Tendances en matière de cyberassurance: Perspectives 2026 sur les incidents de confidentialité – Partie 5

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. Découvrez la série complète.

Au cours de la dernière année, l’augmentation des coûts liés aux incidents de confidentialité, aux cyberattaques optimisées par l’IA et au renforcement de la surveillance réglementaire ont créé un paysage complexe en matière de cybersécurité où la cyberassurance constitue un élément essentiel de la gestion des risques d’une entreprise. Parallèlement, l’évolution du marché et des lois redéfinit à la fois les attentes des assureurs et les obligations des assurés. Comprendre l’incidence de ces tendances et évaluer les options de couverture ainsi que les exclusions de police les mieux adaptées aux risques particuliers auxquels une entreprise est confrontée est crucial lors du choix des produits de cyberassurance appropriés.

Les développements clés suivants contribueront à façonner le paysage de la cyberassurance et de l’assurance des frais d’atteinte aux données pour 2026 :

• Coût croissant des incidents : les risques financiers liés aux incidents de cybersécurité demeurent élevés, car le coût moyen des incidents de confidentialité ne cesse d’augmenter. Les organisations canadiennes ont déboursé en moyenne « [traduction] 6,32 M$ CA par incident de confidentialité » en 2024, le secteur financier ayant payé la moyenne la plus élevée à 9,28 M$ CA.¹ Étant donné l’incidence financière directe et indirecte pouvant découler des incidents, les entreprises devraient considérer leur fournisseur d’assurance comme une partie intégrante de leur plan d’intervention en cas d’incident et être prêtes à le contacter immédiatement après un incident de confidentialité.
• Les cyberattaques optimisées par l’IA comme un péril croissant : les cyberattaques deviennent de plus en plus complexes, car les outils d’IA générative permettent de « mener des attaques d’ingénierie sociale plus convaincantes et à grande échelle », comme les hypertrucages.² Les auteurs de cybermenaces peuvent également utiliser des outils d’IA pour rehausser leur capacité à découvrir et à exploiter des vulnérabilités techniques. Les produits de cyberassurance commencent à évoluer pour refléter ces nouvelles expositions, certains assureurs offrant des « [traduction] polices autonomes portant sur l’IA » ou des avenants particuliers pour couvrir les pertes liées à l’IA.³
• Tactiques évolutives des rançongiciels : les rançongiciels demeurent une menace majeure en matière de cybercriminalité et le principal moteur des réclamations importantes, les entreprises criminelles devenant hautement professionnelles, mondialisées et en mesure de s’adapter grâce à l’utilisation de tactiques d’extorsion double et triple.⁴ Bien que le nombre d’événements de cyberextorsion signalés ait diminué d’un tiers, les paiements de rançon demeurent importants, le montant moyen versé par les victimes au Canada s’élevait à 1,13 M$ CA en 2023.⁵
• Le fossé en matière de cyberassurance pour les PME : les petites et moyennes entreprises (PME) demeurent largement sous-assurées, on estime qu’environ seulement 12 % des petites entreprises canadiennes disposent d’une cyberassurance autonome.⁶ Cela est particulièrement préoccupant car la majorité des répondants du secteur des PME croient que leurs entreprises sont trop petites pour être ciblées, malgré le fait qu’elles sont de plus en plus ciblées en raison de défenses plus faibles.⁷
• Des critères de souscription plus stricts : les polices d’assurance obligent de plus en plus les entreprises à mettre en œuvre et à maintenir des contrôles de base en cybersécurité tels que l’authentification multifacteur (AMF), la réalisation de sauvegardes régulières des données et la formation des employés comme conditions de couverture.⁸ Le non-respect de la mise en œuvre d’une AMF a récemment été utilisé comme raison par un assureur pour refuser la réclamation d’une organisation canadienne après qu’elle ait subi une cyberattaque majeure.⁹
• Une portée de couverture définie : la couverture et les polices doivent être choisies de manière à atténuer adéquatement les risques les plus coûteux et les vulnérabilités les plus importantes auxquels une organisation et le secteur dans lequel elle exerce ses activités sont confrontés. Les entreprises devraient se poser la question de savoir, et bien comprendre, si les coûts couverts incluent la couverture des paiements de rançon, la fraude au virement, les coûts de restauration des systèmes à partir des sauvegardes, les frais juridiques ainsi que la surveillance du crédit et l’assurance contre le vol d’identité. L’assurance contre les pertes commerciales résultant d’un incident de confidentialité, qui peut être nettement plus importante que le coût d’un paiement de rançon, est généralement proposée en tant que produit autonome. Les entreprises doivent savoir si les polices d’assurance couvrent adéquatement les pertes dans le cadre d’une structure d’entreprise particulière, et si les différentes franchises peuvent s’appliquer aux sociétés mères et aux filiales. Dans le même ordre d’idées, les entreprises devraient également être conscientes des situations où les réclamations seraient mieux couvertes par d’autres polices d’assurance, telles que l’assurance contre les erreurs et omissions ou l’assurance responsabilité civile générale.
• Un risque lié à la réglementation accru : la surveillance réglementaire se resserre à l’échelle mondiale. Au Québec, la Loi 25 a introduit des obligations strictes de signalement d’incidents et des sanctions administratives et pénales importantes en cas de non-conformité, tandis qu’à l’échelle fédérale, le projet de loi C‑8 et la proposition de Loi sur la protection des cybersystèmes essentiels (LPCE) imposeraient aux exploitants désignés d’infrastructures critiques sous réglementation fédérale des obligations de signalement d’incidents renforcées et sanctionnées par des amendes importantes. Parallèlement, la couverture des polices visant le risque lié à la réglementation est généralement devenue « [traduction] plus restrictive » à mesure que les assureurs s’inquiètent de l’augmentation des coûts liés aux « [traduction] enquêtes, règlements, amendes et pénalités. »¹⁰ Voir la Partie 2 de cette série pour une analyse plus détaillée de l’évolution de la réglementation.

Les tribunaux canadiens ont rendu récemment des décisions intéressantes qui pourraient être utiles pour évaluer la portée des exclusions applicables aux produits de cyberassurance :

• Panasonic Canada Inc. v XL Specialty Insurance Company, 2025 ONSC 4407 : à la suite d’une attaque de logiciel malveillant, Panasonic a demandé d’être indemnisée des coûts, y compris des coûts d’achat de 140 ordinateurs portables de remplacement afin de prévenir une réinfection du réseau réparé.¹¹ Panasonic a demandé une couverture visant les coûts et d’autres dépenses en vertu de sa police, y compris le coût de la rétention des services de sociétés de sécurité et d’avocats pour la déconnexion de ses systèmes et la réalisation d’enquêtes techniques. Panasonic a formulé ses réclamations en vertu des articles de la police d’assurance portant sur la responsabilité civile envers les tiers, la réponse aux incidents de confidentialité et la gestion de crise, ainsi que la couverture des risques propres, qui stipulaient qu’une franchise de 1,5 M$ US devait s’appliquer.¹² L’assureur a soutenu qu’une « [traduction] franchise de 3 M$ US » devait s’appliquer parce que l’incident était une « [traduction] perte due à un incident causé par un rançongiciel », régie par un avenant particulier de la police (avenant n^o 23).¹³ La Cour a conclu que la franchise moins élevée s’appliquait, compte tenu des définitions restrictives de l’avenant n^o 23. De plus, en l’absence d’une limitation claire, les titulaires de police peuvent choisir une voie de réclamation qui « [traduction] leur est plus avantageuse » et cette police couvrait l’achat de nouveaux ordinateurs portables en tant que dépense d’atténuation des pertes « [traduction] raisonnable et nécessaire. »¹⁴
• Emond c. Trillium Mutual Insurance Co., 2026 CSC 3 : bien que l’arrêt Emond concerne une police d’assurance habitation, la Cour suprême a offert des orientations utiles sur l’interprétation contractuelle des polices d’assurance de manière plus générale. La Cour a statué que les avenants ne sont pas des « contrats [...] autonomes », mais ils demeurent « construit[s] sur les assises de la police », ce qui signifie que les exclusions générales continuent de s’appliquer sauf si l’avenant l’indique explicitement autrement.¹⁵ Les titulaires de police doivent comprendre que la « doctrine de l’annulation d’une couverture » impose une haute barre; elle ne s’applique que dans le cas où une exclusion « irait complètement à l’encontre de l’objectif même pour lequel la couverture en question a été souscrite », plutôt que de simplement réduire le montant de l’indemnisation.¹⁶

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. À mesure que les menaces gagnent en complexité et que la surveillance des autorités de réglementation s’intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin de vous aider à anticiper ces défis, chaque article de cette série fournit de l’information concrète pour vous aider à vous préparer aux incidents de confidentialité, aux obligations de conformité réglementaire et à atténuer les risques. Découvrez la série complète ici.

Ce que nous entendons par « incident de confidentialité »

Lorsque les gens entendent parler d’un « incident de confidentialité », ils pensent souvent uniquement aux incidents visant des renseignements personnels. Dans cette série, nous utilisons le terme de manière plus large. Nous examinons tout incident de sécurité dans le cadre duquel des données sensibles ou confidentielles sont consultées, exfiltrées, publiées, modifiées, effacées ou rendues indisponibles sans autorisation – que ces données appartiennent à des individus ou à l’entreprise elle-même. Cela inclut tout, de la propriété intellectuelle et des dossiers financiers aux systèmes d’exploitation mis hors ligne par un rançongiciel.

Footnotes

1. Canadian Cybersecurity Network, The State of Cybersecurity in Canada 2025 (2025), à la p. 54.

2. Bureau d’assurance du Canada, Le marché canadien de la cyberassurance (octobre 2025), à la p. 12.

3. Gallagher, 2025 Cyber Insurance Market Conditions Outlook (octobre 2025), à la p. 6.

4. Bureau d’assurance du Canada, Le marché canadien de la cyberassurance (octobre 2025), à la p. 4 et 13.

5. Bureau d’assurance du Canada, Le marché canadien de la cyberassurance (octobre 2025), à la p. 4 et 13; Marsh, Cyber Claims 2025: Data Privacy Remains a Challenge While Ransomware Lingers (27 janvier 2026).

6. Bureau d’assurance du Canada, Le marché canadien de la cyberassurance (octobre 2025), à la p. 20.

7. Bureau d’assurance du Canada, Le marché canadien de la cyberassurance (octobre 2025), à la p. 19.

8. Bureau d’assurance du Canada, Le marché canadien de la cyberassurance (octobre 2025), aux p. 3 et 9.

9. KPMG Canada, How Audit Committees Are Leading Amid Evolving Cyber Risks (4 décembre 2025).

10. Gallagher, 2025 Cyber Insurance Market Conditions Outlook (2025), à la p. 6.

11. Panasonic Canada Inc. v XL Specialty Insurance Company, 2025 ONSC 4407 Panasonic. , ¶1.

12. Panasonic, aux par. 1, 7 à 28.

13. Panasonic, aux par. 2, 29 à 38.

14. Panasonic, aux par.64 à 66, 76.

15. Emond c. Trillium Mutual Insurance Co., 2026 CSC 3, au par. 36 Emond. .

16. Emond, aux par. 53, 66, 110. Voir notre blogue résumant l’affaire (en anglais) : https://www.mccarthy.ca/en/insights/blogs/canadian-appeals-monitor/no-guarantees-supreme-court-defines-policy-limits-of-guaranteed-rebuilding-coverage.

To view the original article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.