Dans son plus récent rapport, Le marché canadien de la cyberassurance, le Bureau d’assurance du Canada (BAC) a analysé les tendances déterminantes de la cyberassurance et a émis des recommandations fondamentales en matière de protection de l’avenir numérique du Canada. Il est encourageant de voir que le marché continue de se stabiliser, en partie grâce aux critères de souscription plus stricts, une sinistralité plus prévisible et une diversification accrue de l’offre de produits. Cependant, les menaces évoluent à un rythme sans précédent. Les cybercriminels ont de plus en plus recours à l’intelligence artificielle (IA) pour mettre au point des attaques perfectionnées. Dans le même temps, la plupart des petites et moyennes entreprises (PME) restent vulnérables et sous-assurées1.
La cyberassurance s’est solidement imposée comme un élément clé du paysage de l’assurance des entreprises au Canada. Le marché a connu une croissance spectaculaire, car les petites et grandes entreprises cherchent à se protéger financièrement contre les incidents de cybersécurité. Cependant, cette croissance rapide s’est accompagnée d’une augmentation de la fréquence et de la gravité des réclamations, notamment en période élevée d’attaques par rançongiciel. Entre 2019 et 2023, le ratio combiné des pertes des assureurs en cyberassurance au pays s’est élevé en moyenne à 155 %, ce qui témoigne de pertes de souscription notables.2 Cet indicateur a atteint un sommet dans les conditions difficiles du marché en 2021-2022, ce qui a amené les assureurs à réévaluer les couvertures et la tarification pour mieux protéger les risques émergents.
L’une des évolutions les plus marquantes du paysage des cybermenaces est l’utilisation de l’IA par les acteurs malveillants. Les criminels peuvent par exemple utiliser des campagnes d’hameçonnage générées par l’IA pour créer des courriels extrêmement convaincants, qui seront, pour les employés, difficiles à distinguer des communications légitimes.
Autre tendance inquiétante : la montée en puissance de l’hypertrucage. L’IA générative permet aujourd’hui de reproduire les voix et de créer des vidéos d’un réalisme troublant. Les fraudeurs exploitent déjà ces technologies pour usurper l’identité de dirigeants et mener des arnaques de type fraude du président.
Les solutions axées sur le marché ne suffisent pas à garantir l’efficacité de la cybersécurité. Les gouvernements doivent également se doter de cadres réglementaires clairs. Au Canada, les progrès à cet égard sont inégaux. En juin 2025, le gouvernement fédéral a présenté le projet de loi C-8, qui réintroduit l’ancien projet de loi C-26, notamment la Loi sur la protection des cybersystèmes essentiels et des modifications à la Loi sur les télécommunications. Par le projet de loi C-8, le gouvernement fédéral démontre une fois de plus sa détermination à établir des normes pour les exploitants d’infrastructures essentielles (notamment des normes obligatoires en matière de cybersécurité), à améliorer la surveillance réglementaire et à créer des normes de référence en matière de gestion des cyberrisques et de signalement des incidents.
Si ces projets de loi doivent encore être adoptés, des projets actuels résultant de la collaboration entre le public, le privé et le gouvernement fédéral (Collectif canadien pour la cyberdéfense, Stratégie nationale de cybersécurité du Canada, etc.) représentent des progrès significatifs en matière de renforcement de la cyberrésilience du pays.
L’économie canadienne repose sur les PME. Pourtant, lorsqu’il s’agit de cyberrisque et d’assurance, elles demeurent particulièrement vulnérables et souvent sous-assurées. Le faible recours à la cyberassurance entraîne pour elles plusieurs conséquences. Pour les entreprises individuelles, une cyberattaque mineure pourrait coûter des dizaines ou des centaines de milliers de dollars, une somme colossale pour de nombreuses petites entreprises. Une attaque de grande ampleur pourrait conduire à leur fermeture. À l’échelle macroéconomique, la sous-assurance généralisée des PME pourrait obliger l’économie canadienne à absorber les pertes sans bénéficier du filet de sécurité financier qu’offre l’assurance. L’enjeu pour le secteur est donc de proposer des produits d’assurance à la fois viables à long terme et abordables pour les PME.
Dans le cadre de sa campagne annuelle de sensibilisation publique Cyber Savvy Canada, le BAC donne les moyens aux entreprises d’améliorer leur cyberrésilience et de prendre des décisions éclairées sur l’atténuation des risques, comme la souscription d’une cyberassurance. Le BAC publie également le fruit de ses recherches sur les comportements des employés susceptibles de compromettre la cybersécurité ou la sécurité des données de leur entreprise, ainsi que l’attitude des propriétaires des PME à l’égard des cyberrisques.
Le BAC a créé un guide sur la cyberassurance consultable gratuitement pour aider les propriétaires de PME à comprendre l’impact des cyberattaques et la façon dont l’assurance peut les aider à s’en remettre. Il présente les détails de la couverture, des conseils sur la protection et la reprise, le processus de demande et des ressources visant à renforcer la cyberrésilience. Le guide et d’autres ressources sont disponibles sur www.cybersavvycanada.ca.
1 Sondage réalisé par Angus Reid pour le compte du Bureau d’assurance du Canada du 6 au 15 août 2025. Le rapport complet est disponible au www.cybersavvycanada.ca.
2 BAC, 2024.
)
)