Assurance cyber pour une PME : est-ce que ça vaut le coup ?
Ce que l'assurance cyber couvre vraiment, ce qu'elle coûte, les exclusions qui mordent au moment du sinistre, et comment décider si votre PME en a besoin ou peut s'auto-assurer.
L'assurance cyber vaut le coup pour la plupart des PME, mais pas pour la raison qui pousse les gens à l'acheter, et pas avant d'avoir fait les choses pas chères d'abord.
Les gens l'achètent en imaginant un versement. La vraie valeur, celle qui justifie la prime neuf fois sur dix, c'est la réponse à incident qui vient avec. Quand vous avez une fuite à 23h, la police vous donne un numéro qui vous met en relation avec des experts en investigation, un avocat spécialisé, un négociateur et une agence de communication qui font ça chaque semaine. Une entreprise de 30 personnes n'a aucun de ces contacts sous la main et passerait les 48 premières heures critiques juste à chercher qui appeler. Cet accès à un panel d'intervenants vaut souvent plus que l'indemnité.
Ce que vous achetez vraiment
Une police cyber a en général deux moitiés. La première partie couvre vos propres pertes : réponse à incident, investigation, interruption d'activité, restauration des données, cyber-extorsion, parfois la rançon elle-même. La responsabilité civile couvre votre responsabilité envers les tiers : réclamations de clients dont les données ont fuité, défense réglementaire, amendes là où elles sont légalement assurables.
Pour la plupart des PME, le volet première partie fait le gros du travail, parce que les coûts dominants d'un incident (remise en état, arrêt, réponse) sont vos propres coûts, pas des procès intentés par d'autres. Le volet responsabilité civile compte d'autant plus que les données que vous détenez sont sensibles et que votre juridiction est procédurière. Une entreprise américaine détenant des données de santé pondère bien plus la responsabilité civile qu'un industriel européen.
Le prix, et le nouveau filtre à l'entrée
Les primes pour une petite entreprise sont en général de quelques milliers d'euros par an pour une limite modeste, croissant avec le chiffre d'affaires, le risque sectoriel et la limite choisie. Ça, c'est la partie facile à connaître.
La réalité plus dure depuis l'explosion des ratios de sinistralité ransomware de 2020 à 2021 : les assureurs sont devenus stricts. Le formulaire est maintenant un questionnaire de contrôles. MFA partout, surtout sur les accès distants et la messagerie. Sauvegardes hors ligne ou immuables, testées. EDR. Un plan de réponse à incident. Gestion des correctifs et des accès. Loupez-en assez et soit vous n'obtenez pas de couverture, soit vous obtenez une police mince avec un ransomware sous-limité au point d'être quasi inutile.
C'est en fait une fonctionnalité. Le processus de souscription traîne les entreprises réticentes à faire les contrôles qu'elles auraient dû faire de toute façon, parce qu'il y a maintenant une date de renouvellement et une remise attachées. J'ai vu des entreprises enfin déployer la MFA à l'échelle non pas parce que la sécurité l'a demandé gentiment pendant deux ans, mais parce que l'assureur en a fait une condition de couverture.
Les exclusions qui mordent au moment du sinistre
C'est là que le cynisme est mérité. Les polices paient bien plus fiablement que le folklore internet ne le laisse croire, mais les refus qui surviennent se regroupent autour de causes prévisibles, et il vaut la peine de les connaître avant d'en avoir besoin.
La grande, c'est la fausse déclaration. Vous avez attesté dans le formulaire avoir la MFA sur tous les accès distants. La fuite est passée par un VPN exposé sans MFA. L'assureur peut soutenir que vous avez mal déclaré votre posture et refuser le sinistre, et il le fera. Celui qui remplit ce formulaire doit réellement connaître l'environnement, pas cocher des cases avec optimisme pour obtenir une prime plus basse. Cet optimisme n'est pas assuré.
Puis les exclusions standards : vulnérabilités connues non corrigées (vous saviez, vous n'avez pas corrigé, c'est pour vous), incidents déjà connus avant souscription, exclusions de guerre et d'attaque étatique (qui ont fait couler de l'encre après le contentieux NotPetya et restent réellement disputées), et non-maintien des contrôles déclarés. Lisez les conditions, pas seulement les limites. La limite vous dit le meilleur cas. Les conditions vous disent si vous le verrez un jour.
Alors, rentable ou pas
Faites d'abord le calcul de la perte attendue. Estimez votre exposition annuelle sur le ransomware, la fuite, l'arrêt, la fraude et le réglementaire, puis abaissez-la avec les contrôles qui se remboursent tout seuls. MFA, sauvegardes, EDR, un plan de réponse. Ils réduisent votre risque et votre prime en même temps, donc ils passent en premier, quoi qu'il arrive.
Quelle que soit l'exposition qui reste après ça, c'est la queue : l'événement à faible probabilité et fort coût que vous ne pouvez pas économiquement supprimer par l'ingénierie. Ce résiduel, c'est exactement ce à quoi sert l'assurance. Pour la plupart des PME, le résiduel est assez gros, et le panel d'intervenants assez précieux, pour qu'une police en vaille la peine. Pour une micro-entreprise avec très peu de données sensibles et un chiffre d'affaires modeste exposé, ça peut être marginal, et s'auto-assurer sur le petit risque pendant que vous bâtissez les contrôles est un choix défendable.
Ce qui n'est pas défendable, c'est d'acheter une police au lieu de faire les contrôles. L'assureur ne vous laissera de toute façon pas faire, et même s'il le faisait, un versement ne vous rend pas vos clients, votre semaine, ni votre réputation.
Estimez d'abord votre exposition pour savoir ce que vous transférez réellement, et consultez la méthodologie pour les chiffres derrière. Achetez de l'assurance pour la queue que vous ne pouvez pas réparer, pas en remplacement des bases que vous pouvez.