Skip to Content
logo
Partager cette page

Tendances en cyberassurance – Comprendre la couverture d’assurance dans un paysage de risques en évolution : Perspectives 2025 Les incidents de confidentialité – Partie 5


2 avril 2025Publication

Cet article fait partie de notre série Perspectives 2025 : Les incidents de confidentialité, conçue pour aider les entreprises à naviguer le cadre en évolution des incidents de confidentialité. À mesure que les menaces liées aux atteintes à la vie privée deviennent plus sophistiquées et que la surveillance réglementaire s'intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin d’anticiper ces défis, chaque article dans cette série fournit des informations concrètes pour se préparer aux incidents de confidentialité, aux obligations de conformité règlementaire et pour atténuer les risques. Découvrez la série complète ici.

L’augmentation du volume des menaces liées à la confidentialité et des menaces en cybersécurité visant les entreprises canadiennes a amplifié l’importance et l’utilisation de la cyberassurance pour atténuer les risques. Une meilleure compréhension des risques à la confidentialité et à la cybersécurité dans l’industrie de l’assurance a mené à une amélioration des normes de souscription, un raffinement progressif des libellés des polices et une offre variée de couvertures applicables. Les assureurs mobilisent des capitaux supplémentaires pour répondre à des exigences de souscription potentiellement plus élevées, en accord avec la croissance du secteur. En conséquence, la cyberassurance devient un marché plus mature, avec une couverture qui devient de plus en plus coûteuse.

Il est essentiel de comprendre quelles options de couverture sont disponibles, lesquelles sont les plus pertinentes pour votre entreprise et quels types de dommages ne sont pas couverts. Par exemple, l’assurance responsabilité cybersécurité de première partie couvre les dommages subis directement par l’entreprise, tels que la compensation des pertes de revenus dues à une interruption des activités, l’assistance au paiement des demandes de rançon (« ransomware ») pour le compte des assurés, l’aide à la récupération des fonds volés, ainsi que la notification des clients affectés et la prise en charge de leur surveillance de crédit. En revanche, la couverture de responsabilité civile de tiers peut aider à couvrir les frais juridiques ou les dommages découlant de réclamations de tiers (comme les recours collectifs). Les entreprises devraient réfléchir attentivement à l’impact que les incidents de confidentialité (les « incidents ») pourraient avoir sur leur capacité à poursuivre leurs activités lors d’un événement critique, ou si elles risquent uniquement des pertes financières, par exemple en raison d’une extorsion de données.

Une étude menée par Telus sur l’industrie canadienne de l’assurance cybersécurité a révélé que les principales raisons pour lesquelles les indemnisations ne répondaient pas aux attentes étaient les suivantes :

  • la police ne couvrait pas tous les éléments de l’incident ;

l’évaluation des coûts de récupération par l’assureur ne correspondait pas aux attentes de l’entreprise ;

l’entreprise a été jugée non conforme aux exigences de la police.[1]

Pour être admissible à une police d’assurance, un quart des entreprises ont dû mettre en place ou renforcer leurs processus de sécurité internes et/ou améliorer leurs contrôles internes. Parmi ces mesures, on retrouve notamment l’implémentation de l’authentification multifactorielle et de logiciels antivirus appropriés, la réalisation de sauvegardes régulières des données, la conduite d’évaluations d’impact sur la protection des données ou d’audits de vulnérabilité des systèmes, la mise en place de plans de réponse aux incidents et de plans de reprise après sinistre, ainsi que le respect de toute norme supplémentaire propre à l’industrie concernée. Ainsi, le respect des meilleures pratiques en matière de protection des données et de cybersécurité permet non seulement de réduire l’impact et la probabilité d’un incident de confidentialité (et donc le besoin de déposer une réclamation), mais ces mesures peuvent également constituer une condition préalable à l’éligibilité pour certaines polices d’assurance cybersécurité.

Pour en savoir plus sur la manière dont notre groupe Cyber/Data peut vous aider à naviguer dans le paysage de la cybersécurité et des données, veuillez contacter les co-chefs nationaux Charles Morgan et Daniel Glover.

 

[1] Telus Business, The Telus Canadian Cyber Insurance Study, 2024.

Personnes