée à Morges, 38 collaborateurs, parc de 45 endpoints (32 Windows 11 22H2, 8 macOS 14, 5 tablettes iOS), 3 serveurs Windows Server 2022 on-premise, accès à distance via VPN SSL. Données clients : dossiers fiscaux, comptabilités, données personnelles au sens nLPD. Police cyber souscrite en 2022, prime annuelle 4 200 CHF, plafond 300 000 CHF.
Incident (fictif, représentatif) : Le 14.02.2024, un credential stuffing sur le portail VPN (MFA non activée sur 4 comptes de direction) permet à un attaquant de déployer un ransomware. 80 % des fichiers serveur sont chiffrés. Le dwell time est estimé à 11 jours.
Décompte des coûts réels :
- Investigation forensique (prestataire externe, 4 jours) : 18 000 CHF
- Reconstruction serveurs et restauration backup : 9 500 CHF
- Perte d'exploitation (6 jours partiels) : 22 000 CHF
- Frais juridiques nLPD (notification PFPDT, analyse, coordination) : 11 000 CHF
- Communication clients (500 lettres recommandées + hotline) : 4 800 CHF
- Rançon non payée (décision de ne pas payer) : 0 CHF
- Total sinistre : 65 300 CHF
Prise en charge assureur :
- Investigation forensique : couverte à 100 % → 18 000 CHF
- Reconstruction : couverte → 9 500 CHF
- Perte d'exploitation : franchise temporelle 24h → 18 500 CHF couverts
- Frais juridiques nLPD : partiellement couverts (frais de notification uniquement, pas la révision ROPA) → 5 500 CHF
- Communication clients : couverte → 4 800 CHF
- Remboursement total : 56 300 CHF
- Reste à charge : 9 000 CHF + franchise contractuelle 2 500 CHF = 11 500 CHF
Point critique : l'assureur a considéré que l'absence de MFA sur 4 comptes constituait une déclaration inexacte par rapport au questionnaire initial (réponse « oui » à la question MFA). Après négociation via le courtier, la couverture a été maintenue avec une réduction de 15 % de l'indemnisation totale, soit 8 445 CHF déduits. Sans courtier expérimenté, la couverture aurait pu être contestée intégralement.
Procédure de réponse à incident suivie :
- DSI (J0, 07h30) : isolation réseau des serveurs touchés, coupure du VPN, activation du plan de continuité.
- RSSI (J0, 09h00) : notification interne à la direction, ouverture du ticket de sinistre auprès de l'assureur, mandatement du prestataire forensique.
- Juriste externe (J0, 14h00) : évaluation du risque nLPD, qualification de la violation (données personnelles sensibles de 312 clients identifiés dans les fichiers chiffrés).
- NCSC (J1) : signalement volontaire via le formulaire de signalement du NCSC, obtention d'un numéro de référence utile pour le dossier assureur.
- PFPDT (J3) : notification formelle, qualification du risque élevé confirmée, transmission du rapport préliminaire forensique.
- Direction (J4-J6) : décision de non-paiement de la rançon, communication aux clients concernés avec lettre recommandée.
- Assureur (J7) : remise du rapport forensique final, déclenchement de la procédure d'indemnisation.
- Post-incident (J30) : déploiement MFA sur tous les accès distants, revue du questionnaire d'assurance, mise à jour du ROPA.
Récapitulatif opérationnel
- Auditez le questionnaire de souscription avant signature et à chaque renouvellement. Toute réponse « oui » doit être documentée et vérifiable (MFA : logs d'authentification, EDR : inventaire complet des agents déployés).
- Listez précisément votre périmètre déclaré : endpoints on-premise, environnements cloud (tenant Azure AD, AWS, SaaS métier), accès distants actifs (ports TCP/UDP, protocoles). Une divergence entre périmètre déclaré et périmètre réel à la date du sinistre est le premier motif de contestation.
- Vérifiez les sous-plafonds par poste et non seulement le plafond global : forensique, rançon, perte d'exploitation, frais nLPD — chaque ligne peut avoir un sous-plafond indépendant.
- Identifiez les clauses d'exclusion systèmes hors support et dressez l'inventaire OS de votre parc (Windows 11 23H2, macOS 14 Sonoma, Server 2019/2022 = OK ; Windows 10 21H2, Server 2012 = risque d'exclusion).
- Prévoyez un budget de frais nLPD hors police : les frais de mise en conformité post-incident (révision ROPA, contrats DPA sous-traitants, audit DPO) ne sont généralement pas couverts. Prévoir 8 000 à 20 000 CHF selon la taille du parc de données.
- Testez votre plan de réponse à incident au moins une fois par an (tabletop exercise) et documentez les résultats : certains assureurs commencent à exiger cette preuve à la souscription.
- Conservez le numéro de référence NCSC après signalement : il est accepté par plusieurs assureurs comme preuve de déclaration dans les délais, ce qui peut conditionner la couverture.
- Mandatez un courtier spécialisé cyber (pas un généraliste) capable de lire les clauses d'exclusion et de négocier les sous-plafonds — l'écart entre deux polices au même tarif peut représenter 40 000 CHF de couverture effective.
- Anticipez la guerre clause : demandez explicitement à votre assureur sa politique d'attribution en cas de cyberattaque étatique — et obtenez une réponse écrite avant sinistre.
Des outils comme ceux proposés par SynGuard (MDM, gestion des endpoints, conformité) permettent de documenter en continu l'état réel du parc — une traçabilité utile aussi bien pour les questionnaires de souscription que pour les dossiers de sinistre.
Sources
- Loi fédérale sur la protection des données (nLPD) — fedlex.admin.ch — Texte consolidé de la nLPD en vigueur depuis le 01.09.2023, base légale des obligations de notification.
- Obligations de notification — PFPDT (edoeb.admin.ch) — Procédure et conditions de notification au Préposé fédéral en cas de violation de données.
- Signalement d'incidents — NCSC (ncsc.admin.ch) — Formulaire officiel de signalement d'incidents cyber, utilisable par les PME suisses.
- CIS Benchmarks — Center for Internet Security — Référentiels de configuration sécurisée utilisés comme standard implicite dans les questionnaires de cyberassurance.
- FINMA — Autorité fédérale de surveillance des marchés financiers — Exigences de résilience opérationnelle et obligations de notification pour les entités régulées.