La montée des cyber risques pousse les acteurs du marché à repenser les garanties proposées aux petites structures. Les annonces récentes d’AXA et d’autres assureurs traduisent un net durcissement des contrats applicables aux PME.
Les nouvelles pratiques tiennent compte de l’augmentation des sinistres et de l’exigence de preuve technique. Le prochain bloc synthétise les enjeux essentiels pour une PME désireuse de se protéger.
A retenir :
- Exigences techniques strictes pour obtention d’une couverture assurance
- Risque d’exclusion de garantie en cas de non-conformité
- Conformité comme levier commercial et exigence contractuelle majeure
- Audit préalable recommandé pour négociation et preuve en sinistre
Pourquoi AXA et les assureurs durcissent les contrats cyber pour PME
À partir de ces constats, les assureurs ont resserré les règles de souscription pour limiter l’exposition financière. Selon l’ANSSI, la fréquence des attaques a fortement progressé et cible désormais majoritairement les petites structures.
Impact sur les garanties et exclusions
Ce durcissement modifie directement les garanties proposées aux PME et clarifie les cas d’exclusion. Les contrats tendent à expliciter la couverture effective ou à exclure certains scénarios à risque.
Exclusions courantes en contrat:
- Absence de MFA et accès compromis
- Mises à jour critiques non appliquées
- Sauvegardes inexistantes ou non testées
- Utilisation non sécurisée de VoIP
Audit, preuves et refus d’indemnisation
La preuve de conformité devient un enjeu immédiat au moment du sinistre pour obtenir l’indemnisation. Les assureurs demandent des audits, des logs et des rapports formels pour instruire les dossiers.
« J’ai découvert que notre assurance refusait de couvrir un ransomware faute de MFA et de sauvegardes testées. »
Claire D.
Critère
Attente des assureurs
Objectif
Authentification multifactorielle
Présence et activation sur accès sensibles
Réduction du risque de compromission
Solution EDR/XDR
Détection et réponse aux menaces en continu
Limitation de l’impact des attaques
Sauvegardes chiffrées et testées
Restaurations documentées et régulières
Continuité d’activité après sinistre
Journaux et conservation
Logs conservés plusieurs mois
Traçabilité des incidents pour enquête
Plan de reprise d’activité
PRA formel et exercices
Préparation opérationnelle aux sinistres
Selon l’ACPR, de nombreuses polices ont été clarifiées pour lever les ambiguïtés contractuelles persistantes. Ces exigences opérationnelles entraînent des démarches concrètes côté PME, évoquées dans la section suivante.
Comment les PME peuvent répondre au durcissement des contrats cyber
Face à ces exigences, la mise en conformité devient prioritaire pour préserver l’accès aux garanties d’assurance cyber. L’effort porte à la fois sur l’infrastructure technique et sur l’organisation interne de la sécurité.
Mesures techniques prioritaires
Ce volet réunit les actions immédiates demandées par la plupart des assureurs pour accepter un risque. La mise en place de MFA, EDR et sauvegardes chiffrées figure en tête des prérequis techniques.
Mesures techniques clés:
- Authentification multifacteur sur comptes sensibles
- Déploiement d’un EDR ou XDR centralisé
- Sauvegardes chiffrées et tests de restauration réguliers
- Filtrage d’emails et protection DNS
Organisation, formation et infogérance
La gouvernance de la sécurité et la formation des collaborateurs réduisent les risques humains et documentent la conformité. De nombreuses PME optent pour l’infogérance pour externaliser ces obligations opérationnelles.
Service infogérance
Prestation type
Bénéfice pour la PME
Gestion des correctifs
Mises à jour automatiques supervisées
Réduction des vulnérabilités exploitables
Monitoring et détection
Surveillance en continu et alertes
Réponse rapide aux incidents
Sauvegarde et PRA
Planification et tests trimestriels
Restaurations documentées en cas de sinistre
Reporting conformité
Rapports pour assureur et audit
Preuves formelles en cas de sinistre
« J’ai externalisé notre sécurité et obtenu une réduction de prime grâce aux preuves fournies. »
Sophie L.
Selon le CLUSIF, une large fraction des PME surestime encore leur niveau de couverture face aux critères actuels des assureurs. Cette réalité commerciale mène au point suivant sur les conséquences réglementaires et commerciales.
Impacts commerciaux et réglementaires du durcissement des contrats cyber pour les PME
En conséquence des critères renforcés, la conformité devient un critère de sélection dans les appels d’offres et les contrats fournisseurs. Les entreprises non conformes risquent d’être écartées des marchés publics et privés.
Risque sur les appels d’offres et partenariat
La conformité en matière de cybersécurité sert désormais de preuve de sérieux commercial auprès des donneurs d’ordre. Une bonne hygiène informatique devient un argument concurrentiel tangible pour remporter des contrats.
Avantages compétitifs obtenus:
- Accès privilégié aux appels d’offres exigeant conformité
- Renforcement de la confiance des partenaires et clients
- Moindre probabilité d’exclusions contractuelles
- Possibilité de négocier des primes plus favorables
Protection des données et risques RGPD
La perte ou la fuite de données sensibles engage à la fois la responsabilité civile et des sanctions RGPD, réduisant la prise en charge par l’assureur. Certains contrats conditionnent l’indemnisation au respect des obligations de protection des données.
« La conformité nous a permis d’être retenus sur un marché public où la sécurité était exigée. »
Pierre R.
Selon l’ACPR, l’identification des couvertures implicites et la clarification des clauses restent une priorité réglementaire pour stabiliser le marché. Selon l’ANSSI, la vigilance et les preuves techniques constituent le meilleur garde-fou contre les refus d’indemnisation.
« D’un point de vue assurance, la transparence des pratiques techniques est désormais incontournable. »
Marc L.
Source : ACPR, « Enquête sur les garanties implicites », ACPR, 2023 ; ANSSI, « Rapport sur les cyberattaques », ANSSI, 2024 ; CLUSIF, « Enquête PME et cyberassurance », CLUSIF, 2025.