Beaucoup de dirigeants pensent qu'une souscription cyber prend des semaines et nécessite un audit lourd. Pour une PME standard, le parcours s'effectue en 48 à 72 heures et l'essentiel tient en 6 étapes. Voici comment ça se passe avec un courtier sérieux.
Étape 1 — Pré-diagnostic gratuit (15 min)
Première prise de contact, généralement par téléphone ou via un simulateur en ligne. Recueil des informations clés : taille (CA, effectif), secteur, niveau de digitalisation, données sensibles traitées, antécédents éventuels. Cette étape sert à orienter vers les bons assureurs et à donner une fourchette tarifaire indicative.
Étape 2 — Questionnaire de risque (20 à 45 min)
Document structuré de 20 à 50 questions selon la taille. Sujets couverts : architecture SI, maturité cyber (MFA, EDR, sauvegardes, formation), données traitées, sous-traitants critiques, processus de paiement, incidents passés. Conseil : remplir avec votre référent IT ou prestataire informatique. Les déclarations engagent — une réponse fausse peut vider la garantie.
Étape 3 — Analyse et recommandations
Le courtier analyse vos réponses, identifie les éventuels prérequis manquants, suggère des actions correctives rapides si nécessaires. À ce stade, certains points peuvent bloquer la souscription : absence de MFA admin, sauvegardes non-immuables, antécédents non documentés. Mieux vaut les traiter avant la mise en concurrence.
Étape 4 — Mise en concurrence (24 à 48h)
Le courtier sollicite 3 à 7 assureurs cyber sur la base d'un dossier homogène. Retours généralement sous 24 à 48h pour les PME standards, plus long (jusqu'à 10 jours) pour les ETI ou les profils complexes. Le courtier compare prime, plafonds, franchises, exclusions, garanties optionnelles, qualité de la cellule de crise et présente une synthèse claire.
Étape 5 — Choix et signature (1h)
Comparaison des 2 ou 3 propositions retenues, choix avec votre courtier. Signature électronique, généralement DocuSign ou équivalent. Paiement de la prime annuelle (ou trimestrialisé selon l'assureur). Le contrat est juridiquement actif à la date convenue, sous réserve de paiement de la prime initiale.
Étape 6 — Onboarding (gratuit, inclus)
Réception de l'attestation, des coordonnées de la hotline 24/7, du kit de gestion de crise (numéros utiles, modèle de communication, checklist). Briefing 30 min avec votre référent technique pour valider que les coordonnées de cellule de crise sont bien diffusées en interne. Cette étape souvent négligée fait pourtant la différence le jour d'un sinistre.
Les 5 pièges à éviter
1. Sous-déclarer pour réduire la prime : l'économie est annulée par le refus de garantie en cas de sinistre. 2. Choisir uniquement sur le prix : un contrat pas cher avec mauvaise cellule de crise est un mauvais investissement. 3. Ignorer les exclusions : surtout sur acte de guerre, sous-traitance, fraude au virement. 4. Oublier les garanties optionnelles utiles (FOVI, e-réputation, PCI-DSS). 5. Ne pas tester la hotline dans les semaines suivant la souscription pour vérifier qu'elle fonctionne.
Ce que coûte un courtier indépendant
Rien de plus qu'une souscription en direct. La prime est identique, le courtier est rémunéré par une commission de l'assureur intégrée à la prime. Vous gagnez : la mise en concurrence effective, l'analyse des clauses, le suivi annuel, et surtout l'assistance en cas de sinistre. Ce dernier point est probablement la valeur ajoutée la plus sous-estimée — un courtier vous défend face à l'assureur si une indemnisation traîne.