Le marché canadien de la cyberassurance a connu une croissance considérable ces dernières années, probablement en raison d’une sensibilisation accrue aux cybermenaces et à l’amélioration des contrôles de souscription. Selon le dernier rapport sur les tendances en matière de cyberassurance du Bureau d’assurance du Canada (BAC), les primes d’assurance cyberresponsabilité sont passées de 18 millions de dollars en 2015 à 550 millions de dollars en 2023. (Ces chiffres sous-estiment probablement la taille du marché canadien de la cyberassurance.)
Cependant, les coûts imputables à la fréquence et à la gravité des sinistres ont dépassé cette croissance. Les résultats financiers montrent un ratio combiné moyen de 153 % entre 2019 et 2023, ce qui signifie que les assureurs ont payé 1,53 dollar d’indemnité et de frais d’exploitation par dollar de primes perçu.
Toutefois, le marché de la cyberassurance s’est stabilisé au cours des deux dernières années, grâce à une meilleure compréhension du risque cybernétique par les assureurs, à l’amélioration des normes de souscription et à l’offre de produits mieux adaptés. Le marché a également connu une augmentation des flux de capitaux, ce qui favorise la concurrence et permet d’obtenir de meilleures conditions de couverture.
En outre, les assureurs clarifient les domaines de couverture, s’attaquent à l’exposition dans les polices qui ne sont pas conçues pour couvrir le risque cybernétique, peaufinent les libellés des polices et excluent explicitement de la couverture la guerre cybernétique et les attaques parrainées par des États. Des pratiques de souscription améliorées exigent désormais des contrôles rigoureux en matière de cybersécurité, ce qui témoigne d’une approche raisonnée de la gestion des risques.
Malgré le fait que ces nouveaux contrôles favorisent la stabilité, les violations de données coûtent de plus en plus cher : en 2023, le coût moyen d’une violation de données au Canada a atteint 6,9 millions de dollars, en raison de la cybercriminalité généralisée, ce qui fait que l’insécurité cybernétique constitue une préoccupation majeure chez les leaders mondiaux de l’industrie. Les attaques par logiciel de rançon ont également commencé à s’intensifier au cours du premier semestre de 2023, les cybercriminels ayant trouvé de nouvelles tactiques et vulnérabilités à exploiter. Par exemple, l’intelligence artificielle a contribué à automatiser les tâches nécessaires à la réalisation d’une attaque, ce qui les rend plus efficaces et plus difficiles à détecter.
Le risque d’événements cybernétiques à grande échelle ayant des conséquences pour de nombreuses organisations mondiales reste important. De tels événements peuvent se propager parmi les industries en raison de l’interconnexion des systèmes numériques et des services partagés, ce qui entraîne des répercussions économiques étendues. Sur la scène internationale, des discussions sont en cours, notamment aux États-Unis, sur la mise en place d’un filet de sécurité gouvernemental en cas de cyberévénements catastrophiques à l’échelle mondiale. Ce filet de sécurité apporterait un soutien financier pour les sinistres qui dépassent les capacités des assureurs. L’initiative internationale de lutte contre les logiciels de rançon vise aussi à renforcer la cybersécurité et la sensibilisation, les 50 pays membres devant tous dénoncer publiquement les paiements de rançons en 2023.
Le gouvernement du Canada investit dans la cybersécurité dans le cadre de son budget de 2024 et de sa stratégie intégrée de cybersécurité dans le but de renforcer la défense et la résilience. La stratégie renouvelée du Canada en matière de cybersécurité mise sur la prospérité économique et la sécurité des citoyens à l’ère numérique.
Le BAC soutient les efforts des entreprises pour accroître leur cyberrésilience et comprendre les mesures d’atténuation des risques, telles que la cyberassurance, par le biais de sa campagne annuelle de sensibilisation publique Cyber Savvy Canada, qui comprend de l’éducation sur les médias et les canaux en ligne. De plus, le BAC publie ses recherches sur les actions des employés pouvant compromettre la cybersécurité ou la sécurité des données des employeurs, ainsi que sur les attitudes des propriétaires de petites et moyennes entreprises (PME) à l’égard du cyberrisque.
Le BAC a créé un outil d’autoévaluation des besoins en cyberassurance pour les propriétaires de PME qui envisagent de souscrire une cyberassurance. Cette évaluation en 10 questions peut les aider à se familiariser avec les protocoles de cybersécurité et les pratiques exemplaires que la plupart des cyberassureurs recherchent lorsqu’ils évaluent les risques, et elle pose certaines des mêmes questions dans le cadre du processus de proposition d’assurance. La campagne vise à aider les PME à obtenir une couverture d’assurance cybernétique adéquate et à comprendre que la sécurité et la cybervigilance doivent toujours être la première ligne de défense.
L’évaluation et d’autres ressources en matière de sécurité destinées aux propriétaires de PME se trouvent sur le site CyberSavvyCanada.ca.
