Retour à tous les articles

Cybersécurité & Assurance

Enjeux, limites et tendances de la Cyber-Assurance au Canada

Essor de la Cyber assurance et ses zones grises

Face à l’explosion des cyberattaques, les organismes souscrivent de plus en plus à la cyber assurance dans l’optique de se protéger des pertes financières.

Problématique: Dans ce cas, peut-on faire confiance à la police d’assurance pour compenser les dégâts par exemple d’un rançongiciel ou d’une fuite massives des données? Autrement dit, la cyberassurance est-elle un solution ou une illusion face à l’augmentation des primes, à la multiplication des exclusions?

Adoption en forte croissance mais inégale

  • En 2024, environ 40% des PME canadiennes déclarent avoir une forme de Cyber assurance.
  • Les grands organismes sont mieux couverts, mais aussi plus ciblées par les attaques (source: Centre Canadien pour la Cybersécurité / CCC)
  • Les secteurs les plus assurés: finance, soins de santé, services professionnels.
  • Une pression réglementaire croissante (Loi 25, Loi C-26) stimule les organisations à se doter de garanties minimales

Les limites critiques de la cyber assurance

1-Exclusions fréquentes et floues

Plusieurs polices ne couvrent pas:

  • Les erreurs humaines
  • Les attaques par états-nations
  • Les logiciels non mis à jour
  • Les sous-traitants compromis

2-Délais de Remboursement et complexité des réclamations

  • La charge des preuves repose très souvent sur l’organisme assuré
  • Les indemnisations sont parfois partielles ou conditionnelles à une conformité rigoureuse.

3-Fausse impression de sécurité

  • Certains organismes diminuent leurs investissements en sécurité technique, pensant être ‘’couvert’’
  • Cette fausse impression rend vulnérables les organismes et non assurables à long terme

Évolution du marché avec une cyber assurance plus sélective

  • Hausses des primes (+30 à 70% en 2 ans dans certains secteurs au Canada)
  • Moins de garanties des standards et plus d’options à la carte (exemple: rançongiciels, réputation, pertes d’exploitation)
  • Vérifications préalables renforcéesbref certains assureurs demandent aujourd’hui:
    • Le MFA sur tous les accès critiques
    • La segmentation réseau
    • La formation des employés
    • Les plans de réponse testés et validés

Recommandations clés: Maximiser la Couverture & la Posture de Sécurité

  • Avant de souscrire à une police d’assurance:
  • Évaluer les risques réels de l’organisme
  • Solliciter l’expertise conseil juridique et/ou en cybersécurité pour la compréhension des clauses
  • Mettre à jour les politiques internes, les plans de réponse et les journaux

Après la souscription à une police d’assurance:

  • Éviter de considérer l’assurance comme un substitut aux bonnes pratiques
  • Inclure la cyber assurance dans le plan de gestion de crise
  • Tester et valider régulièrement les capacités de détection, de réponse et de traçabilité

Intégré la Cyber assurance dans une approche globale de cyber résilience avec prévention, détection, réaction et amélioration
est un idéal.

NB: Une cyber assurance utile est celle comprise, adaptée aux risques réels, et intégrée à la stratégie de Cybersécurité.

Cyber assurance au Canada: 7 Questions à se prémunir avant de signer une police d’assurance

  1. Que couvre concrètement la police?
    • Faut-il que l’attaque soit confirmée par une autorité?
    • Sont-elles couvertes: les rançongiciels, DDoS, Hameçonnage, fuite de données?
    • Les pertes indirectes sont-elles incluses (exemple: interruption d’activité)?
  2. Quels types d’incidents sont-ils exclus?
    • Les attaques par des États étrangers?
    • Les failles causées par une erreur humaine?
    • Non-conformité aux obligations légales (exemple: Loi 25, C-26)?
    • Non-application des mises à jour critiques?
  3. Quels sont les prérequis techniques pour que la couverture s’applique?
    • MFA Obligatoire? Sauvegardes chiffrées? Journaux de connexion conservés?
    • L’organisme a-t-il besoin d’un plan de réponse aux incidents validé?
  4. Quels sont les délais et conditions d’indemnisation?
    • Délai de déclaration d’incident (souvent 48h à 72h)
    • Quels documents de preuve l’organisme doit-il fournir?
    • À quel vitesse l’organisme sera-t-il indemnisé?
  5. Les sous-traitants et les partenaires sont-ils couverts?
    • Le fournisseur infonuagique est-il inclus?
    • Que se passe-t-il une brèche vient d’un tiers?
    • La police couvre-t-elle les filiales ou seulement le siège?
  6. Quel est le plafond d’indemnisation et la franchise?
    • Y’a-t-il des sous-limites par type d’incident?
    • Quelle est la franchise à payer avant activation de la couverture?
    • Existe-t-il des frais non remboursés (exemple: frais juridiques, image de marque)?
  7. Quelle est la procédure en cas de sinistre?
    • L’organisme a-t-il un numéro d’urgence? Un référent attiré?
    • L’assureur fournit-il un expert en cybersécurité ou un accompagnement juridique?
    • Le remboursement est-il conditionné à une enquête externe?

 

Plus d'articles

Cyberrisque & L’humain

le 24 octobre 2025

Nous constatons qu'en 2025, les cybercriminels cibleront davantage les individus que les systèmes avec des campagnes de phishing de plus en plus crédibles, personnalisées et localisées et l'exploitation des données humaines.

Lire plus

Cyber Résilience & Les PME

le 24 octobre 2025

La plupart des PME pense ne pas viser la résilience car elles pensent que celle-ci est réservée aux organismes stratégiques tels que: la Banque, l’Hôpital, les Télécommunication, etc.

Lire plus