Cyberassurance : les contrôles exigés de votre PME
Le questionnaire de votre assureur est en réalité un audit de sécurité. Voici ce que les souscripteurs vérifient — et comment arriver préparé.
Pourquoi les assureurs cyber sont-ils devenus si exigeants?
Si votre courtier vient de vous envoyer un questionnaire de cyberassurance, vous avez sans doute remarqué qu'il ressemble moins à un formulaire d'assurance qu'à un audit de sécurité. Des pages de questions où l'on coche oui ou non : authentification multifacteur, détection sur les postes, immuabilité des sauvegardes, mise à l'épreuve du plan de réponse aux incidents. Il n'y a pas si longtemps, la couverture cyber s'ajoutait à une police commerciale presque sans question. Cette époque est révolue.
Ce qui a changé, ce sont les réclamations. Le rançongiciel a rendu ce marché coûteux pour les assureurs, et les souscripteurs ont réagi comme des souscripteurs : en tarifant le risque qu'ils peuvent réellement mesurer. La plupart des assureurs canadiens évaluent maintenant les demandes par rapport à des cadres reconnus comme le NIST CSF ou les contrôles CIS, et le questionnaire sert justement à situer votre entreprise là-dedans.
Les conséquences sont bien concrètes. L'absence de MFA est, de loin, la première cause de refus — beaucoup d'assureurs ne soumettent même pas d'offre sans MFA sur le courriel et les accès à distance. Pas d'EDR sur les postes, ou des sauvegardes ni immuables ni testées : voilà d'autres causes fréquentes de refus et de surprimes. Ce questionnaire n'est pas une formalité; il décide si vous êtes couvert, et à quel prix.
L'identité d'abord : MFA, comptes admin et accès à distance
Les souscripteurs commencent par l'identité parce que les attaquants font pareil. La plupart des intrusions qui frappent les PME partent d'un courriel d'hameçonnage, d'un mot de passe réutilisé ou d'un compte laissé sans MFA — pas d'un exploit sophistiqué. Le premier bloc de questions vérifie donc que la MFA est active partout : courriel, accès à distance et comptes administrateurs. « Partout » n'est pas une figure de style. Le dirigeant qui trouvait la MFA agaçante et qui a obtenu une exception, c'est précisément le compte que l'attaquant va trouver lui aussi.
Viennent ensuite les accès privilégiés. L'assureur veut voir des comptes administrateurs distincts et le moindre privilège appliqué, pour qu'un seul mot de passe volé ne livre pas tout l'environnement. Il veut aussi des accès à distance verrouillés : aucun RDP exposé directement à Internet, jamais. Un port RDP ouvert reste une des portes d'entrée classiques du rançongiciel.
Bonne nouvelle si vous êtes sur Microsoft 365 : une grande partie de tout ça se trouve déjà dans les licences que vous payez probablement. La MFA et l'accès conditionnel d'Entra ID viennent avec les forfaits d'affaires courants; il faut les configurer et les imposer, pas les acheter. Pour bien des PME, devenir assurable côté identité est un projet de configuration, pas une nouvelle dépense.
Survivre à un rançongiciel : EDR, sauvegardes et surveillance
Le deuxième thème qui traverse tous les questionnaires, c'est la résilience : si un rançongiciel frappe, cette entreprise va-t-elle se relever, ou déposer une réclamation salée? Trois contrôles portent cette section. D'abord, une protection moderne des terminaux — EDR ou XDR — sur chaque appareil. Les souscripteurs nomment l'EDR précisément parce qu'il détecte et bloque les comportements malveillants au lieu de se contenter de balayer des fichiers. Et « chaque appareil » inclut le portable oublié dans un tiroir.
Ensuite, des sauvegardes hors de portée de l'attaquant : des copies immuables ou hors ligne, impossibles à chiffrer ou à supprimer même avec des identifiants d'administrateur, et une restauration que vous avez réellement testée. Une sauvegarde jamais restaurée n'est qu'une hypothèse, et les assureurs ont appris à poser la question du test, pas seulement celle de la sauvegarde.
Enfin, quelqu'un qui surveille. Les questionnaires demandent de plus en plus une détection et une réponse en continu — surveillance, MDR ou SOC. Pour une PME, ça ne veut pas dire embaucher un quart de nuit. Un service de détection et réponse gérées s'en charge; le nôtre repose sur une plateforme SOC gérée bâtie sur Microsoft Sentinel et Defender, avec un architecte certifié qui enquête sur ce qu'elle remonte. Ce que l'assureur veut, c'est une vraie réponse à « qui s'en aperçoit, et qui agit? » à trois heures du matin.
Les exigences plus discrètes : courriel, correctifs, formation et plan
Après les gros morceaux, quatre contrôles remplissent le reste du formulaire. L'authentification du courriel — SPF, DKIM et DMARC, appuyée par un bon filtrage — réduit l'usurpation et les courriels frauduleux. Ça coûte peu à configurer correctement, et une case laissée vide fait mauvaise impression, parce que le courriel demeure le principal vecteur d'attaque.
La gestion des correctifs et des vulnérabilités doit suivre un calendrier défini. « Quand on aura le temps », ce n'est pas un calendrier, et un souscripteur fait très bien la différence entre une cadence documentée et une bonne intention. Des balayages de vulnérabilités réguliers entre les évaluations plus poussées montrent que le processus tourne pour vrai.
La formation de sensibilisation doit être continue, avec des simulations d'hameçonnage et des rapports à l'appui. Une vidéo visionnée une seule fois ne convainc personne; l'assureur veut la preuve que la formation a eu lieu cette année, que les gens y ont participé et que les taux de clic sont suivis.
Reste le plan de réponse aux incidents — documenté et mis à l'épreuve. La mise à l'épreuve passe habituellement par un exercice de simulation : vos décideurs qui déroulent un scénario de rançongiciel avant que ce soit réel. Les assureurs exigent de plus en plus cette préparation, parce qu'une organisation qui a répété contient l'incident plus vite et coûte moins cher à indemniser.
Ce que l'assureur vérifie au moment d'une réclamation
Voici ce que trop d'entreprises apprennent après coup : la proposition d'assurance est une attestation, pas un sondage. Si vous avez déclaré que la MFA était en place et que l'enquête après l'incident démontre le contraire — ou qu'elle couvrait le siège social mais pas l'entrepôt — l'assureur peut réduire ou refuser la réclamation. Les contrôles doivent être non seulement présents, mais constants et démontrables, au moment précis où l'incident survient.
Ça devrait changer votre façon de répondre au questionnaire. « Déployé presque partout », c'est un non. « On a acheté la licence », c'est un non. Si un contrôle est partiel, dites-le, acceptez la surprime ou l'exclusion, puis corrigez. Une réponse honnête vous coûte quelque chose au renouvellement; une réponse fausse vous coûte la réclamation, au pire moment.
Ça implique aussi de garder des preuves. Politiques de MFA et d'accès conditionnel exportées, évolution du Secure Score, rapports de participation aux formations, tests de restauration datés, rapport de test d'intrusion avec sa revérification — ce dossier sert à la fois aux assureurs, aux auditeurs et aux questionnaires de sécurité de vos clients.
La Loi 25 demande presque la même chose : préparez-vous avant le renouvellement
Pour les entreprises du Québec, un deuxième acteur s'intéresse aux mêmes contrôles. La Loi 25, entrée en vigueur par étapes de septembre 2022 à septembre 2024, vous oblige à protéger les renseignements personnels par des mesures de sécurité raisonnables, à tenir un registre des incidents de confidentialité et à aviser la Commission d'accès à l'information quand un incident présente un risque de préjudice sérieux. Les sanctions montent jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial au volet pénal, et 10 millions ou 2 % au volet administratif.
Ce chevauchement joue en votre faveur. MFA, EDR, sauvegardes testées, formation de sensibilisation et plan de réponse aux incidents satisfont votre assureur et démontrent votre diligence au régulateur en même temps. Mettez les contrôles en place une fois, et le même dossier de preuves sert aux deux.
Avant le renouvellement, donc : commencez dès que le questionnaire arrive, pas la veille de l'échéance. Faites le point honnêtement — notre bilan gratuit de deux minutes vous situe par rapport aux dix contrôles que les assureurs vérifient, directement dans votre navigateur, sans que rien soit enregistré ni transmis. Si la MFA est incomplète, réglez ça en premier; c'est la réponse qui pèse le plus sur l'obtention même d'une soumission. Montez ensuite le dossier de preuves pour que vos réponses tiennent la route. Et si vous préférez confier les correctifs et la documentation à un architecte — la personne qui fait le travail, pas un centre d'appels — c'est exactement ce que nous faisons.
Pour voir où vous en êtes dès maintenant, faites notre bilan d'admissibilité à la cyberassurance. Et si le questionnaire nomme des contrôles qui vous manquent, nos pages sur la sécurité Microsoft 365 et la sauvegarde et reprise expliquent comment on les met en place.
Questions fréquentes
La MFA est-elle obligatoire pour obtenir ou renouveler une cyberassurance?
En pratique, oui. L'absence de MFA est, de loin, la première cause de refus, et beaucoup d'assureurs ne soumettent même pas d'offre sans MFA sur le courriel et les accès à distance. Les souscripteurs s'attendent aussi à la voir sur les comptes administrateurs. Si vous utilisez Microsoft 365, la capacité est habituellement déjà comprise dans vos licences — il reste à l'activer et à l'imposer à tout le monde, sans exception.
Quels contrôles les assureurs cyber exigent-ils au Canada?
La plupart des assureurs canadiens se basent sur le cadre NIST CSF ou les contrôles CIS. Les exigences qui reviennent : la MFA partout, une protection des terminaux EDR/XDR, des sauvegardes immuables et testées, l'authentification du courriel (SPF, DKIM, DMARC), la gestion des correctifs et des vulnérabilités, la formation de sensibilisation, un plan de réponse aux incidents documenté et mis à l'épreuve, la gestion des accès privilégiés, des accès à distance sécurisés sans RDP exposé, et une surveillance en continu ou un service MDR.
Un assureur peut-il refuser une réclamation pour un contrôle manquant?
Oui. Si vous avez attesté d'un contrôle sur la proposition — la MFA est l'exemple classique — et qu'il n'était pas réellement en place au moment de l'incident, l'assureur peut réduire ou refuser la réclamation. C'est pourquoi les contrôles doivent être présents, constants et démontrables, pas seulement planifiés. Répondez au questionnaire avec franchise et conservez des preuves datées pour chaque contrôle.
Les mêmes contrôles servent-ils aussi à la conformité à la Loi 25?
En bonne partie, oui. La Loi 25 exige des mesures de sécurité raisonnables pour protéger les renseignements personnels, un registre des incidents de confidentialité et une notification quand un incident présente un risque de préjudice sérieux. La MFA, l'EDR, les sauvegardes testées, la formation et le plan de réponse aux incidents appuient à la fois le questionnaire de l'assureur et votre diligence au sens de la Loi 25 — le travail et la documentation servent deux fois.
Un test d'intrusion est-il exigé pour la cyberassurance?
Pas systématiquement, mais de plus en plus d'assureurs exigent des contrôles de sécurité documentés, et certains demandent un test d'intrusion pour émettre ou renouveler une police. Même sans exigence formelle, un rapport de test d'intrusion accompagné d'une revérification des correctifs constitue une preuve solide pour le questionnaire, et il répond du même coup aux revues de sécurité de vos clients.
Combien coûte un RSSI virtuel au Canada?
Deux soumissions de RSSI virtuel se ressemblent rarement. Comment la tarification fonctionne — et comment comparer les offres.
La Loi 25, c’est quoi pour une PME?
Ce que la Loi 25 exige réellement d’une PME — en langage clair, par une firme d’ici, bilingue.
Sauriez-vous répondre au questionnaire aujourd'hui?
Faites notre bilan gratuit de 2 minutes — les dix contrôles que les assureurs vérifient, avec un pointage et des prochaines étapes.