Avant de souscrire une assurance ou d'investir dans des outils de sécurité, il faut savoir où l'on se situe. La méthode présentée ici reprend la grille standard utilisée par les assureurs cyber lors du questionnaire de risque. Elle permet à tout dirigeant d'estimer en 30 minutes son niveau d'exposition.
Critère 1 — La dépendance numérique
Combien de jours pouvez-vous fonctionner sans informatique ? Pour une PME industrielle classique, la réponse est entre 1 et 5 jours. Pour un e-commerçant, c'est zéro. Plus la dépendance est forte, plus le coût d'arrêt est élevé. Mesurez précisément : CA quotidien moyen × jours d'arrêt probable = exposition perte d'exploitation.
Critère 2 — Les données sensibles détenues
Listez les bases : clients (combien d'enregistrements ?), salariés, fournisseurs, données bancaires, données de santé, secrets industriels. La sensibilité juridique (RGPD, secret professionnel) et la valeur économique pour un attaquant déterminent l'exposition aux fuites. Une PME e-commerce avec 200 000 clients a une exposition data breach autour de 1 à 3 M€.
Critère 3 — La surface d'attaque externe
Combien de services exposés sur Internet : site web, VPN, RDP, messagerie, ERP, applications métier ? Plus la surface est grande, plus l'attaquant a d'opportunités. Un audit gratuit comme celui de l'ANSSI (MonServiceSécurisé) ou un scan Shodan ciblé donne une première vision objective. Les services exposés non utilisés représentent souvent 30 à 50 % de la surface inutile.
Critère 4 — La maturité des fondamentaux
Cinq points à scorer en oui/non : MFA généralisé, sauvegardes 3-2-1 testées, EDR sur les endpoints, patching critique sous 30 jours, formation phishing annuelle. Score 5/5 : maturité haute, primes réduites de 30 à 40 %. Score 0–2/5 : refus de garantie probable chez la plupart des assureurs en 2026. Score 3–4/5 : couverture standard avec recommandations.
Critère 5 — Le secteur d'activité
Tous les secteurs ne sont pas égaux face aux attaquants. Très exposés : santé (donnée valorisée à 250 € l'enregistrement sur le dark web), finance, e-commerce, professions juridiques, immobilier, cabinets comptables. Moyennement exposés : industrie classique, distribution physique, BTP. Moins exposés : artisans non-numériques, agriculture. Cette pondération influence directement la prime et les exclusions.
Critère 6 — La chaîne de sous-traitants
Listez vos prestataires informatiques critiques : hébergeur, infogérant, ERP cloud, comptabilité, CRM. Une attaque sur l'un d'eux peut interrompre votre activité sans qu'ils soient contractuellement responsables. Vérifiez : ont-ils une assurance cyber ? Quels engagements RTO/RPO ? Quelle politique de notification en cas d'incident ?
Critère 7 — La gouvernance et la culture
Existe-t-il un référent sécurité identifié ? Une politique de sécurité documentée ? Un plan de réponse à incident ? Une revue annuelle des accès ? Un budget cyber dédié ? Ces éléments organisationnels déterminent la résilience face à un sinistre. Une PME avec une culture cyber faible mais des outils corrects reste plus exposée qu'une PME bien gouvernée avec moins d'outils.
Synthétiser et agir
Notez chaque critère de 1 à 5. Sommez. Score 25–35 : excellent, vous êtes prêt pour une couverture optimale et tarifée. Score 17–24 : correct, quelques actions ciblées avant souscription. Score < 17 : il faut traiter les fondamentaux avant l'assurance, sous peine de refus ou de garanties vidées. Notre simulateur en ligne reprend cette logique et vous donne une fourchette de prime en 3 minutes.