La cyberassurance couvre les frais de réponse aux incidents, les pertes d'exploitation et les obligations légales. Mais en 2026, les assureurs vérifient ce que vous avez réellement déployé : sans MFA partout, sauvegardes testées, EDR et plan de réponse, votre réclamation risque le refus. Au Québec, la Loi 25 ajoute des obligations distinctes : tenir un registre des incidents pendant cinq ans, aviser la CAI et les personnes touchées en cas de risque sérieux. La police d'assurance vous aide à payer la facture, mais ne vous dispense pas du registre.
Psst! On sait que vous le savez, mais Blue Fox n'est ni courtier en assurance, ni cabinet d'avocats, et ne possède pas les compétences pour émettre des conseils d'ordre juridique ou financier. Il s'agit plutôt ici des résultats d'une recherche sur un sujet épineux du jour.
Bonne lecture! 🦊
En juin 2019, un employé infidèle de Desjardins exfiltrait pendant 26 mois les renseignements personnels de 4,2 millions de membres. Bilan : un règlement de classe approuvé par la Cour supérieure du Québec pouvant atteindre 200,8 millions de dollars. C'est l'incident qui a réveillé le marché québécois de la cyberassurance.
En novembre 2024, ce sont les fichiers d'une PME manufacturière de Lévis qui ont été chiffrés par le rançongiciel LockBit 3.0. Demande : 85 000 $ US en bitcoin. Pas de couverture médiatique nationale, pas de communiqué de presse, juste un dirigeant qui décroche le téléphone pour appeler son assureur. Et qui découvre que la cyberassurance qu'il pensait avoir, ce n'était pas tout à fait ça.
Le marché canadien de la cyberassurance devrait passer de 590 millions USD en 2025 à 1,14 milliard USD d'ici 2030. Cette croissance n'est pas due à la générosité des assureurs : c'est la fréquence et la sévérité des incidents qui poussent les primes vers le haut. Et avec ça vient un resserrement des conditions de souscription. On fait le tour de ce que ça implique pour vous.
Ce que la cyberassurance couvre
Une bonne police protège sur plusieurs fronts. La réponse à un incident couvre l'enquête judiciaire informatique, les spécialistes en réponse aux incidents et les coûts de notification aux personnes touchées. Quand un rançongiciel frappe, ces experts facturent à l'heure et la facture monte vite.
L'interruption des activités compense la perte de revenus quand les systèmes sont paralysés pendant des jours. Les frais juridiques et réglementaires couvrent les honoraires d'avocats et les obligations liées à la Loi 25 au Québec ou la LPRPDE au fédéral. Certaines polices couvrent aussi les négociations et le paiement de rançon, ainsi que la communication de crise pour gérer les retombées médiatiques et la perte de réputation.
C'est ce que ça couvre en théorie. La pratique est souvent moins simple.
Ce que ça ne couvre pas
Les exclusions sont nombreuses et souvent enfouies dans les petits caractères. Voici ce qui revient le plus souvent.
| Couvert | Généralement exclu |
|---|---|
| Rançongiciel et extorsion | Actes de guerre et attaques étatiques |
| Enquête judiciaire informatique | Vulnérabilités connues non corrigées |
| Interruption des activités | Fraude par ingénierie sociale (souvent en option) |
| Notification aux personnes touchées | Défaillance de fournisseurs tiers |
| Frais juridiques | Vulnérabilités préexistantes connues |
| Communication de crise | Non-respect des mesures de sécurité exigées |
L'exclusion la plus piégeuse n'est même pas dans cette liste : c'est la fausse déclaration. Si vous avez coché « oui » au questionnaire pour le MFA mais que vous ne l'avez pas réellement déployé partout, l'assureur peut refuser votre réclamation. Et ça arrive : environ 27 % des réclamations cyber sont refusées ou partiellement payées à cause d'exclusions ou d'écarts entre les déclarations et la réalité.
Trois jugements qui ont changé les règles
Trois décisions récentes valent la peine d'être lues attentivement avant de signer. Ce sont les cas où les angles morts du contrat sont devenus visibles.
Merck c. ACE American Insurance (règlement 2024) : l'exclusion d'actes de guerre. Quand le rançongiciel NotPetya a frappé Merck en 2017, les pertes ont totalisé 1,4 milliard USD. Les assureurs ont refusé en invoquant l'exclusion « actes hostiles ou guerriers », arguant que NotPetya était attribué à la Russie. Après six ans de procédure, Merck a gagné en première instance puis en appel, et les assureurs ont réglé en janvier 2024, quelques jours avant l'audition prévue à la Cour suprême du New Jersey. Conséquence pour vous : depuis cette décision, les assureurs ont réécrit l'exclusion d'actes de guerre dans la plupart des polices cyber. Lisez la nouvelle version. La formulation peut être beaucoup plus large que vous ne le pensez.
EMOI Services c. Owners Insurance (Cour suprême de l'Ohio, 2022) : l'intangible qui ne compte pas. Cette PME américaine de logiciel a payé 35 000 $ pour récupérer ses fichiers chiffrés. Sa police « businessowners » avec un volet électronique a été activée. Refus le jour même. La Cour suprême de l'Ohio a tranché : la police exigeait une « perte ou dommage physique direct » à l'équipement électronique, et les fichiers chiffrés sont intangibles, pas physiquement endommagés. Le piège ici n'est pas la mauvaise foi de l'assureur : c'est qu'EMOI n'avait jamais souscrit une vraie police cyber, juste une couverture générale d'affaires. Beaucoup de PME sont dans le même cas et l'ignorent jusqu'au jour de la réclamation.
CiCi Enterprises c. HSB Specialty Insurance (Cour fédérale du Texas, février 2026) : quand la sous-limite ne tient pas. En 2022, la chaîne CiCi a subi une cyberattaque qui lui a coûté 1,2 million, dont 400 000 $ de rançon. HSB a tenté d'invoquer une sous-limite de 250 000 $ pour les rançongiciels. Le juge a tranché en faveur de CiCi : la rédaction de la sous-limite était trop floue, le plafond global de 3 millions s'applique. La leçon n'est pas qu'il faut être prêt à poursuivre son assureur. Aucune PME ne veut se rendre là. La leçon, c'est que les sous-limites valent ce que vaut leur clarté. Avant de signer, faites lire les avenants par votre courtier ou un avocat qui les comprend.
Ce que les assureurs exigent et vérifient vraiment
L'époque du formulaire d'une page et du chèque signé est révolue. Selon le rapport 2025 de Marsh McLennan, 99 % des soumissions de cyberassurance posent maintenant des questions précises sur le MFA. Les assureurs demandent des captures d'écran, des journaux, des résultats de tests de sauvegarde, des politiques écrites. Le contrôle ne s'arrête pas à la souscription : un audit peut être déclenché en cours de police, pas seulement au renouvellement.
Six contrôles reviennent dans la quasi-totalité des questionnaires.
Authentification multifacteur partout : courriel, infonuagique, VPN, accès à distance, comptes administrateurs. Le MFA seulement sur le courriel du patron n'est plus accepté.
Sauvegardes régulières, testées (idéalement chaque trimestre) et idéalement immuables. Une sauvegarde qu'un rançongiciel peut chiffrer comme le reste n'en est pas vraiment une.
Protection des postes (EDR/MDR) : un antivirus classique ne suffit plus. Les assureurs veulent une solution moderne avec détection comportementale, idéalement avec supervision humaine.
Formation et sensibilisation des employés, documentée. Selon le Centre canadien pour la cybersécurité, près de 60 % des PME canadiennes touchées par un rançongiciel l'ont été par hameçonnage ou identifiants compromis. C'est l'humain qui est le maillon le plus exploité, et les assureurs le savent.
Plan de réponse aux incidents écrit, testé, connu de l'équipe. Un plan dans un tiroir n'a aucune valeur si personne ne sait qui appeler à 2 h du matin.
Gestion des correctifs dans des délais courts (souvent 30 jours pour les correctifs critiques). Aucune sympathie pour une vulnérabilité Fortinet ou Cisco non corrigée six mois après la divulgation. C'est exactement le profil que les groupes de rançongiciels exploitent en priorité.
Combien ça coûte au Canada
Pour une PME canadienne avec un risque modéré, les primes annuelles se situent généralement entre 500 $ et 2 500 $, mais l'écart est large selon le profil.
La taille de l'entreprise et son chiffre d'affaires comptent : plus l'exposition est grande, plus la prime monte. Le secteur d'activité aussi : santé, commerce de détail et services financiers paient plus à cause de la sensibilité des données traitées. La quantité de renseignements personnels stockés influence directement le montant. Et finalement, vos pratiques de sécurité : une organisation qui démontre une posture proactive obtient des primes plus basses, parfois significativement plus basses.
Le vrai coût à considérer, c'est celui d'un incident sans assurance. Une enquête judiciaire à six chiffres, des notifications aux clients, des avocats, une interruption de plusieurs jours : la facture dépasse facilement le million pour une PME de 30 personnes. La prime de 2 000 $ par année prend une autre saveur dans ce contexte.
Loi 25 : vos obligations restent vos obligations
Au Québec, la Loi 25 impose des obligations claires en cas d'incident de confidentialité présentant un risque de préjudice sérieux : signaler à la Commission d'accès à l'information sans délai, aviser les personnes touchées, et tenir un registre des incidents pendant cinq ans. Les sanctions administratives pécuniaires peuvent atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial (le plus élevé). En cas de poursuites pénales, ça monte à 25 millions ou 4 %.
La cyberassurance vous aide à payer la facture liée à ces obligations. Elle ne vous dispense pas de les respecter. Et un contrôle de la CAI ne se règle pas avec un chèque de l'assureur : c'est votre nom qui apparaît au registre public des sanctions.
Avant de magasiner
Les contrôles de base à avoir en place avant même de remplir un questionnaire de cyberassurance :
- MFA déployé sur tous les comptes (courriel, infonuagique, VPN, admin)
- Sauvegardes automatisées et testées au moins une fois par trimestre, idéalement immuables
- EDR ou MDR actif sur tous les postes, pas un antivirus de 2015
- Politique de mises à jour appliquée dans les 30 jours pour les correctifs critiques
- Plan de réponse aux incidents écrit, testé, connu de l'équipe
- Formation de sensibilisation, documentée, idéalement annuelle
- Registre Loi 25 prêt à recevoir un incident, pas à créer dans la panique
Chaque contrôle coché améliore votre dossier, réduit votre prime, et surtout protège votre couverture en cas de réclamation.
Notre approche chez Blue Fox
On ne vend pas d'assurance et on ne touche aucune commission de courtier. Ce qu'on fait, c'est mettre en place les contrôles que les assureurs exigent maintenant : déploiement du MFA, configuration des sauvegardes immuables, EDR sur les postes, durcissement des systèmes, plans de réponse aux incidents documentés. On utilise des solutions libres autant que possible. Vous gardez le contrôle sur vos outils et vous n'êtes pas captif d'un fournisseur.
Au moment de remplir le questionnaire de votre assureur, on vous aide à documenter ce qui est réellement en place. Parce que la fausse déclaration, c'est la première raison de refus de réclamation, et celle qui peut transformer un incident gérable en sinistre non couvert.
On offre des audits de sécurité et des services de durcissement directement alignés sur les exigences des cyberassureurs canadiens. On documente tout pour que votre dossier soit solide quand viendra le temps de souscrire ou de réclamer. On en jase.
La cyberassurance est un outil utile, mais ce n'est ni un substitut à la sécurité, ni un raccourci pour la conformité Loi 25. Combinée à des contrôles solides et à une rigueur opérationnelle, elle peut faire la différence entre un incident gérable et une fermeture définitive. Sans contrôles, c'est une dépense qui risque de ne rien rapporter au moment où ça compterait le plus.
Sources
Desjardins settles 2019 data breach class-action lawsuit for up to nearly $201M, CBC News
EMOI Services LLC v. Owners Insurance Co., Cour suprême de l'Ohio (2022)
Merck Settles Coverage Dispute With Insurers Over War Exclusion in NotPetya Attack, Insurance Journal
Court Refuses to Slice Up CiCi's Cyber Extortion Coverage, National Law Review (2026)
Cyber Claims 2025: Data privacy remains a challenge while ransomware lingers, Marsh
La cybersécurité reste routinière malgré la multiplication des cyberattaques, KPMG Canada
Sanctions administratives pécuniaires, Commission d'accès à l'information du Québec
Cyber Insurance in 2025: Controls Insurers Actually Verify, Sirkit
Cyber Insurance: How Canadian Businesses Qualify, RevNet
How Much Does Cyber Insurance Cost in Canada?, NeoLore Networks
Avoiding The Most Common Cyber Insurance Claim Denials, GB&A Insurance
Cyber Insurance Audit Requirements: 2025-2026 SMB Guide, IntelTech