L'assureur cyber demande des preuves, et votre PME ne les a pas

De plus en plus, les PME belges reçoivent à la reconduction annuelle de leur police cyber un questionnaire détaillé. Quarante à cinquante items n'est plus exceptionnel, et le message en bas de page est clair : « Merci de compléter avant [date] sinon nous ne pourrons plus garantir des conditions comparables. »

Pour beaucoup de petites organisations, c'est nouveau. L'an dernier une courte déclaration suffisait, cette année chaque mesure est sondée. Voici pourquoi cela se produit, où ça coince en pratique, et ce que vous pouvez faire avant la prochaine reconduction.

Les assureurs se recalibrent

Entre 2020 et 2023, les assureurs cyber ont essuyé à l'international de lourdes pertes sur les petits clients. Les sinistres ransomware grimpent régulièrement à plusieurs centaines de milliers d'euros, y compris pour des PME de moins de 100 personnes. Pour un assureur, c'est un risque insoutenable sur des polices standards.

Résultat : les reconductions sont scrutées beaucoup plus durement. Des questions autrefois optionnelles (« Avez-vous le MFA sur les comptes admin ? ») sont devenues des conditions sine qua non. Un « non » ou « je ne sais pas » et la prime double, ou la police n'est pas reconduite.

Les trois blocs où ça casse

Chez nos clients, ce sont toujours les trois mêmes blocs du questionnaire qui posent problème :

1. MFA sur tous les comptes admin. Pas uniquement Microsoft 365. Aussi l'admin firewall, l'accès distant, le portail backup. Beaucoup de PME l'ont en partie, mais pas centralisé et imposé.
2. Preuve de restaurations de backup testées. Pas « on a des backups ». Mais « le X nous avons restauré le système Y intégralement, voici les étapes, voici la durée, voici la personne responsable ».
3. Une solution endpoint detection avec logging centralisé. Pour la plupart des PME, c'est soit un EDR payant, soit un Wazuh auto-hébergé ou équivalent. Le Microsoft Defender Antivirus inclus d'office dans Windows ne suffit souvent pas sans couche de gestion centrale.

L'exigence de preuve silencieuse

Ce qui nous inquiète vraiment, c'est ce qui ne figure pas dans le questionnaire mais devient de plus en plus explicite dans les conditions de la police : en cas de sinistre, vous devez pouvoir démontrer qu'à la date de l'incident, vous respectiez réellement ce que vous aviez déclaré. Pas de logs ? Pas d'indemnisation. Pas de documentation du processus d'incident response ? Pas de couverture complète.

Ce n'est pas de la théorie. Une organisation peut avoir correctement configuré tous ses contrôles techniques et perdre malgré tout un sinistre parce que les logs ne sont pas retrouvables ou pas correctement datés pour l'expert. Un seul log manquant, ou un statut MFA non démontrable historiquement, peut faire la différence entre indemnisation et refus.

Que faire dès maintenant

Trois actions qui ne coûtent rien et qui bougent l'aiguille :

1. Demandez le questionnaire actuel à votre assureur. Pas celui de l'an dernier, la version qu'il utilise aujourd'hui à la reconduction. Vous avez alors noir sur blanc ce que vous devez tenir.
2. Documentez ce que vous avez déjà. Pour chaque « oui » du questionnaire : un fichier ou un screenshot qui le prouve, daté, dans un dossier central.
3. Testez une restauration par trimestre. Notez ce que vous avez fait, la durée, ce que vous avez observé. Quatre courtes notes trimestrielles, c'est déjà la moitié du travail de preuve.