Assurance cyber en Belgique : ce que les PME doivent savoir avant de signer

Pourquoi l'assurance cyber devient incontournable

Le coût moyen d'une cyberattaque pour une PME belge dépasse les 85 000 € selon le CCB — rançon, arrêt d'activité, reconstruction des systèmes, notification des clients. Peu de PME ont cette trésorerie disponible. L'assurance cyber est devenue, pour beaucoup, le filet de sécurité financier de dernier recours.

Le marché belge a explosé ces trois dernières années : la plupart des grands assureurs proposent désormais des produits cyber adaptés aux PME, et les courtiers spécialisés se multiplient. Mais attention — "police cyber" ne veut pas dire grand-chose en soi. Les écarts de couverture entre deux contrats peuvent être considérables.

Ce qu'une bonne police cyber doit couvrir

Frais de gestion de crise : investigation forensique pour comprendre ce qui s'est passé, notification des personnes concernées (obligation légale en cas de violation de données personnelles), communication de crise.

Pertes d'exploitation : le chiffre d'affaires perdu pendant l'arrêt d'activité — souvent la partie la plus coûteuse. Vérifiez la franchise (en jours), le plafond, et la définition de "perte prouvée".

Frais de restauration des systèmes : reconstruction des postes, récupération des données, reconfiguration des serveurs.

Responsabilité civile cyber : si une attaque via vos systèmes impacte vos clients ou fournisseurs, cette garantie couvre les réclamations tierces.

Rançon : certaines polices remboursent le paiement d'une rançon. C'est controversé (ça finance les attaquants) mais c'est une réalité du marché.

Les exclusions à lire attentivement

• Négligence caractérisée : si vous n'aviez pas de MFA activé au moment de l'incident, certains assureurs refusent d'indemniser. La définition de "négligence" varie selon les contrats.
• Guerre et cyberguerre : depuis le conflit en Ukraine, les assureurs ont précisé leurs exclusions pour les attaques attribuées à des États. Ce point est en cours d'évolution juridique.
• Erreur humaine interne : certaines polices excluent les incidents causés volontairement par un employé.
• Systèmes non couverts : vérifiez que la police couvre bien vos environnements cloud (M365, AWS…) et pas seulement l'infrastructure on-premise.

Les prérequis exigés par les assureurs

Le marché s'est durci : en 2020, une simple déclaration suffisait. Aujourd'hui, les assureurs exigent des preuves de maturité sécurité avant d'accorder une couverture, ou appliquent des franchises élevées en leur absence :

• MFA activé sur tous les accès (souvent une condition sine qua non)
• Sauvegardes récentes, testées, et stockées hors site
• Plan de réponse aux incidents documenté
• Mises à jour Windows à jour
• Filtrage des emails et protection endpoint active

Autrement dit : les bonnes pratiques de sécurité ne sont plus optionnelles si vous voulez être assurable à un tarif raisonnable.

L'assurance cyber remplace-t-elle la sécurité ?

Non — et les assureurs le disent eux-mêmes. Une police cyber indemnise après coup. Elle ne vous évite pas l'arrêt d'activité, le stress, la perte de données irrecouvrables, la notification de vos clients. C'est un complément à la sécurité, pas un substitut. Les PME les mieux protégées sont celles qui paient moins cher leur assurance parce qu'elles présentent un risque moindre.