L'assurance cyber aide les entreprises suisses à se remettre d'un incident cyber.
Cela peut inclure :
les violations de données
les attaques par rançongiciel
les arnaques par hameçonnage
les interruptions de systèmes
la fraude numérique
Une police d'assurance cyber peut aider à couvrir les coûts de réponse, de restauration des systèmes, d'assistance juridique et de communication avec les clients.
Aujourd'hui, le risque cyber n'est pas seulement une question informatique. C'est une question de continuité des activités.
En juin 2026, le NCSC a constaté que de nombreuses organisations suisses disposent d'une protection informatique de base. Cependant, beaucoup manquent encore d'une stratégie complète de cyber-résilience. Cela crée un écart sérieux.
Un pare-feu et un logiciel antivirus peuvent aider à prévenir les attaques. Mais ils ne couvrent pas les dommages financiers si un incident grave interrompt l'activité.
Les cyberattaques peuvent affecter plusieurs domaines à la fois :
les revenus
la confiance des clients
les opérations quotidiennes
les obligations légales
Les PME sont particulièrement exposées. Beaucoup dépendent d'outils cloud, de la messagerie électronique, des paiements en ligne et de prestataires informatiques externes. Chacun de ces éléments peut constituer un point d'entrée potentiel pour les attaquants.
L'assurance cyber ne remplace pas une sécurité informatique solide. Elle aide à réduire le choc financier lorsqu'un incident survient. Elle soutient également une reprise plus rapide et mieux organisée.
Parlez à Assurance Genevoise des options d'assurance entreprise et professionnelle adaptées à votre activité avant qu'un incident cyber ne force la conversation.
Qu'est-ce que l'assurance cyber en Suisse ?
L'assurance cyber en Suisse est une police d'assurance professionnelle qui aide à couvrir les pertes financières et les coûts de réponse après un risque cyber. Elle est conçue pour les entreprises qui stockent des données clients, traitent des paiements, opèrent numériquement ou dépendent de systèmes informatiques pour fonctionner.
Une matrice de risques à examiner dans le cadre de toute évaluation des risques cyber :
Type de risque
Déclencheur typique
Impact sur l'entreprise
Hameçonnage
Un employé clique sur un lien malveillant
Vol d'identifiants, prise de contrôle de compte
Rançongiciel
Un logiciel malveillant chiffre les systèmes
Arrêt opérationnel, demande d'extorsion
Violation de données
Accès non autorisé aux données clients
Coûts de notification, réclamations juridiques, obligations nLPD
Défaillance fournisseur
Le prestataire informatique externe est compromis
Panne système, exposition des données, responsabilité contractuelle
Interruption d'activité
L'un des cas ci-dessus
Perte de revenus, pénalités clients, coûts de reprise
Hameçonnage
Déclencheur typiqueUn employé clique sur un lien malveillant
Impact sur l'entrepriseVol d'identifiants, prise de contrôle de compte
Rançongiciel
Déclencheur typiqueUn logiciel malveillant chiffre les systèmes
Impact sur l'entrepriseArrêt opérationnel, demande d'extorsion
Violation de données
Déclencheur typiqueAccès non autorisé aux données clients
Impact sur l'entrepriseCoûts de notification, réclamations juridiques, obligations nLPD
Défaillance fournisseur
Déclencheur typiqueLe prestataire informatique externe est compromis
Impact sur l'entreprisePanne système, exposition des données, responsabilité contractuelle
Interruption d'activité
Déclencheur typiqueL'un des cas ci-dessus
Impact sur l'entreprisePerte de revenus, pénalités clients, coûts de reprise
Types de risques
Comment fonctionne l'assurance cyber
L'assurance cyber combine généralement deux types de couverture :
La couverture en première partie protège les pertes propres de l'entreprise assurée, notamment les coûts de restauration des systèmes, de réponse à un incident et de remplacement des revenus perdus pendant l'arrêt des systèmes.
La responsabilité civile envers les tiers couvre les réclamations formulées par des clients, partenaires ou autres parties affectées ayant subi des pertes en raison de votre incident.
Couverture en première partie
Responsabilité civile envers les tiers
Qui est protégé
Votre propre entreprise
Clients et partenaires
Ce qui est couvert
Restauration des systèmes, perte de revenus, coûts de notification
Réclamations juridiques, dommages, règlements
Exemple
Un rançongiciel paralyse vos systèmes pendant trois jours
Un client poursuit en justice après que ses données ont été exposées via votre réseau
Qui est protégé
Couverture en première partieVotre propre entreprise
Responsabilité civile envers les tiersClients et partenaires
Ce qui est couvert
Couverture en première partieRestauration des systèmes, perte de revenus, coûts de notification
Responsabilité civile envers les tiersRéclamations juridiques, dommages, règlements
Exemple
Couverture en première partieUn rançongiciel paralyse vos systèmes pendant trois jours
Responsabilité civile envers les tiersUn client poursuit en justice après que ses données ont été exposées via votre réseau
Couverture en première partie vs. Responsabilité civile envers les tiers
Les polices varient selon l'assureur, le secteur, la taille de l'entreprise, le chiffre d'affaires, la maturité informatique et le type de données traitées. Il n'existe pas de produit standard d'assurance cyber en Suisse. Chaque police reflète le profil de risque réel de l'entreprise assurée.
Garanties de l'assurance cyber
L'assurance cyber peut couvrir les coûts de réponse à une attaque, de restauration des systèmes, de gestion des réclamations juridiques et de réduction des pertes opérationnelles. Ce que couvre une police spécifique dépend de ses conditions — lisez toujours les termes avant de signer.
Que couvre l'assurance cyber suisse ?
1. Coûts de réponse à l'incident
Les experts en forensique, les équipes de restauration informatique et le soutien à la gestion de crise sont généralement couverts. Ces coûts s'accumulent rapidement après une attaque et représentent le premier poste de dépenses pour la plupart des entreprises.
2. Réponse à une violation de données
La notification des clients concernés, l'obtention de conseils juridiques et la gestion des communications relèvent de la plupart des polices. En Suisse, cela est important tant sur le plan éthique qu'en vertu de la loi fédérale révisée sur la protection des données (nLPD).
3. Interruption d'activité
La perte de revenus due à l'arrêt des systèmes est une couverture de première partie essentielle. Si une attaque paralyse les opérations pendant plusieurs jours, la police peut compenser les revenus que l'entreprise n'a pas pu générer durant cette période.
4. Cyber-extorsion
De nombreuses polices couvrent les coûts liés aux cas de rançongiciel, notamment le soutien à la négociation et la réponse technique. La question de savoir si les paiements de rançon eux-mêmes sont couverts dépend des conditions spécifiques de la police et des termes de l'assureur. Ne supposez pas qu'ils sont automatiquement inclus.
5. Réclamations de responsabilité civile envers les tiers
Les réclamations de clients ou partenaires ayant subi des pertes à la suite de votre incident peuvent être couvertes par la section responsabilité civile de la police.
6. Réputation et soutien en cas de crise
Certaines polices incluent un soutien en relations publiques et en communication de crise, notamment pour les entreprises ayant un profil orienté client où la confiance est un actif commercial essentiel.
7. Soutien réglementaire et juridique
Les conseils juridiques liés aux obligations de protection des données, aux obligations de signalement des incidents et aux enquêtes réglementaires peuvent être couverts, selon la police.
Que ne couvre pas l'assurance cyber ?
L'assurance cyber ne couvre pas tous les risques numériques. La plupart des polices contiennent des exclusions qui comptent davantage que beaucoup d'acheteurs ne le réalisent avant de devoir déposer une réclamation.
Les exclusions courantes comprennent :
Les failles de sécurité connues. Si votre entreprise a identifié une vulnérabilité et n'y a pas remédié avant une réclamation, l'assureur peut refuser la couverture.
Une gestion des accès insuffisante. L'absence d'authentification multifacteur, des contrôles de mots de passe insuffisants ou des comptes administrateurs non surveillés peuvent déclencher des exclusions.
Les systèmes obsolètes : L'utilisation de logiciels non mis à jour ou de systèmes d'exploitation non pris en charge est une exclusion standard dans la plupart des polices cyber suisses.
La fraude couverte par une assurance crime : Certaines pertes liées à la fraude numérique relèvent d'une police d'assurance crime distincte, sauf si la couverture cyber les inclut explicitement.
Les attaques de guerre et d'État : Les pertes résultant d'opérations cyber d'États-nations ou de cyberguerre sont généralement exclues, bien que la formulation exacte varie selon les polices.
Les pertes liées aux fournisseurs et prestataires : Les dommages causés par un prestataire informatique externe ne sont pas toujours couverts, sauf si le risque lié à la chaîne d'approvisionnement et aux tiers est explicitement inclus dans la police.
La perte de revenus futurs : Les dommages à long terme à la réputation ou la perte de revenus futurs projetés au-delà de la période de couverture définie ne sont généralement pas couverts.
Comprendre les exclusions avant de signer est aussi important que de comprendre ce que la police couvre. De nombreuses entreprises ne découvrent les lacunes qu'après avoir déposé une réclamation.
Qui a besoin d'une assurance cyber en Suisse ?
Toute entreprise suisse qui stocke des données clients, utilise des outils numériques, traite des paiements ou dépend de systèmes en ligne devrait envisager une assurance cyber. La question n'est pas de savoir si votre entreprise utilise la technologie ; presque toutes le font. La question est de savoir ce qui arrive à vos opérations et à vos finances si ces systèmes tombent en panne ou sont compromis.
Entreprises présentant un risque cyber plus élevé
Certaines entreprises sont davantage exposées aux risques cyber en raison de la nature de leur activité :
Fiduciaires, comptables et consultants : Gestion de données financières et fiscales sensibles pour plusieurs clients
Cabinets médicaux et prestataires de soins de santé : Stockage de dossiers médicaux soumis à des règles strictes de protection des données
Cabinets d'avocats et notaires : Gestion de dossiers clients hautement confidentiels et de documents de transaction
Entreprises de commerce en ligne : Traitement des paiements par carte et stockage des comptes clients en ligne
Entreprises SaaS et informatiques : Exposées aux attaques sur la chaîne d'approvisionnement et à la responsabilité potentielle liée aux données clients
Agences immobilières : Gestion des transactions immobilières et des informations financières personnelles
PME utilisant des logiciels cloud : Dépendance à des plateformes tierces qu'elles ne peuvent pas entièrement contrôler
Indépendants et professionnels libéraux : Gestion de dossiers clients avec une infrastructure informatique limitée
Entreprises faisant appel à des prestataires informatiques externes : Portant un risque lié aux fournisseurs et à la chaîne d'approvisionnement que les équipes internes ne peuvent pas gérer directement
L'évaluation de la cyber-résilience 2026 du NCSC a identifié des faiblesses récurrentes dans les organisations suisses en matière de planification de la continuité. Les domaines où l'assurance cyber offre un filet de sécurité financier sont la planification de la reprise et la gestion des prestataires informatiques externes.
La responsabilité civile professionnelle couvre les réclamations découlant d'erreurs dans vos services.
L'assurance cyber couvre les incidents qui compromettent vos systèmes ou vos données.
De nombreuses entreprises bénéficient de détenir les deux dans le cadre d'une stratégie complète de gestion des risques.
Coûts de l'assurance cyber en Suisse
Le coût de l'assurance cyber en Suisse dépend de la taille de l'entreprise, du secteur, du chiffre d'affaires annuel, de la sensibilité des données, des contrôles de sécurité existants et du plafond de couverture demandé.
Principaux facteurs évalués par les assureurs lors de la souscription :
Secteur d'activité et données traitées, carun cabinet médical présente des risques différents d'un commerce de détail
Chiffre d'affaires annuel et nombre d'employés
Systèmes informatiques utilisés et degré de dépendance au cloud
Historique des sinistres sur toutes les lignes d'assurance
Plafond de couverture et franchise sélectionnés
Contrôles de sécurité déjà en place — authentification multifacteur, fréquence des sauvegardes, formation du personnel, protection des terminaux
Inclusion ou non d'une couverture pour interruption d'activité
Exposition internationale aux clients ou fournisseurs
Les primes varient considérablement selon les assureurs suisses et les niveaux de couverture. Une petite société de conseil disposant de solides contrôles de sécurité paie nettement moins qu'un prestataire de soins de santé gérant des milliers de dossiers patients sur plusieurs sites. Fournir des informations exactes lors de la souscription est essentiel — une fausse déclaration concernant l'environnement informatique peut affecter les résultats des réclamations.
Impact des règles cyber suisses sur l'assurance cyber
L'assurance cyber n'existe pas de manière isolée. Les obligations suisses en matière de protection des données, les obligations de signalement des cyberattaques pour les infrastructures critiques et les attentes croissantes en matière de cyber-résilience influencent ce que les polices doivent couvrir, et ce que les entreprises doivent faire lorsque des incidents surviennent.
Règles de signalement pour les infrastructures critiques
La Suisse a introduit une obligation de signalement obligatoire des cyberattaques sur les infrastructures critiques à partir du 1er avril 2025. Les opérateurs soumis à cette règle doivent signaler les cyberattaques au NCSC dans les 24 heures suivant leur découverte et compléter le rapport complet dans les 14 jours. La base légale repose sur la loi sur la sécurité de l'information et l'ordonnance sur la cybersécurité.
Les infrastructures critiques en Suisse comprennent l'approvisionnement en énergie, l'approvisionnement en eau, les services financiers, les soins de santé, les transports et l'administration publique.
Ce que cela signifie pour les entreprises ordinaires
La plupart des entreprises privées ne sont pas directement soumises à la règle de signalement des infrastructures critiques. Cependant, la réglementation signale un changement plus large dans la façon dont les régulateurs suisses perçoivent la cyber-résilience — et la tendance pointe vers des exigences plus strictes pour toutes les entreprises au fil du temps.
Points pratiques pour les entreprises hors du périmètre des infrastructures critiques :
Les signalements volontaires d'incidents au NCSC sont encouragés et aident à identifier les tendances plus larges sur le marché suisse
Chaque entreprise devrait disposer d'un plan de réponse aux incidents documenté, que le signalement obligatoire s'applique ou non
L'assurance cyber peut financer les conseils juridiques, le soutien en communication et la réponse technique que la gestion des incidents requiert — que le signalement soit obligatoire ou volontaire
N'attendez pas une attaque pour vérifier ce que votre police exige dans les premières heures suivant la découverte. La plupart des polices ont des délais de notification stricts
Comment choisir la bonne police d'assurance cyber
La meilleure police d'assurance cyber n'est pas la moins chère. C'est celle qui correspond à votre exposition réelle, à vos besoins de réponse et aux obligations de vos contrats clients.
Questions à poser avant de signer
Avant de vous engager dans une police, obtenez des réponses claires sur les points suivants :
La police couvre-t-elle l'interruption d'activité, et comment l'assureur calcule-t-il les pertes liées aux temps d'arrêt ?
Les rançongiciels et la cyber-extorsion sont-ils explicitement inclus dans les conditions de la police ?
Les pertes causées par des prestataires informatiques externes ou des défaillances de services cloud entrent-elles dans le périmètre ?
Quelle est la franchise, et s'applique-t-elle par incident ou par année de police ?
Les frais d'investigation forensique et les frais juridiques sont-ils couverts dès la première heure d'un incident ?
La police inclut-elle un soutien en communication de crise et en relations publiques ?
Les réclamations de clients ou partenaires affectés par votre incident sont-elles couvertes ?
Quels contrôles de sécurité votre entreprise doit-elle maintenir pour que la police reste valide ?
Que doit faire votre entreprise dans les 24 premières heures suivant la découverte d'un incident ?
Des limites territoriales s'appliquent-elles qui pourraient exclure les clients internationaux ou les systèmes transfrontaliers ?
Pourquoi faire appel à un courtier en Suisse ?
Les conditions des polices d'assurance cyber sont denses. Elles varient considérablement selon les assureurs et deviennent véritablement complexes lorsqu'elles sont combinées avec d'autres lignes de couverture. Un courtier fiable peut offrir à votre entreprise des solutions d'assurance cyber personnalisées :
Comparer les offres de plusieurs assureurs suisses en votre nom
Expliquer les exclusions en langage clair avant que vous ne signiez
Adapter les plafonds de couverture à la taille de votre entreprise et à votre profil de risque spécifique
Aider à combiner l'assurance cyber avec une couverture de responsabilité civile professionnelle ou un programme d'assurance d'entreprise plus large
Vous accompagner dans la construction d'une stratégie d'assurance complète à mesure que l'entreprise se développe et que son profil de risque évolue
Vous cherchez un courtier pour votre assurance cyber ?
Assurance Genevoise vous aide à trouver des solutions d'assurance adaptées à votre situation spécifique et vous accompagne tout au long de votre projet.
Que faire avant de demander un devis d'assurance cyber
Avant de contacter un courtier ou un assureur, faites le point sur vos risques numériques, vos bases de sécurité et votre préparation à la reprise. Les assureurs poseront des questions sur ces domaines lors de la souscription — et les réponses influencent à la fois votre prime et ce que la police couvre.
Une liste de contrôle pratique avant le devis :
Cartographier où sont stockées les données clients et employés — plateformes cloud, serveurs locaux, archives de messagerie
Vérifier qui a accès aux systèmes clés et si cet accès reste nécessaire
Activer l'authentification multifacteur sur tous les comptes professionnels et outils critiques
Vérifier la fréquence des sauvegardes et le temps réel nécessaire à une restauration complète
Mettre à jour les logiciels, appareils et systèmes d'exploitation — appliquer tous les correctifs en attente
Examiner les contrats des prestataires informatiques externes pour les clauses de responsabilité et les obligations de sécurité
Documenter votre plan de réponse aux incidents, même sous une forme basique
Former les employés à la sensibilisation au hameçonnage — la plupart des cyberattaques commencent encore par un clic
Lister les outils critiques pour l'activité dont vos opérations dépendent quotidiennement
Rassembler vos polices d'assurance actuelles pour les examiner parallèlement à toute nouvelle couverture cyber
Le NCSC a constaté en 2026 que de nombreuses organisations suisses disposent de mesures informatiques de base mais manquent encore d'une stratégie de résilience globale et fondée sur les processus. Compléter cette liste de contrôle avant de contacter un courtier permet d'obtenir de meilleures conditions de couverture et réduit le risque d'exclusions lors d'une réclamation ultérieure.
Risques cyber croissants en Suisse jusqu'en 2030
Les risques cyber les plus concrets pour les entreprises suisses en ce moment sont le hameçonnage, les fausses plateformes, les e-mails de chantage, les logiciels malveillants, la compromission d'outils cloud et la faiblesse de la planification de reprise. Ce ne sont pas des menaces théoriques futures — le NCSC les a toutes documentées dans de vrais cas suisses au cours du seul premier semestre 2026.
Juin 2026 : De fausses invitations à des réunions Zoom ont circulé ciblant des utilisateurs suisses, propageant des logiciels malveillants et des outils d'accès à distance une fois ouvertes.
Avril 2026 : Des e-mails de hameçonnage liés au processus de renouvellement de la vignette électronique suisse ont ciblé des particuliers et des entreprises à travers la Suisse.
Février 2026 : Des e-mails de chantage prétendant détenir des données personnelles sensibles sont arrivés dans les boîtes de réception suisses, causant de la détresse et entraînant dans certains cas des paiements aux attaquants.
Aucune de ces attaques n'a nécessité de techniques sophistiquées. Elles ont atteint des entreprises de toutes tailles et de tous secteurs via des canaux de communication ordinaires.
Le risque cyber est désormais un risque opérationnel
Le cadre a évolué. Le risque n'est plus seulement « et si des données étaient volées ? » C'est « et si l'entreprise ne pouvait plus fonctionner ? » Un rançongiciel qui chiffre les systèmes n'expose pas seulement des données — il arrête la facturation, la communication avec les clients, la livraison et toutes les autres fonctions quotidiennes qui dépendent de ces systèmes.
L'assurance cyber fait désormais partie d'une planification plus large de la résilience des entreprises. Elle s'inscrit aux côtés de la sécurité informatique, des systèmes de sauvegarde, des procédures de réponse aux incidents et de la formation du personnel — et non à leur place. Une entreprise qui détient une couverture cyber sans les pratiques de sécurité sous-jacentes risque de trouver des exclusions qui s'appliquent précisément au moment où elle a le plus besoin de la police.
Conclusion
Les cyberattaques contre les entreprises suisses augmentent en fréquence, en sophistication et en coût. Les rapports 2026 du NCSC confirment que les méthodes d'attaque se diversifient et que les cibles couvrent tous les secteurs et toutes les tailles d'entreprise. Les PME, les cabinets professionnels et les prestataires de services sont clairement dans le viseur.
L'assurance cyber ne rend pas une entreprise immune. Elle lui offre un chemin structuré et financièrement soutenu vers la reprise. L'assurance couvre les coûts de réponse immédiats, l'exposition juridique, les notifications aux clients et les pertes opérationnelles qu'un incident grave génère.
Pour trouver la bonne assurance cyber pour votre entreprise, contactez Assurance Genevoise. Nos conseillers vous aident à comparer des options d'assurance sur mesure auprès des assureurs suisses, à comprendre ce que les exclusions signifient concrètement pour vos opérations, et à choisir une couverture adaptée à votre risque réel, et non au modèle de police le plus courant.