Cyber assurance : quelles preuves préparer avant de remplir un questionnaire assureur ?

Souscrire ou renouveler une cyber assurance ne consiste plus simplement à déclarer que l’entreprise dispose d’un antivirus, de sauvegardes et de quelques procédures.

Les questionnaires assureurs sont devenus plus précis. Ils portent désormais sur la couverture réelle de la MFA, la protection des sauvegardes, les tests de restauration, la gestion des correctifs, les accès administrateurs, la sensibilisation ou encore la capacité à réagir à un incident.

Le problème pour les PME n’est pas toujours l’absence de mesures. Il est souvent plus simple : les contrôles existent, mais les preuves sont dispersées, incomplètes ou trop anciennes pour répondre sereinement.

Avant de remplir un questionnaire d’assurance cyber, il faut donc éviter les réponses approximatives. Une affirmation comme « la MFA est activée » ou « les sauvegardes sont testées » doit pouvoir être reliée à un périmètre précis et à une preuve récente.

Le bon objectif n’est pas de présenter une sécurité parfaite. Il est de fournir une image fidèle, cohérente et démontrable de l’état de maîtrise réel de l’entreprise.

Pourquoi les assureurs demandent davantage de détails

La cyber assurance couvre généralement certains coûts liés à une attaque, une violation de données, une interruption d’activité ou une réponse à incident. L’assureur doit donc évaluer la probabilité et l’impact potentiel d’un sinistre.

Cette évaluation repose notamment sur les réponses données dans le questionnaire de souscription ou de renouvellement.

Les formulaires publics de plusieurs assureurs montrent que les questions portent fréquemment sur :

1. l’authentification multifacteur ;
2. les accès distants et privilégiés ;
3. les sauvegardes ;
4. les tests de restauration ;
5. la protection des postes ;
6. la sécurité de la messagerie ;
7. la gestion des correctifs ;
8. les logiciels obsolètes ;
9. le plan de réponse à incident ;
10. le plan de reprise ;
11. la sensibilisation au phishing.

Ces contrôles ne sont pas choisis au hasard. Ils correspondent à des facteurs qui peuvent fortement influencer la capacité de l’entreprise à prévenir une attaque, limiter sa propagation ou reprendre son activité.

Allianz indique par exemple que, dans plus de 80 % des sinistres cyber importants analysés, les décisions prises par l’entreprise ont influencé l’ampleur des pertes, et que de nombreux incidents auraient pu être évités ou contenus grâce à des mesures de base comme les correctifs, la segmentation, les sauvegardes et la MFA.

Le premier risque : répondre trop vite au questionnaire

Un questionnaire d’assurance cyber n’est pas un simple formulaire administratif.

Les réponses peuvent servir à :

1. évaluer le risque ;
2. fixer les conditions de couverture ;
3. déterminer la prime ou la franchise ;
4. demander des informations complémentaires ;
5. encadrer certaines garanties.

Il faut donc éviter trois erreurs.

Répondre « oui » pour ne pas bloquer le dossier

Une mesure partiellement mise en œuvre ne doit pas être présentée comme totalement généralisée.

Par exemple, si la MFA protège Microsoft 365 mais pas le VPN, les comptes administrateurs ou certains outils cloud, répondre simplement « oui » peut masquer une couverture incomplète.

Répondre de mémoire

Le responsable qui remplit le questionnaire ne connaît pas toujours l’ensemble du périmètre. Il peut ignorer certaines exceptions, les résultats du dernier test de restauration ou la fréquence réelle des correctifs.

Confondre procédure et mise en œuvre

Une politique de sauvegarde ne démontre pas que les sauvegardes fonctionnent. Une procédure de réponse à incident ne prouve pas qu’elle a été testée.

Les réponses doivent donc être validées par les personnes qui connaissent réellement les contrôles : IT, prestataire, RSSI, DPO, direction ou responsables métiers selon le sujet.

Quelles preuves préparer en priorité ?

Les attentes varient selon l’assureur, le secteur, la taille de l’entreprise et son exposition. Il n’existe donc pas une liste universelle.

En revanche, certains domaines reviennent très régulièrement.

1. La preuve de couverture MFA

La MFA est l’un des premiers contrôles examinés, notamment pour :

1. la messagerie ;
2. les accès distants ;
3. les VPN ;
4. les comptes administrateurs ;
5. les outils cloud critiques ;
6. les consoles de sauvegarde.

Il ne suffit pas de montrer que la fonctionnalité existe. Il faut pouvoir démontrer son périmètre réel.

Preuves utiles

1. export des utilisateurs soumis à la MFA ;
2. politique d’accès conditionnel ;
3. capture de la configuration ;
4. liste des comptes administrateurs ;
5. rapport de couverture ;
6. liste documentée des exceptions ;
7. preuve de correction des écarts.

Question à vérifier avant de répondre

La MFA est-elle réellement obligatoire sur tous les accès mentionnés dans le questionnaire ?

Une couverture partielle doit être expliquée clairement.

2. Les sauvegardes et tests de restauration

Les assureurs ne demandent plus seulement si des sauvegardes existent.

Ils peuvent chercher à comprendre :

1. leur fréquence ;
2. leur périmètre ;
3. leur isolement ;
4. leur immutabilité éventuelle ;
5. leur chiffrement ;
6. la protection des comptes de sauvegarde ;
7. la fréquence des tests de restauration.

Les questionnaires publics de Chubb et Beazley demandent notamment si les sauvegardes sont hors ligne ou immuables, si leurs accès sont protégés par MFA et si des tests de restauration complets sont réalisés.

Preuves utiles

1. politique de sauvegarde ;
2. liste des systèmes couverts ;
3. rapports d’exécution ;
4. alertes d’échec et corrections ;
5. architecture ou description de l’isolement ;
6. preuve de protection des comptes ;
7. compte rendu de test de restauration ;
8. date, périmètre et résultat du dernier test.

Point de vigilance

Un service de synchronisation de fichiers ne remplace pas nécessairement une vraie stratégie de sauvegarde et de restauration.

La preuve la plus convaincante reste le résultat documenté d’un test réel.

3. La gestion des correctifs et vulnérabilités

Le questionnaire peut aussi demander :

1. si les systèmes exposés à Internet sont corrigés ;
2. sous quels délais ;
3. qui supervise le processus ;
4. si des logiciels obsolètes sont encore utilisés ;
5. comment les vulnérabilités critiques sont priorisées.

Preuves utiles

1. politique ou procédure de patch management ;
2. inventaire des actifs ;
3. calendrier de déploiement ;
4. rapport de conformité des correctifs ;
5. tickets de remédiation ;
6. rapport de vulnérabilités ;
7. liste des systèmes en fin de support ;
8. justification et mesures compensatoires pour les exceptions.

Ce qu’il faut pouvoir expliquer

1. comment les vulnérabilités sont identifiées ;
2. comment leur priorité est décidée ;
3. sous quel délai les plus critiques sont traitées ;
4. comment les exceptions sont suivies.

4. Le PRA, le PCA et la capacité de continuité

L’assureur peut chercher à comprendre ce qui se passe si le système d’information devient indisponible.

Les questions peuvent porter sur :

1. le plan de reprise d’activité ;
2. le plan de continuité ;
3. les scénarios cyber ;
4. les solutions de contournement ;
5. les dépendances critiques ;
6. la fréquence des tests.

Preuves utiles

1. PRA ou PCA validé ;
2. liste des activités et applications critiques ;
3. objectifs de reprise ;
4. rôles et contacts ;
5. procédures de fonctionnement dégradé ;
6. comptes rendus d’exercices ;
7. résultats des tests ;
8. plan d’amélioration issu de l’exercice.

Point essentiel

Un plan qui n’a jamais été testé reste largement théorique.

Il vaut mieux présenter un dispositif simple mais testé qu’un document très complet jamais confronté à un scénario réel.

5. Le plan de réponse à incident

Les assureurs veulent souvent savoir si l’entreprise est capable de réagir rapidement en cas de ransomware, de compromission de compte ou de violation de données.

Preuves utiles

1. plan de réponse à incident ;
2. matrice des rôles ;
3. liste des contacts internes et externes ;
4. procédure d’escalade ;
5. procédure de conservation des traces ;
6. fiches réflexes ;
7. compte rendu d’exercice ;
8. historique des incidents ou alertes significatives ;
9. actions correctives réalisées.

Le plan doit notamment préciser :

1. qui décide ;
2. qui contacte le prestataire ;
3. qui informe la direction ;
4. qui gère les aspects juridiques et réglementaires ;
5. comment joindre l’assureur ou son assistance prévue au contrat.

6. La sensibilisation des collaborateurs

Le facteur humain reste très présent dans les questionnaires, notamment sur le phishing, les fraudes au président et les compromissions de messagerie.

Preuves utiles

1. programme annuel de sensibilisation ;
2. supports utilisés ;
3. listes de participation ;
4. relances des absents ;
5. résultats de campagnes de phishing simulé ;
6. actions correctives ;
7. formation spécifique des populations sensibles.

Le questionnaire peut faire la différence entre :

1. une sensibilisation ponctuelle ;
2. une formation annuelle ;
3. des campagnes récurrentes ;
4. un suivi des résultats.

7. La protection des postes et la détection

Selon le profil de l’entreprise, l’assureur peut demander la présence :

1. d’un antivirus ou EPP ;
2. d’un EDR ;
3. d’un service MDR ;
4. d’une supervision ;
5. d’un processus de traitement des alertes.

Preuves utiles

1. inventaire des postes couverts ;
2. rapport de déploiement ;
3. taux de couverture ;
4. contrat ou description du service MDR ;
5. procédure de traitement des alertes ;
6. preuve de revue ;
7. historique d’incidents ou d’alertes traitées.

La question importante n’est pas seulement de savoir si l’outil est acheté. Il faut aussi savoir s’il est déployé, supervisé et maintenu.

8. Les accès privilégiés et les départs

Les comptes administrateurs constituent un point de risque important.

Preuves utiles

1. liste des comptes privilégiés ;
2. justification de leur usage ;
3. comptes nominatifs ;
4. séparation des comptes bureautiques et administrateurs ;
5. revue périodique des privilèges ;
6. procédure d’arrivée, mobilité et départ ;
7. tickets ou preuves de révocation ;
8. journal des revues d’accès.

Une revue récente et documentée vaut davantage qu’une procédure générale non exécutée.

9. La sécurité de la messagerie et les fraudes

Certains questionnaires abordent aussi :

1. la protection contre les liens et pièces jointes malveillants ;
2. le marquage des messages externes ;
3. les contrôles de transfert bancaire ;
4. les règles SPF, DKIM et DMARC ;
5. les doubles validations financières.

Preuves utiles

1. configuration de la messagerie ;
2. règles de filtrage ;
3. paramètres SPF, DKIM et DMARC ;
4. procédure de validation des paiements ;
5. séparation des rôles ;
6. preuve de double contrôle ;
7. sensibilisation des fonctions financières et dirigeantes.

Préparer un dossier de preuves avant le questionnaire

Le meilleur moyen de gagner du temps est de créer un dossier ou registre structuré avant de commencer à répondre.

Pour chaque contrôle, il faut pouvoir retrouver :

Ce registre évite de rechercher les mêmes informations à chaque renouvellement.

Comment répondre quand une mesure n’est pas totalement en place

Il est généralement préférable d’être précis plutôt que de chercher à donner la réponse la plus rassurante.

Une réponse solide peut suivre cette structure :

La MFA est obligatoire pour Microsoft 365, les comptes administrateurs et les accès distants. Deux applications métiers ne la supportent pas encore. Leur accès est limité au réseau interne et une migration est prévue au prochain trimestre.

Cette réponse est plus crédible qu’un simple « oui », car elle décrit :

1. la couverture ;
2. la limite ;
3. la mesure compensatoire ;
4. le plan de traitement.

L’objectif n’est pas d’exposer inutilement toutes les faiblesses. Il est de fournir une réponse exacte et défendable.

Pourquoi l’historique des revues est important

Un assureur ou un courtier peut s’intéresser à l’existence d’un contrôle, mais aussi à sa régularité.

Il est donc utile de conserver :

1. les dates des revues d’accès ;
2. les résultats des tests de restauration ;
3. les rapports de patching ;
4. les exercices de crise ;
5. les campagnes de sensibilisation ;
6. les corrections réalisées ;
7. les changements de périmètre.

Cet historique montre que les mesures ne sont pas seulement mises en place ponctuellement pour répondre au questionnaire.

Il permet également de répondre plus rapidement lors du renouvellement suivant.

Les erreurs à éviter

Remplir le questionnaire seul

Le questionnaire doit être validé par les responsables techniques et métiers concernés.

Utiliser des preuves trop anciennes

Une configuration datant de deux ans ne démontre pas nécessairement l’état actuel.

Présenter une politique comme seule preuve

La politique indique ce qui devrait être fait. Elle ne démontre pas toujours ce qui est réellement appliqué.

Oublier les exceptions

Les comptes, applications ou sites non couverts peuvent devenir un point critique.

Ne pas conserver la version envoyée

Il faut conserver :

1. le questionnaire final ;
2. les réponses validées ;
3. les preuves utilisées ;
4. la date ;
5. les personnes ayant validé les informations.

Cela permet d’éviter les contradictions au renouvellement.

Supposer qu’un contrôle garantit automatiquement la couverture

Les garanties, exclusions et conditions varient selon les contrats. La présence d’un contrôle ne garantit pas à elle seule l’indemnisation d’un sinistre.

Les réponses doivent être cohérentes avec la situation réelle et le contrat doit être analysé avec le courtier, l’assureur et, si nécessaire, un conseil juridique.

La checklist de préparation avant envoi

Avant de transmettre le questionnaire, vérifiez que vous disposez au minimum de :

1. la couverture réelle de la MFA ;
2. la liste des accès sensibles ;
3. le dernier test de restauration ;
4. la description des sauvegardes ;
5. le processus de patching ;
6. l’état des systèmes obsolètes ;
7. le plan de réponse à incident ;
8. le PRA ou les procédures de continuité ;
9. la dernière campagne de sensibilisation ;
10. la couverture EDR ou antivirus ;
11. la dernière revue des accès ;
12. les éventuelles exceptions ;
13. les actions de remédiation en cours ;
14. la version validée du questionnaire.

Là où CompliKey apporte une réponse concrète

La difficulté n’est pas seulement de produire une preuve pour le questionnaire actuel. Elle est de retrouver cette preuve, vérifier sa fraîcheur et conserver une réponse cohérente dans le temps.

CompliKey permet de centraliser :

1. les mesures de sécurité ;
2. leur niveau de maturité ;
3. les responsables ;
4. les preuves associées ;
5. les dates de revue ;
6. les écarts ;
7. les actions de remédiation ;
8. l’historique des décisions.

L’objectif n’est pas de garantir l’acceptation d’un dossier d’assurance ni de remplacer l’analyse de l’assureur.

Il est de permettre à la PME de démontrer plus facilement son état réel de maîtrise, de repérer les preuves manquantes et de préparer ses réponses sans reconstruire son dossier à chaque renouvellement.

FAQ

Quelles preuves sont les plus souvent demandées pour une cyber assurance ?

Les questionnaires portent fréquemment sur la MFA, les sauvegardes, les tests de restauration, la gestion des correctifs, la protection des postes, la sensibilisation et la réponse à incident.

Une politique de sécurité suffit-elle comme preuve ?

Non. Elle montre l’intention de l’entreprise, mais elle doit généralement être complétée par des preuves de mise en œuvre : exports, configurations, rapports, tickets, tests ou comptes rendus.

Faut-il signaler une couverture MFA partielle ?

Il faut répondre précisément selon le périmètre réel. Une couverture partielle peut être accompagnée des mesures compensatoires et du plan de déploiement prévu.

À quelle fréquence faut-il tester les sauvegardes ?

La fréquence dépend du risque et du contrat, mais les assureurs peuvent demander la date et le résultat du dernier test. Un test régulier et documenté est donc indispensable.

Un questionnaire mal rempli peut-il poser problème ?

Une réponse inexacte ou trop générale peut créer une incohérence avec la situation réelle. Les conséquences exactes dépendent du contrat et du droit applicable ; il est donc important de faire valider les réponses et de conserver les preuves utilisées.

Conclusion

Le questionnaire de cyber assurance ne doit pas être préparé la veille de son envoi.

Il doit être considéré comme une vérification de la capacité de l’entreprise à démontrer ses contrôles de sécurité.

Une PME bien préparée ne se contente pas de répondre « oui » ou « non ». Elle sait montrer :

1. ce qui est réellement couvert ;
2. comment le contrôle fonctionne ;
3. quand il a été vérifié ;
4. quelles exceptions subsistent ;
5. comment elles sont traitées.

Cette discipline facilite la souscription et le renouvellement, mais elle apporte surtout une vision plus fiable de la sécurité réelle de l’entreprise.