Checklist assurance cyber PME 2025

Franchises, dépendances fournisseurs, questionnaires techniques : comment préparer son dossier assureur pour obtenir la meilleure couverture.

Ce guide fournit une checklist opérationnelle pour les dirigeants, DAF, RSSI et DSI : informations à collecter, pièces justificatives, quick wins de prévention, grilles de garanties et conseils de négociation pour 2025.

Pourquoi la checklist évolue en 2025

Inflation des sinistres, extension des attaques supply chain, exigences DORA/NIS2 : les assureurs cyber renforcent leurs questionnaires et ajustent leurs franchises. Les entreprises qui documentent leurs contrôles obtiennent des tarifs compétitifs et des extensions (dépendances fournisseurs, sanctions administratives, garanties DORA).

Notre checklist 2025 est organisée en trois volets : préparation du questionnaire technique, dossier de garanties / placements et roadmap prévention. Chaque point est relié aux attentes usuelles des assureurs du marché français.

Astuce : centralisez toutes les preuves dans un coffre-fort numérique (SharePoint, SecureDocs, etc.) pour répondre rapidement aux renégociations annuelles.

Volet 1 — Questionnaire technique assureur

Gouvernance & organisation

  • • Organigramme IT/RSSI, existence d’un comité risques cyber.
  • • Politique de sécurité approuvée par la direction (moins de 12 mois).
  • • Processus de gestion des changements et de revue d’accès.
  • • Historique incidents des 36 derniers mois + actions correctives.

Environnements & sauvegardes

  • • Cartographie applicative, dépendances SaaS/IaaS, exposition Internet.
  • • Stratégie de sauvegarde 3-2-1, chiffrement, tests de restauration (date, résultat).
  • • Présence d’EPP/EDR, segmentation réseau, cloisonnement des privilèges.
  • • Plan de continuité d’activité (PCA/PRA) testé dans les 12 mois.

Accès & identité

  • • MFA pour VPN, messagerie, administration, SI financiers.
  • • Gestion des comptes tiers (infogérant, éditeurs) et journaux d’accès.
  • • Sensibilisation phishing annuelle et taux de réussite aux tests.
  • • Procédure d’onboarding/offboarding (délai, responsable).

Conformité & réglementation

  • • Délégué à la protection des données (DPO) identifié et registre RGPD actualisé.
  • • Alignement DORA/NIS2 si concerné (cartographie, reporting incidents, tests TLPT).
  • • Clauses cybersécurité dans les contrats fournisseurs critiques.
  • • Assurance existante (RC Pro, PJ) et sinistres en cours.

Volet 2 — Dossier de garanties & négociation

Structure de couverture

  • • Plafond global vs sous-limites (perte d’exploitation, frais de notification, sanctions administratives).
  • • Franchises adaptées à la trésorerie (ex : 10 k€ pour entreprise 5 M€ CA).
  • • Garanties dépendances fournisseurs et réputation (PR, marketing).
  • • Inclusion d’une extension “fraude au virement / ingénierie sociale”.

Services associés

  • • Hotline 24/7 multilingue et prestataires forensic agréés.
  • • Négociateurs rançon, cellule juridique RGPD, communication de crise.
  • • Programmes de prévention inclus (sensibilisation, scans vulnérabilités).
  • • Audit post-sinistre financé pour valider la remise en conformité.

Comparatif assureurs 2025

  • • Demander au moins trois offres (spécialistes + assureur généraliste).
  • • Vérifier exclusions (acte de guerre, défaut maintien systèmes, sanctions pénales).
  • • Regarder le support DORA/NIS2 : reporting incidents, TLPT, gestion tiers.
  • • Négocier clause “périmètre évolutif” (nouveaux sites, acquisitions) sans surprime immédiate.

Conseil : synthétisez vos demandes dans un cahier des charges pour faciliter la comparaison (Excel ou outil d’e-sourcing).

Volet 3 — Roadmap prévention (12 semaines)

  1. Semaine 1-2 : audit flash, identification des lacunes critiques (MFA, sauvegardes, PRA, formation).
  2. Semaine 3-4 : mise en place MFA généralisé, durcissement accès VPN/administrateurs.
  3. Semaine 5-6 : test de restauration de sauvegarde isolée + documentation des procédures.
  4. Semaine 7-8 : exercice de crise (table-top) incluant communication et activation assureur.
  5. Semaine 9-10 : revue des contrats fournisseurs (clauses cyber, notification, audit, PRA).
  6. Semaine 11-12 : consolidation dossier assurance, validation par la direction et lancement appels d’offres.

Cette roadmap sert aussi de plan d’amélioration annuel à présenter à l’assureur et au conseil d’administration.

Tableau de bord assurance cyber (exemple)

Critère État actuel Objectif 2025 Preuve
MFA généralisé Présent sur messagerie uniquement MFA messagerie + VPN + ERP fin T2 Rapport Azure AD / Okta (PDF)
Sauvegardes 3-2-1 Sauvegarde NAS sur site Ajout coffre-fort cloud + test trimestriel Procès-verbal test PRA
Sensibilisation phishing Formation annuelle (80 % participation) Campagne trimestrielle + indicateurs (taux clic <5 %) Rapport KnowBe4 / Mailinblack
Gestion des fournisseurs Liste partielle, pas de clauses dédiées Clauses cyber + revues annuelles top 10 Addendum contractuel signé
Plan de réponse incident Document de 2019 non testé Playbook mis à jour + exercice annuel Compte rendu exercice + liste actions

Questions fréquentes

Quel budget prévoir en 2025 ?

Pour une PME entre 2 et 20 M€ de CA, comptez 1 500 à 8 000 € annuels selon : secteurs sensibles, historique sinistre, dépendances cloud, niveau de garanties et franchises. Un dossier bien documenté évite les surprimes et facilite l’accès aux assureurs spécialisés.

Faut-il obligatoirement un RSSI ou un DPO ?

Pas nécessairement en interne, mais l’assureur apprécie l’existence d’un référent (interne ou externe) avec mandat clair et reporting régulier au management.

Les fournisseurs critiques sont-ils couverts ?

Oui si la police intègre la garantie “dépendance fournisseurs”. Il faut toutefois déclarer ces acteurs en amont (hébergeur, ERP SaaS, prestataire logistique) et documenter leurs engagements cyber.

Construisons votre dossier assurance cyber

Diagnostic prévention, mise à jour du plan de réponse, montage dossier assureur et négociation des garanties : bénéficiez d’un accompagnement spécialisé.

Parler à un expert