Le contexte : un marché qui s'est durci
Entre 2018 et 2022, la cyber-assurance était devenue presque trop accessible. Les sinistres ransomware massifs ont fait exploser la sinistralité, et les assureurs ont réagi : questionnaires plus stricts, primes plus élevées, exclusions plus nombreuses, parfois refus de souscription pour les PME insuffisamment protégées.
Conséquence pratique en 2026 : avant de souscrire, vous devez démontrer un socle minimum de mesures techniques. Les 8 points ci-dessous reviennent dans presque tous les questionnaires.
1. MFA universelle ou non ?
Question type : « La double authentification est-elle activée sur la messagerie, le VPN, l'Active Directory et les comptes administrateurs ? »
C'est la question pivot. Une réponse partielle (« oui sur les admins seulement ») fait grimper la prime de 30 à 100 % ou peut entraîner un refus. La cible attendue : MFA universelle, sur tous les comptes accédant à des ressources de l'entreprise. Voir MFA : quelle méthode.
2. Sauvegardes : 3-2-1 et test ?
Questions type :
- « Vos sauvegardes sont-elles immuables ou hors ligne ? »
- « À quand remonte le dernier test de restauration documenté ? »
L'assureur veut s'assurer que vous pouvez réellement redémarrer après un ransomware sans payer. Un test annuel documenté est le minimum. Voir Sauvegardes 3-2-1 testées.
3. EDR / antivirus : nature et supervision
Questions type :
- « Disposez-vous d'un EDR sur tous les postes et serveurs ? »
- « Qui surveille les alertes ? À quelle fréquence ? »
Un antivirus standard est de plus en plus considéré comme insuffisant. Un EDR supervisé (en interne ou par un MDR) est attendu pour les contrats au-delà de 1 M€ de garantie. Voir EDR vs antivirus.
4. Patching : politique documentée ?
Question type : « Comment et à quelle fréquence appliquez-vous les correctifs de sécurité ? »
Réponse attendue : politique écrite, fenêtre mensuelle, suivi du déploiement, correctifs critiques sous 30 jours maximum. Voir Importance des mises à jour.
5. Plan de réponse à incident
Question type : « Disposez-vous d'un plan écrit de réponse à incident ? À quand remonte son dernier test ? »
Sans plan écrit, certains assureurs refusent désormais. Voir Les 7 premières heures d'un incident et Plan de reprise : test annuel.
6. Sensibilisation des équipes
Questions type :
- « Vos équipes ont-elles eu une formation cybersécurité dans les 12 derniers mois ? »
- « Effectuez-vous des tests phishing simulés ? »
Réponse attendue : oui aux deux. Idéalement, un test phishing simulé semestriel avec retour pédagogique (sans culpabilisation).
7. Filtrage email avancé
Question type : « Disposez-vous d'une protection avancée contre le phishing au niveau de la messagerie ? »
Microsoft Defender for Office 365, Google Workspace Advanced Phishing Protection, ou solutions tierces type Proofpoint, Vade. La messagerie standard sans cette couche est de plus en plus considérée comme insuffisante.
8. Authentification legacy bloquée et accès à distance sécurisé
Questions type :
- « Le RDP est-il accessible directement depuis Internet ? » Si oui : refus quasi systématique aujourd'hui. Voir RDP exposé sur Internet.
- « Les protocoles email legacy (POP3, IMAP basic auth) sont-ils désactivés ? »
- « Votre VPN d'entreprise impose-t-il la MFA ? »
Les autres questions qui montent en 2026
- Conformité NIS2 — directe ou indirecte par chaîne d'approvisionnement.
- Politique d'utilisation des services cloud (Shadow IT contrôlé ?).
- Gestion des prestataires tiers ayant accès à votre SI.
- Politique de chiffrement des disques (BitLocker) sur les portables.
Comment se préparer avant de remplir un questionnaire
- Faire un audit cyber préalable : vous saurez où vous en êtes vraiment sur les 8 points. Voir Audit cybersécurité : à quoi s'attendre.
- Combler les écarts critiques avant de remplir le questionnaire. 30 jours d'effort peuvent faire baisser la prime de 25-50 %.
- Documenter : l'assureur peut demander des preuves (politique écrite, captures d'écran de configuration, rapports d'audit). Préparer un dossier centralisé.
- Être honnête : une fausse déclaration en cas de sinistre = nullité du contrat. Si vous avez des écarts, déclarez-les avec un plan de remédiation associé. C'est mieux qu'un mensonge qui se retournera contre vous.
À retenir
Ce que Scryptoura fait pour vous
Le Diagnostic Découverte peut être cadré spécifiquement « préparation cyber-assurance » : on couvre les 8 points avec un rapport orienté assureur. Notre offre Conformité & Réglementation couvre la mise à niveau des écarts identifiés.