Aller au contenu principal
Assurance Guide pratique PME

Exiger une couverture cyber des prestataires clés

Votre assurance cyber couvre-t-elle vos prestataires et sous-traitants clés ?

En bref — ce que vous devez retenir

Vos prestataires IT, hébergeurs et sous-traitants ont accès à votre infrastructure ou à vos données. S'ils subissent un incident cyber et qu'il se propage chez vous, vous en subissez les conséquences. Exiger qu'ils soient eux-mêmes assurés cyber est une mesure de protection contractuelle essentielle.

? Nature du problème

Les attaques par la chaîne d'approvisionnement (supply chain attacks) ciblent les prestataires pour atteindre leurs clients. SolarWinds (2020), Kaseya (2021), Log4Shell (2021) — des milliers d'entreprises ont été compromises via leurs prestataires.

Si votre prestataire IT est compromis et que son accès à votre infrastructure est utilisé par un attaquant, votre propre assurance cyber peut refuser de couvrir le sinistre (origine tiers). La seule protection contractuelle est d'exiger que vos prestataires aient leur propre assurance et vous le prouvent.

Comment corriger — étape par étape

  1. Identifiez vos prestataires avec accès à votre infrastructure ou données : ESN, infogérant, comptable avec accès cloud, hébergeur, éditeur de logiciel
  2. Ajoutez dans tout nouveau contrat une clause : "Le prestataire déclare être couvert par une assurance cyber avec un plafond minimum de [X] € et s'engage à en apporter la preuve sur demande"
  3. Pour les contrats existants, demandez à chaque prestataire stratégique un certificat d'assurance cyber
  4. Vérifiez que les accès de vos prestataires sont limités (moindre privilège) et journalisés
  5. Incluez une clause de notification obligatoire en cas d'incident chez le prestataire

! Incidents réels

Cabinet d'avocats — Paris, 2023

Leur ESN (infogérant) a subi un ransomware. Via les accès VPN de l'ESN, l'attaque s'est propagée chez 5 de leurs clients dont le cabinet. L'assurance du cabinet a refusé de couvrir car l'incident était "d'origine tiers non couverte".

Directeur financier — PME Bretagne, 2022

"Notre comptable externalisé avait accès à notre logiciel de facturation et comptabilité. On a découvert qu'il n'avait aucune assurance cyber. On a immédiatement révisé le contrat et limité ses accès à un VDI isolé."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →