En novembre 2023, un cabinet comptable de Drummondville a subi une attaque par ransomware. Le groupe derrière l’attaque avait chiffré 100% des fichiers clients — 18 ans de données comptables. La rançon demandée était de 85 000 $ en Bitcoin.
Le propriétaire avait souscrit une assurance commerciale générale, une assurance responsabilité professionnelle, et une assurance incendie. Aucune des trois ne couvrait le ransomware.
La restauration depuis les sauvegardes (heureusement disponibles) a coûté 31 000 $ en frais de consultants IT et 12 jours d’opérations paralysées. L’avis de conformité à la Loi 25 (incident notifiable) a nécessité les services d’un avocat spécialisé pour 4 500 $. Total réel : plus de 60 000 $ absorbés entièrement par le cabinet.
Six mois plus tard, le même cabinet a souscrit une police cyber pour 2 800 $ par an. Ce guide vous explique comment éviter d’apprendre la même leçon de la même façon.
Le marché de l’assurance cyber au Canada en 2026
L’assurance cyber a connu une explosion au Canada entre 2020 et 2023, suivie d’une correction. Les sinistres massifs liés aux ransomwares ont forcé les assureurs à revoir leurs primes, leurs exclusions, et leurs exigences de souscription.
Selon le Bureau d’assurance du Canada (BAC), les primes d’assurance cyber des entreprises canadiennes ont augmenté de 83 % entre 2020 et 2022. Depuis, la croissance a ralenti mais les prix restent élevés par rapport à la période pré-pandémique.
En 2023, les cyber-incidents représentaient la principale préoccupation des entreprises canadiennes, devant les interruptions d’activité et les catastrophes naturelles, selon l’Allianz Risk Barometer. Le marché canadien de l’assurance cyber dépasse maintenant 1 milliard de dollars de primes annuelles.
Pour les PME, cette réalité se traduit par un marché plus mature mais aussi plus exigeant : les assureurs demandent maintenant plus d’informations sur vos mesures de sécurité, et les entreprises sans pratiques de base voient leurs demandes refusées ou leurs primes doubler.
Ce que l’assurance cyber couvre (la vraie liste)
Une police cyber complète pour PME couvre généralement plusieurs grandes catégories. La couverture exacte varie selon la police — lisez toujours les conditions spécifiques.
Réponse à l’incident
C’est souvent la partie la plus précieuse pour une PME qui n’a pas d’équipe IT interne.
Enquête forensique : Un spécialiste en cybersécurité analyse l’attaque pour déterminer comment elle s’est produite, ce qui a été compromis, et si le vecteur d’attaque est toujours actif. Ces services coûtent entre 200 $ et 500 $ de l’heure — des montants rapidement astronomiques.
Gestion de crise : Coordination des communications internes et externes pendant l’incident. Savoir qui appeler, dans quel ordre, avec quel message, peut faire la différence entre une crise gérée et un désastre réputationnel.
Restauration des systèmes : Les coûts de récupération des données, de reconstruction des systèmes, et de retour à l’opérationnel.
Perte d’exploitation
Si votre activité est paralysée pendant 3, 5, ou 10 jours suite à une attaque, la perte de revenus peut être catastrophique. L’assurance cyber couvre typiquement cette perte d’exploitation — souvent avec une franchise de 8 à 24 heures (aucune couverture pour les premières heures).
Pour une PME avec un chiffre d’affaires journalier de 5 000 $, 10 jours d’arrêt représentent 50 000 $ de revenus perdus. Cette couverture est souvent ce qui justifie à elle seule le coût de la prime.
Notification des personnes affectées
La Loi 25 au Québec (et la Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, au fédéral) exige que vous notiez les individus dont les données ont été compromises dans les 60 jours si l’incident présente un risque réel de préjudice sérieux.
Les coûts de notification incluent : l’identification des personnes affectées, la rédaction et l’envoi des avis, la mise en place d’une ligne d’assistance, et parfois des services de surveillance de crédit pour les victimes. Pour 5 000 clients notifiés, ces coûts peuvent atteindre 50 000 $ à 100 000 $.
Une bonne police cyber couvre ces frais. Notre article sur la Loi 25 et la cybersécurité détaille les obligations spécifiques.
Frais légaux et amendes réglementaires
Les violations de données peuvent entraîner des recours collectifs, des plaintes auprès de la Commission d’accès à l’information (CAI), ou des enquêtes gouvernementales. Les frais de défense légale sont souvent couverts. Les amendes elles-mêmes sont une zone grise — certaines polices les couvrent partiellement.
Extorsion et ransomware
La couverture ransomware est devenue un point de tension entre assureurs et assurés. Techniquement, la plupart des polices couvrent :
- Les frais de négociation avec les attaquants (certains assureurs ont des équipes spécialisées)
- Le paiement de la rançon si c’est la seule option viable
- Les coûts de récupération si vous choisissez de ne pas payer
La réalité pratique est que les assureurs préfèrent largement financer la récupération depuis les sauvegardes plutôt que payer une rançon. Si vos sauvegardes sont inexistantes ou mal configurées, vous risquez d’être dans une position difficile lors du sinistre.
Responsabilité civile envers les tiers
Si une cyberattaque compromet des données de vos clients et qu’ils subissent un préjudice (vol d’identité, fraude financière), ils peuvent vous poursuivre. La couverture responsabilité civile cyber protège contre ces réclamations.
C’est particulièrement pertinent pour les professionnels qui détiennent des données sensibles : comptables, notaires, avocats, médecins, consultants.
Ce que l’assurance cyber ne couvre pas (les exclusions critiques)
C’est la partie que personne ne lit assez attentivement.
La guerre et les attaques d’États-nations
Depuis l’invasion de l’Ukraine en 2022, les exclusions pour « actes de guerre » dans les polices cyber font l’objet de litiges majeurs. Certains assureurs ont tenté de classer les cyberattaques russes comme des « actes de guerre » pour refuser des réclamations de clients.
En 2023, le Lloyd’s de Londres a exigé que toutes les polices cyber excluent explicitement les cyberattaques étatiques. Pour la grande majorité des PME québécoises, ce risque est théorique — les attaques visent des entreprises plus grandes. Mais la clause existe.
L’infrastructure non sécurisée
Si vous avez menti dans votre questionnaire de souscription (« Oui, nous avons le MFA activé »), ou si vous n’avez pas maintenu les mesures de sécurité que vous aviez déclarées, l’assureur peut refuser la réclamation pour fausse déclaration.
C’est plus courant qu’on ne le pense. Des sinistres sont refusés parce que la politique de mises à jour déclarée n’était pas appliquée, ou parce que le MFA promis n’était en fait activé que sur certains comptes.
Les données avant la police
Les incidents découverts après la souscription mais qui ont commencé avant la date de prise d’effet ne sont généralement pas couverts. Si un attaquant était dans vos systèmes depuis 6 mois quand vous souscrivez, l’incident n’est pas couvert.
C’est pourquoi certains assureurs font maintenant un scan préalable de votre infrastructure avant d’émettre une police.
L’usure et l’obsolescence
Les équipements désuets qui tombent en panne ne sont pas couverts. Si votre serveur vieux de 12 ans lâche, ce n’est pas un cyberincident — c’est de l’usure normale.
Les pertes de crypto-actifs
La plupart des polices standard ne couvrent pas les pertes en cryptomonnaie, qu’elles soient dues à une arnaque, un vol de portefeuille, ou une attaque.
La fraude interne
Si un employé vole des données ou de l’argent, c’est généralement couvert par l’assurance crime (fidélité d’employés), pas par l’assurance cyber. Ces deux polices sont distinctes.
Le social engineering — lisez les clauses
Certaines polices couvrent la fraude par manipulation (BEC, fraude au CEO) sous une extension spéciale. D’autres l’excluent de la couverture cyber standard. C’est un point critique à vérifier, surtout pour les PME exposées aux virements frauduleux.
Notre article sur la fraude BEC et les virements fournisseurs détaille ce risque spécifique.
Les exigences de souscription : ce que les assureurs demandent en 2026
Le marché a radicalement changé depuis 2020. Là où les assureurs acceptaient n’importe qui avec un questionnaire de 2 pages, ils demandent maintenant des preuves concrètes de pratiques de sécurité.
Requis par presque tous les assureurs :
- MFA sur tous les accès distants (VPN, RDP, portails web d’administration). Sans ça, beaucoup d’assureurs refusent ou majorent les primes de 25 à 50 %.
- Sauvegardes testées et séparées du réseau principal (offsite ou cloud non connecté au réseau de production). Les sauvegardes chiffrées par le ransomware ne valent rien.
- Gestion des correctifs (patch management) : systèmes d’exploitation et logiciels critiques mis à jour dans des délais raisonnables.
- Segmentation réseau : les systèmes critiques ne sont pas accessibles directement depuis l’internet public.
Requis par certains assureurs pour les couvertures plus élevées :
- Formation de sensibilisation au phishing pour les employés
- Plan de réponse aux incidents documenté
- Gestion des accès privilégiés (PAM)
- Tests de pénétration annuels
Pour une PME qui n’a aucune de ces pratiques en place, le premier travail est de les mettre en place — pas de chercher une assurance. Une police souscrite sans ces bases sera soit refusée lors d’un sinistre, soit invalidée à la prochaine révision annuelle.
Les prix réels en 2026
Les fourchettes de prix ci-dessous sont basées sur des offres réelles obtenues au Québec en 2024-2025. Elles varient selon le secteur, le chiffre d’affaires, le nombre d’employés, et les mesures de sécurité en place.
PME de 1-10 employés, secteur commercial ou services simples :
- Couverture 250 000 $ : 600 $ à 1 500 $/an
- Couverture 500 000 $ : 1 000 $ à 2 500 $/an
- Couverture 1 M$ : 1 500 $ à 4 000 $/an
PME de 10-50 employés, services professionnels (comptables, avocats, consultants) :
- Couverture 1 M$ : 3 000 $ à 7 000 $/an
- Couverture 2 M$ : 5 000 $ à 12 000 $/an
PME de 10-50 employés, secteur santé ou financier :
- Couverture 1 M$ : 5 000 $ à 15 000 $/an (données sensibles, réglementation plus stricte)
Facteurs qui augmentent les primes :
- Traitement de données sensibles (santé, financier)
- Chiffre d’affaires élevé
- Absence de MFA
- Historique de sinistres
- Secteur ciblé (soins de santé, gouvernement, infrastructure critique)
Facteurs qui diminuent les primes :
- MFA complet, sauvegardes offsite testées, formation employés
- Certification en sécurité (SOC 2, ISO 27001 — rare pour les PME)
- Aucun historique de sinistres
- Secteur à faible risque
Comment choisir sa police — les questions à poser
À votre courtier
« Quels sont les critères d’exclusion les plus fréquents pour les réclamations dans notre secteur? » Les courtiers spécialisés en cyber ont vu des sinistres refusés — ils savent où sont les points faibles des polices.
« La police couvre-t-elle le social engineering et la fraude au virement? » Ce n’est pas automatique. Demandez-le explicitement.
« Quel est le délai de carence pour la perte d’exploitation? » Certaines polices n’entrent en vigueur qu’après 8 ou 12 heures d’arrêt. Pour une PME, les premières heures sont souvent les plus coûteuses.
« L’assureur offre-t-il des services de réponse à l’incident 24/7? » Les meilleures polices incluent l’accès à une ligne directe et une équipe de réponse aux incidents. C’est précieux à 2 heures du matin quand vous découvrez que vos systèmes sont chiffrés.
« Quelles exclusions s’appliquent aux attaques d’États-nations ou aux cyberattaques à grande échelle? » La clause de guerre est maintenant présente dans la plupart des polices — comprenez son étendue exacte.
Lors de l’évaluation des polices
Comparez au moins trois polices de trois courtiers ou assureurs différents. Le marché cyber est hétérogène — les couvertures et prix varient plus que dans d’autres lignes d’assurance.
Quelques acteurs présents au marché canadien : Chubb, Beazley, Coalition (focusé PME), CNA Financial, AIG, Travelers. Les courtiers spécialisés (pas seulement votre courtier généraliste habituel) ont souvent accès à de meilleurs produits cyber.
Le lien avec la Loi 25
Depuis septembre 2023, la Loi 25 impose aux organisations québécoises qui détiennent des données personnelles de :
- Désigner un responsable de la protection des renseignements personnels
- Évaluer les risques liés à tout nouveau projet qui traite des données personnelles
- Notifier la CAI et les personnes concernées en cas d’incident de confidentialité présentant un risque sérieux
Une assurance cyber ne vous rend pas conforme à la Loi 25. Mais elle couvre une grande partie des coûts qu’une violation génère sous la Loi 25 : notification, enquête, frais légaux.
Les amendes de la CAI (jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial pour les cas les plus graves) ne sont pas systématiquement couvertes. Mais les amendes CAI pour les PME restent rares et généralement beaucoup plus modestes que les maximums légaux. L’essentiel est que la police couvre les coûts opérationnels de la réponse à un incident.
Assurance cyber vs investissement en sécurité — ne pas confondre les deux
L’assurance cyber n’est pas un substitut à la sécurité. C’est un filet de sécurité financier pour quand la sécurité a failli.
Une PME qui n’a aucune mesure de sécurité en place mais qui souscrit une assurance cyber est :
- Potentiellement non-assurable (les assureurs refusent les mauvais risques)
- Vulnérable à un refus de réclamation en cas d’incident (fausse déclaration sur les mesures de sécurité)
- Toujours exposée à tous les dommages non financiers : réputation, clients perdus, stress opérationnel
L’approche rationnelle est une combinaison :
Mesures de base (coût modéré, ROI très élevé) :
- MFA sur tous les accès
- Sauvegardes testées hors-réseau
- Formation anti-phishing annuelle
- Gestionnaire de mots de passe
Assurance cyber (pour le reste) :
- Les incidents qui passent malgré les mesures de base
- Les coûts de réponse qui dépassent vos capacités internes
- La responsabilité civile envers les tiers
Le coût combiné de ces deux niveaux est souvent inférieur à ce que coûte un seul incident non couvert.
Les secteurs les plus exposés au Québec
Certains secteurs québécois sont particulièrement ciblés par les cyberattaques, et leurs primes d’assurance le reflètent.
Soins de santé : Cliniques médicales, dentistes, psychologues — les données de santé valent cher sur le marché noir. La réglementation est stricte. Les primes sont élevées.
Services juridiques et comptables : Données financières sensibles, fonds détenus en fiducie, transactions à haute valeur. Cibles fréquentes des fraudes BEC.
Manufacturier et sous-traitance industrielle : Souvent ciblés par des ransomwares qui paralysent les chaînes de production. L’interruption d’activité est massive.
Commerce de détail en ligne : Données de cartes de crédit, informations clients en masse. Obligations PCI DSS en plus de la Loi 25.
Services professionnels : Consultants, agences, firmes techniques — souvent des sous-traitants avec accès aux systèmes de grandes organisations. Cibles indirectes d’attaques sur les chaînes d’approvisionnement.
Les erreurs à éviter lors de la souscription
Mentir ou exagérer sur les mesures de sécurité. Tentant quand vous ne répondez pas à tous les critères, fatal lors du sinistre. L’assureur mandate une enquête forensique après chaque réclamation majeure — les omissions sont découvertes.
Prendre la couverture minimale juste pour cocher la case. Une couverture de 100 000 $ pour une PME avec 500 clients et 50 fournisseurs est insuffisante. Calculez vos coûts potentiels réels : restauration systèmes + notification clients + perte d’exploitation + frais légaux.
Ignorer les limites de sous-couverture. Certaines polices ont des sous-limites pour des catégories spécifiques (ex: couverture totale de 1 M$ mais maximum 100 000 $ pour la fraude social engineering). Ces sous-limites sont souvent ce qui compte lors d’un sinistre réel.
Ne jamais lire la police. Ce guide est un aperçu. Votre police réelle est ce qui compte. Lisez-la, particulièrement les sections « Exclusions » et « Définitions ».
Souscrire sans vérifier la réputation du règlement des sinistres. Un assureur qui tarde à payer ou qui cherche des motifs de refus vaut moins qu’un assureur un peu plus cher mais réputé pour régler rapidement.
Commencer maintenant — même sans avoir tout en ordre
Si vous n’avez pas de politique de sécurité parfaite, commencez quand même le processus. Contactez un courtier spécialisé en cyber, expliquez votre situation honnêtement, et demandez ce qui est disponible pour votre profil de risque actuel.
La plupart des courtiers peuvent vous aider à identifier les lacunes prioritaires à corriger pour améliorer votre assurabilité — souvent, c’est 2 ou 3 actions spécifiques qui font la différence entre un refus et une approbation.
Le ransomware qui va paralyser le cabinet comptable de Drummondville demain matin ne se soucie pas de savoir si vous êtes en train de finaliser votre politique de sécurité. Il se soucie de savoir si une porte est ouverte aujourd’hui.
Vous voulez évaluer votre exposition au risque cyber avant de magasiner une assurance, ou vous avez besoin d’aide pour mettre en place les mesures de sécurité exigées par les assureurs? Contactez Sequr ou via sequr.ca/contact. Un audit de 30 minutes peut révéler exactement où vous en êtes.
