Article original publié dans le magazine Swiss IT, mars 2026
Une cyberassurance ne remplace pas les mesures de sécurité informatique, mais les rend indispensables. Si la police d'assurance permet d'amortir les risques financiers, le versement des indemnités en cas de sinistre est soumis à des conditions techniques strictes. Les obligations imposées par les assureurs – de l'authentification multifactorielle (MFA) sans faille à la gestion structurée des correctifs, en passant par des sauvegardes sécurisées – déterminent depuis longtemps déjà l'architecture des infrastructures informatiques modernes. C’est dans la documentation informatique, entre la signature du contrat et la survenance d’un sinistre, que se joue la question de savoir si la couverture d’assurance s’applique réellement.
Dans la gestion d’entreprise moderne, les cyberassurances se sont imposées comme un élément incontournable de la gestion des risques. La logique qui sous-tend cette évolution est compréhensible : la sécurité absolue étant techniquement impossible à atteindre dans les environnements informatiques en réseau, le risque résiduel doit être couvert financièrement. Cependant, cette approche s’avère insuffisante dans la pratique opérationnelle. Face à l’aggravation des menaces, les assureurs renforcent sans cesse leurs exigences techniques. Une cyberassurance ne fonctionne pas comme une couverture « tous risques » qui intervient sans condition, mais comme un contrat complexe dont l’efficacité dépend directement de l’état technique de l’infrastructure informatique.
Du point de vue d’un prestataire informatique, cela modifie considérablement son rôle : le prestataire devient le garant de l’assurabilité. En cas de sinistre, ce ne sont pas tant les interprétations juridiques qui priment, mais les faits techniques documentés dans les fichiers journaux, les configurations et les protocoles. Aujourd’hui, la faille la plus critique dans la gestion des risques n’est souvent pas l’absence de pare-feu, mais l’écart entre les engagements contractuels en matière de sécurité et la réalité informatique telle qu’elle est vécue au sein de l’entreprise.
Chaque cyberassurance définit ce que l'on appelle des « obligations ». Il s'agit de mesures techniques et organisationnelles qui doivent non seulement être respectées au moment de la conclusion du contrat, mais dont le respect doit également être prouvé pendant toute la durée du contrat. Pour l’exploitation informatique, ces clauses agissent comme un cahier des charges dynamique qui influence les décisions architecturales essentielles.
L’authentification multifactorielle (MFA) constitue un élément central. Alors que la MFA est aujourd’hui considérée comme la norme pour les accès à distance et les comptes privilégiés, le défi réside dans sa mise en œuvre sans faille. Dans la pratique, on constate régulièrement des angles morts : des systèmes hérités ne prenant pas en charge la MFA, des accès de maintenance externes fournis par les fabricants de machines ou des comptes de service destinés aux processus automatisés. Si une attaque survient via l’une de ces exceptions, l’accusation de négligence grave plane immédiatement. L’authentification multifactorielle doit donc être mise en œuvre au niveau architectural de manière à ce que les exceptions soient soit techniquement empêchées, soit explicitement justifiées et documentées dans le cadre de la gestion des risques.
Il en va de même pour la gestion des correctifs. Les assureurs définissent aujourd’hui des délais précis pour l’installation des mises à jour de sécurité critiques — souvent entre 7 et 14 jours après leur mise à disposition. Ces délais entrent souvent en conflit avec les réalités opérationnelles, car les mises à jour doivent être validées au préalable dans des environnements de test afin de ne pas compromettre la stabilité des applications métier. Or, si une vulnérabilité pour laquelle un correctif était disponible depuis des semaines est exploitée, une réduction des prestations par l’assureur est presque inévitable. La gestion des correctifs passe ainsi d’une simple tâche de maintenance technique à une obligation de conformité, dans laquelle la documentation de l’état d’avancement des mises à jour est tout aussi importante que l’installation elle-même.
La sauvegarde est considérée comme la dernière ligne de défense d’une entreprise. Mais là encore, les exigences des assureurs ont considérablement évolué. La règle classique du 3-2-1 — trois copies, deux supports différents, une copie hors site — est de plus en plus complétée par des exigences en matière de renforcement de la sécurité. Aujourd’hui, l’inaltérabilité (immutabilité) ou la séparation logique des sauvegardes du reste du réseau est déterminante.
Les auteurs d’attaques par ransomware modernes ciblent spécifiquement les sauvegardes en ligne afin de les supprimer ou de les corrompre avant le chiffrement proprement dit. Une sauvegarde dans le cloud accessible via les mêmes comptes administratifs que les systèmes de production ne répond plus aux exigences de nombreuses polices d’assurance actuelles. Des concepts tels que les sauvegardes immuables ou les solutions « air-gap » sont désormais indispensables. Du point de vue de MTF Solutions, la séparation logique de l’infrastructure de sauvegarde devrait aujourd’hui faire partie des normes incontournables ; or, dans la pratique, on constate régulièrement que cela n’est pas encore systématiquement mis en œuvre par les entreprises, ni même par de nombreux prestataires informatiques.
Un autre point tout aussi critique est la vérification régulière de la capacité de restauration. Une sauvegarde dont la capacité de restauration n’est pas testée systématiquement au moins une fois par trimestre et dont les résultats ne sont pas consignés de manière exhaustive peut réserver de mauvaises surprises en cas d’urgence. Les entreprises qui, en cas de sinistre, ne peuvent justifier ni de sauvegardes logiquement isolées ni de tests de restauration documentés risquent de voir leur assurance refuser de prendre en charge les coûts d’une restauration de données complexe, car le concept de sauvegarde ne correspondait pas à l’état de la technique convenu.
"Une cyberassurance ne remplace pas une base de sécurité solide, mais la présuppose. Il est essentiel que les mesures techniques, les responsabilités et les justificatifs soient correctement mis en œuvre, réglementés et documentés avant même qu'un incident ne se produise."
En cas de sinistre, l'assureur fait généralement appel à des experts en informatique légale. Leur mission consiste à reconstituer le déroulement de l'attaque et à vérifier si les obligations contractuelles ont été respectées au moment de l'incident. On assiste ici à un renversement de fait de la charge de la preuve : l’entreprise assurée doit pouvoir prouver que les mesures de protection convenues étaient actives.
Concrètement, cela signifie qu’il ne suffit pas d’avoir utilisé un pare-feu : il faut pouvoir prouver qu’il était correctement configuré. Si un rançongiciel a non seulement chiffré des données, mais aussi effacé les serveurs de journalisation, la chaîne d’argumentation face à l’assureur s’effondre. Un système informatique conforme aux exigences d’audit nécessite donc une journalisation centralisée avec une conservation sur plusieurs années, une documentation de configuration versionnée, des tests de restauration consignés et une gestion des identités rigoureusement documentée. Cette obligation de preuve fait des fonctions de reporting des systèmes modernes de gestion informatique des éléments essentiels pour la couverture d’assurance.
Même si toutes les conditions techniques sont remplies, il existe des clauses d’exclusion qui entrent en jeu en cas de sinistre. La négligence grave constitue souvent un sujet de litige. La frontière entre une simple négligence et une faute grave est floue. Alors qu’un système non mis à jour depuis des mois est généralement considéré comme relevant d’une négligence grave, de légers dépassements de délais font déjà entrer la situation dans une zone grise juridique. Un processus structuré et documenté peut, en cas de doute, jouer en votre faveur.
Les systèmes en fin de vie (EOL) méritent une attention particulière. L’exploitation de serveurs ou d’applications pour lesquels le fabricant n’assure plus de support entraîne souvent l’exclusion totale de la couverture en cas d’attaques visant ces composants. Les clauses relatives à la guerre et à la cyberguerre sont tout aussi complexes. Les attaques pouvant être attribuées à des acteurs étatiques sont souvent exclues de la couverture d’assurance. Cependant, comme l’attribution technique d’une attaque est extrêmement difficile, cela donne souvent lieu à de longs litiges juridiques.
En cas de cyberattaque, des intérêts contradictoires apparaissent souvent. Le service informatique et l’entreprise ont pour objectif de rétablir les systèmes le plus rapidement possible afin de minimiser les pertes d’exploitation. L’assureur et les experts en criminalistique ont en revanche besoin de temps pour préserver l’état des systèmes infectés en vue de l’analyse des causes et de la conservation des preuves. Ce conflit d’intérêts ne peut être résolu que par un plan de réponse aux incidents défini au préalable. Un tel plan régit non seulement les procédures techniques, mais aussi les exigences organisationnelles de l’assureur. De nombreuses compagnies d’assurance n’acceptent par exemple que certains prestataires de services d’expertise informatique certifiés. Si la mission est confiée de manière arbitraire, cela peut compromettre le droit aux prestations. Les technologies modernes, telles que les sauvegardes basées sur des instantanés, permettent aujourd’hui de préserver l’état du système pour les enquêteurs, tandis que la production peut déjà redémarrer sur des copies isolées et « propres ». Sans de telles mesures techniques, l’analyse prend un temps précieux, ce qui prolonge inutilement l’interruption d’activité.
La souscription d’une cyberassurance ne doit donc pas être une démarche isolée de la direction ou du courtier en assurance. Un audit technique réalisé par les responsables informatiques ou le fournisseur d’accès est absolument indispensable. Le questionnaire sur les risques doit être vérifié point par point. Tout engagement concernant l’authentification multifactorielle (MFA) ou les intervalles de sauvegarde doit pouvoir être justifié techniquement. Une indication imprécise peut, en cas de sinistre, entraîner la perte de l’intégralité de la couverture. Dans de nombreux cas, il est conseillé de rendre transparentes les failles de sécurité existantes ou les systèmes hérités. Les assureurs acceptent souvent des dérogations temporaires lorsqu’un plan de migration clair est présenté. Une comparaison annuelle entre les exigences de l’assurance et l’état réel de l’infrastructure informatique garantit le maintien de la protection, même après des migrations vers le cloud ou des changements d’infrastructure.
Les cyberassurances ne remplacent pas la sécurité informatique, mais la présupposent. Les obligations requises s'appuient sur des bonnes pratiques établies, qui seraient de toute façon nécessaires pour garantir une infrastructure informatique robuste, même en l'absence de couverture d'assurance. La généralisation de ces polices a toutefois pour effet secondaire positif de professionnaliser les exigences en matière de qualité de la sécurité informatique.
Pour les entreprises, cela signifie que le rôle du prestataire informatique s’étend de la simple exploitation des systèmes à un partenariat stratégique en matière de gestion des risques. Les PME ont tout intérêt à coordonner étroitement la validation technique de leurs polices d’assurance avec des experts. Des partenaires tels que MTF Solutions apportent un soutien déterminant pour établir durablement le lien entre les exigences contractuelles et la pratique quotidienne de l’exploitation informatique. Ce n’est que si l’infrastructure est configurée, surveillée et documentée de manière à résister à un examen médico-légal que la cyberassurance offre la protection souhaitée. En cas d’urgence, c’est la force probante technique qui fait la différence. Ceux qui font le travail nécessaire en collaboration avec des professionnels disposent d’un filet de sécurité solide. Sans cette préparation, la police d’assurance ne reste souvent, en cas de crise, qu’un document coûteux sans contrepartie.