Étendue de la couverture d'une cyberassurance — ce qui est couvert et ce qui ne l'est pas
Que couvre une cyberassurance — et que ne couvre-t-elle pas ?
La cyberassurance est l’un des produits d’assurance les plus complexes sur le marché suisse. Contrairement à une assurance de choses, où le dommage est physiquement visible, les cyberdommages sont variés, souvent difficiles à quantifier et peuvent s’étendre sur des semaines ou des mois. C’est pourquoi une compréhension approfondie de l’étendue de la couverture est essentielle — avant la souscription d’une police, pas seulement en cas de sinistre.
En Suisse, le BACS a enregistré plus de 59 000 cyberincidents en 2024. Les coûts moyens par incident pour les PME se situent entre CHF 180 000 et CHF 450 000.
Les trois piliers de la cyberassurance
- Dommages propres (First-Party) : pertes financières directes de votre propre entreprise
- Dommages à des tiers (Third-Party / responsabilité civile) : prétentions de tiers lésés par un cyberincident chez vous
- Prestations d’assistance : aide immédiate d’experts en cas d’urgence (24/7)
Dommages propres (couverture First-Party) — en détail
Les dommages propres représentent 60 à 75 % des coûts totaux d’un cyberincident.
1. Interruption d’activité (Business Interruption)
- Perte de revenus pendant l’arrêt des systèmes
- Surcoûts pour des solutions provisoires
- Coûts de personnel supplémentaires
- Durée d’arrêt moyenne après ransomware : 23 jours
- Perte de revenus typique PME : CHF 5 000–50 000 par jour
- Délai de carence : 6–24 heures
2. Forensique IT et réponse aux incidents
- Analyse forensique, limitation des dégâts, conservation des preuves
- Coûts typiques : CHF 15 000–80 000 par incident
3. Restauration des données
- Décryptage ou restauration des données chiffrées
- Coûts typiques : CHF 20 000–150 000
4. Cyberextorsion (ransomware)
- Coûts de négociation, paiement de rançon éventuel, outils de décryptage
- Rançon moyenne en Suisse 2024 : CHF 280 000
5. Gestion de crise et communication
- Conseil en relations publiques, communication client, gestion de la réputation
- Coûts typiques : CHF 10 000–60 000
6. Coûts de notification
- Obligation de signalement au PFPDT dans les 72 heures (nLPD)
- Coûts par personne notifiée : CHF 8–15
Dommages à des tiers (couverture Third-Party) — en détail
1. Responsabilité civile en matière de protection des données
- Prétentions en dommages-intérêts, défense contre les procédures administratives
- Amendes selon la nLPD : jusqu’à CHF 250 000
2. Responsabilité civile en matière de sécurité réseau
- Propagation de malwares, attaques de la chaîne d’approvisionnement
3. Responsabilité civile médias et droits de la personnalité
4. Protection juridique (cyber)
- Honoraires d’avocats spécialisés en cyberdroit : CHF 300–600 par heure
Prestations d’assistance — la force souvent sous-estimée
La plupart des cyberassureurs suisses offrent une hotline d’urgence 24/7 avec accès immédiat à des forensiciens IT, des avocats spécialisés, des conseillers en gestion de crise et des experts en négociation de rançons.
| Assureur | Temps de réaction (premier contact) | Forensique sur site |
|---|---|---|
| Zurich | Moins d’1 heure | Moins de 4 heures |
| AXA | Moins de 2 heures | Moins de 8 heures |
| Mobilière | Moins de 2 heures | Moins de 6 heures |
| Helvetia | Moins de 4 heures | Moins de 12 heures |
Ce qui n’est PAS couvert — exclusions typiques
| Exclusion | Signification | Pertinence pratique |
|---|---|---|
| Acte intentionnel | Dommages causés volontairement | Élevée |
| Guerre / cyberattaques étatiques | La « War Exclusion » | Élevée — controversée depuis le conflit en Ukraine |
| Vulnérabilités connues non corrigées | Correctifs disponibles mais non appliqués | Très élevée — cause la plus fréquente de refus |
| Dommages corporels et matériels | Dommages physiques | Moyenne |
| Panne d’infrastructure | Coupure d’électricité, d’internet | Moyenne |
| Manque de sécurité de base | Non-respect des obligations convenues | Très élevée |
Comparaison : police mini vs. standard vs. complète
| Module de couverture | Police mini | Police standard | Police complète |
|---|---|---|---|
| Forensique IT | Oui | Oui | Oui |
| Restauration des données | Limitée | Oui | Oui |
| Interruption d’activité | Non | Oui | Oui |
| Cyberextorsion / ransomware | Non | Partiellement | Oui |
| Gestion de crise / RP | Non | Limitée | Oui |
| Coûts de notification | Limités | Oui | Oui |
| RC protection des données | Limitée | Oui | Oui |
| RC sécurité réseau | Non | Partiellement | Oui |
| Ingénierie sociale / fraude au CEO | Non | Optionnel | Oui |
| Hotline 24/7 | Oui | Oui | Oui |
| Somme assurée typique | CHF 50 000–250 000 | CHF 250 000–2 mio. | CHF 1–10 mio. |
| Prime annuelle typique (PME, 25 empl.) | CHF 400–800 | CHF 1 500–3 500 | CHF 3 000–8 000 |
Obligations — vos devoirs en tant qu’assuré
- Sauvegarde régulière des données (au minimum hebdomadaire)
- Logiciels à jour (mises à jour de sécurité sous 30 jours)
- Antivirus sur tous les terminaux
- MFA pour les accès à distance
- Formation annuelle des employés
- Plan d’urgence documenté
En cas de manquement, l’assureur peut réduire ou refuser les prestations.
Conclusion : l’étendue de la couverture détermine la valeur de votre police
Les points essentiels :
- Les dommages propres représentent 60–75 % des coûts
- Les dommages à des tiers deviennent de plus en plus importants avec la nLPD
- Les prestations d’assistance sont souvent l’élément le plus précieux
- Les exclusions peuvent mener à un refus de prestations
- Les obligations doivent être respectées en permanence
Votre prochaine étape : faites vérifier gratuitement l’étendue de la couverture de votre cyberassurance par BTAG Versicherungsbroker AG. Demander une analyse de couverture