Pourquoi votre assurance cyber ne paie pas en cas de sinistre – Les clauses d’exclusion toxiques du secteur

2 min de lecture

Les assurances cyber connaissent un essor – le marché croît annuellement de 25 pour cent. Cependant, la désillusion survient en cas de sinistre : de plus en plus d’entreprises constatent que leur police ne couvre pas les dommages. Les exclusions de guerre, les exigences de conformité et les clauses rétroactives rendent de nombreuses polices inutiles en cas de sinistre. Ce que les entreprises doivent savoir avant de souscrire.

L’essentiel

Les assureurs cyber rejettent de plus en plus les déclarations de sinistres – le taux de rejet a augmenté à plus de 30 pour cent selon Marsh
Les clauses d’exclusion de guerre englobent désormais également les groupes de hackers proches de l’État – et donc la majorité des attaques APT
De nombreuses polices exigent MFA, EDR et des correctifs réguliers comme préalables – si un élément manque, la protection est annulée
La réglementation est en retard : les clients comprennent souvent les exclusions seulement après le sinistre

Le modèle économique de la peur

Les assurances cyber vendent la sécurité. Ce qu’elles fournissent réellement, c’est un contrat rempli de conditions qui agissent systématiquement contre l’assuré en cas de sinistre. Ce n’est pas une fraude – c’est un modèle économique basé sur l’information asymétrique.

Une entreprise de fabrication de taille moyenne paie 40 000 euros de prime annuelle pour une police cyber avec une couverture de 5 millions d’euros. Cela semble solide. Puis survient l’attaque par ransomware. L’assurance examine le dossier – et constate : sur trois des 200 serveurs, Windows Server 2012 fonctionnait sans mises à jour de sécurité étendues. Clause 4.7 : « La couverture d’assurance est annulée si les vulnérabilités de sécurité connues ne sont pas corrigées dans les 30 jours. » Pas de paiement.

Les trois clauses les plus dangereuses

1. Exclusion de guerre (War Exclusion) : Après l’attaque NotPetya en 2017, les assureurs ont refusé de verser 100 millions de dollars à Mondelez – justification : l’attaque aurait été un acte de guerre russe. Lloyd’s of London a élargi les exclusions de guerre en 2023 : tous les « actes soutenus par l’État » peuvent être exclus. Le problème : plus de 60 pour cent de toutes les attaques APT sont attribuées à des acteurs proches de l’État.

2. Exigences de conformité : Les polices modernes listent les exigences techniques minimales : MFA sur tous les accès à distance, EDR sur tous les points de terminaison, scans de vulnérabilités réguliers, sauvegardes hors ligne testées. Si un élément manque, les assureurs invoquent une « violation des obligations ». La charge de la preuve incombe à l’assuré.

3. Sous-limites et périodes d’attente : La couverture de 5 millions d’euros semble rassurante – jusqu’à ce que l’on lise les sous-limites. Interruption de service : maximum 500 000 euros. Paiement de rançon : exclu. Forensique : limité à 100 000 euros. Période d’attente avant le début de la couverture pour interruption de service : 12 heures. En cas d’attaque par ransomware qui immobilise la production pendant une semaine, la couverture réelle est rarement suffisante pour le préjudice réel.

Pourquoi les assureurs durcissent les conditions

Le secteur de l’assurance a ses raisons : le ratio combiné – le rapport entre les dommages et les primes – était supérieur à 100 pour cent pour les polices cyber pendant des années. L’activité était déficitaire. Le durcissement des clauses est la réponse. Le fait qu’il soit équitable est une autre question.

Les assureurs argumentent que des exigences strictes obligent les assurés à une meilleure sécurité. Cela est partiellement vrai – les entreprises avec une police cyber ont une sécurité de base prouvée. Mais la disparité entre les promesses marketing et la réalité contractuelle reste problématique.

Ce que les entreprises devraient faire

Avant la souscription : Faites examiner la police par un courtier indépendant ET un avocat spécialisé. Accordez une attention particulière aux exclusions de guerre, aux exigences techniques et aux sous-limites. Posez explicitement la question : « Dans quelles circonstances ne payez-vous PAS ? »

Pendant la durée de validité : Documentez vos mesures de sécurité de manière exhaustive. Chaque correctif, chaque scan, chaque formation de sensibilisation. En cas de sinistre, la charge de la preuve est de votre côté. Traitez votre documentation de sécurité comme une déclaration fiscale – elle doit résister à un contrôle.

Stratégie alternative : Examinez si les 40 000 euros de prime annuelle ne seraient pas mieux investis dans un contrat de réponse aux incidents, des sauvegardes améliorées et un comité de crise. Pour de nombreux PME, l’auto-assurance avec une prévention ciblée est économiquement plus avantageuse qu’une police pleine d’exclusions.

Conclusion : l’assurance n’est pas un substitut à la sécurité

Les assurances cyber ont leur justification – comme dernière ligne de défense, pas comme première. Celui qui achète une police pour remplacer la sécurité est doublement puni en cas de sinistre : par le dommage et par le rejet. Le secteur doit devenir plus transparent. Et les entreprises doivent cesser de considérer les primes d’assurance comme un budget de sécurité.

Faits clés

Taux de rejet : Plus de 30 pour cent des déclarations de sinistres cyber sont entièrement ou partiellement rejetées par les assureurs (Marsh, 2024).

Conflit NotPetya : Merck a gagné en 2023 le litige contre Ace American Insurance pour 1,4 milliard de dollars – un cas exceptionnel qui a ébranlé le secteur.

Questions fréquentes

Une assurance cyber vaut-elle encore la peine ?

Pour les grandes entreprises avec des équipes de sécurité dédiées et une documentation propre : oui, comme transfert de risque pour des dommages catastrophiques. Pour les PME avec une sécurité lacunaire : la prime est souvent mieux investie dans des mesures de protection directes.

Comment reconnaître les clauses problématiques ?

Trois drapeaux rouges : premièrement, si les « attaques soutenues par l’État » sont entièrement exclues. Deuxièmement, si les exigences techniques sont formulées sans règle de tolérance. Troisièmement, si les sous-limites réduisent de facto la somme de couverture globale à une fraction.

La réglementation améliorera-t-elle la situation ?

L’UE travaille sur des normes pour les contrats d’assurance cyber. Jusqu’à ce que celles-ci s’appliquent, la responsabilité incombe à l’assuré : examiner soigneusement les polices, remplir et documenter les conditions préalables, consulter un avocat en cas de doute.