May 9, 2025
Le secteur de l’assurance cyberrisques gagne en maturité dans le contexte des cyberincidents
Principaux points à retenir
- Les réclamations d’assurance cyberrisques ont augmenté de 22%, tandis que les prestations versées pour incidents de rançongiciels ont diminué de 77%. Le secteur de l’assurance a été fortement secoué, mais il s’est avéré immunisé contre les cyberincidents systémiques survenus au cours de l’année.
- Les tendances de paiements et de préparation ont placé les assurés dans une position plus résiliente malgré les répercussions continues des incidents de rançongiciels. La complexité des risques à la chaîne d’approvisionnement est demeurée et les risques à la protection des renseignements personnels ont augmenté dans un environnement de plus en plus litigieux.
- La confiance des assureurs est revenue dans la plupart des secteurs et, en moyenne, les acheteurs américains ont obtenu une réduction de prime de 7% au T1 2025, comparativement à 15% pour les clients canadiens. La rigueur de la souscription est mieux établie et les clients ont fait de grands progrès pour améliorer les contrôles et les domaines de sécurité essentiels – ou les signaux d’alarme.
Les cyberincidents de sécurité systémiques en Amérique du Nord ont démontré le cumul des risques associés aux interdépendances technologiques croissantes et la rapidité des répercussions d’un cyberincident sur les entités.2 Selon le Forum économique mondial, les interdépendances des chaînes d’approvisionnement sont un facteur clé de la complexité croissante du cyberespace en 2025.3 L’attaque par rançongiciel d’un important fournisseur de technologies de paiement du secteur des soins de santé aux États-Unis a mis en cause les données privées d’environ 190 millions de personnes. La mise à niveau ratée du logiciel infonuagique CrowdStrike a causé la panne de plus de 8,5 millions de systèmes, perturbant les opérations pendant des jours dans le monde entier et touchant les vols commerciaux, les hôpitaux et les services financiers.4 Ces incidents majeurs ont contribué à l’augmentation des réclamations de cyberassurance tout au long de l’année. Les données sur le courtage de Solutions de risques cybernétiques d’Aon aux États-Unis ont révélé 1 228 incidents déclarés chez des clients du secteur du courtage en 2024, soit une augmentation de 22%, et les cyberincidents ou litiges représentaient la plupart des réclamations avec une augmentation de 31%.
Malgré les perturbations causées par les cyberincidents systémiques et la hausse des réclamations, les répercussions financières sur le secteur de l’assurance n’ont pas été aussi importantes qu’elles auraient pu l’être en raison des tendances de souscription, des changements apportés à la structure des programmes et des mesures de continuité des activités prises par les assurés. Toutefois, le secteur est en alerte. Les répercussions des incidents de l’année dernière ont été évitées de justesse et auraient pu être dévastatrices. Ils ont servi une excellente leçon sur les risques que le secteur de l’assurance et les organisations doivent gérer.
La concurrence s’intensifie sur le marché de la cyberassurance
Les organisations de l’Amérique du Nord ont pris les cyberrisques très au sérieux en 2024. Selon les données de l’évaluation du cyberquotient (CyQu) d’Aon, notre plateforme de soumission électronique, les clients ont constaté une amélioration de leurs indices de risque dans des domaines clés. La confiance des assureurs est revenue dans de nombreux secteurs, puisque les clients ont rigoureusement examiné les contrôles et les domaines de sécurité essentiels – ou les signaux d’alarme. Pour les États-Unis et le Canada, le domaine de cybersécurité le plus solide en 2024 était la sécurité des points terminaux, qui comprend les tests d’intrusion, l’environnement réseau et la capacité du réseau. La sécurité des applications et celle des tiers étaient les deux domaines ayant obtenu l’indice le plus bas.
Cyberdomaines | Données de l’Amérique du Nord de 2024
Indice de risque mondial 2.78
Indice le plus élevé :
|
3.04
Sécurité des points terminaux
|
Protection des points terminaux
3.17
Journalisation et surveillance
3.15
Configuration sûre
3.00
|
|
2.99
Sécurité du réseau
|
Test d’intrusion
3.31
Environnement réseau
2.96
Sans fil
2.89
|
|
2.96
Contrôle d’accès
|
Configuration des mots de passe
3.13
Authentification multifactorielle
3.00
Gestion des accès
2.86
|
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Indice le plus bas :
|
2.31
Sécurité des applications
|
Gestion des logiciels
2.19
Formation
2.34
Développement sûr
2.42
|
|
2.36
Tiers
|
Diligence raisonnable
2.17
Contrats de tiers
2.45
Liste des tiers
2.91
|
|
2.66
Résilience de l’entreprise
|
GCA/RAS
2.56
Sauvegarde
2.71
Intervention en cas d’incident
2.72
|
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Cyberdomaines | Données du Canada de 2024
Indice de risque mondial 2.66
Indice le plus élevé :
|
3.01
Sécurité du réseau
|
Test d’intrusion
3.35
Environnement réseau
3.05
Capacité du réseau
2.78
|
|
2.96
Sécurité des points terminaux
|
Protection des points terminaux
3.13
Journalisation et surveillance
3.13
Gestion des vulnérabilités
2.84
|
|
2.91
Télétravail
|
Connectivité à distance
3.40
Authentification et identité
3.16
Vuln. et surv. des dispositifs
2.81
|
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Indice le plus bas :
|
1.99
Sécurité des applications
|
Formation
1.87
Gestion des logiciels
2.01
Développement sûr
2.03
|
|
2.14
Tiers
|
Diligence raisonnable
1.94
Contrats de tiers
2.27
Liste des tiers
2.65
|
|
2.57
Résilience de l’entreprise
|
GCA/RAS
2.39
Sauvegarde
2.58
Intervention en cas d’incident
2.74
|
Indice de maturité en matière de risque du cyberquotient (CyQu)
Initial: 1.0 - 1.9
De base: 2.0 - 2.5
Géré: 2.6 - 3.4
Avancé: 3.5 - 4.0
Les contrôles essentiels ont également été améliorés. Sept pour cent des clients ont amélioré le délai cible pour les correctifs essentiels, qui est passé de plus de sept jours à trois à sept jours, et une croissance notable a été rapportée en ce qui concerne la reprise après sinistre/les sauvegardes et l’authentification multifactorielle.
En particulier, l’incidence des rançongiciels a diminué en 2024. La moyenne des rançons payées à l’échelle mondiale a diminué de 77% par rapport à la même période en 2023, car des contrôles de sécurité plus robustes et une planification de la continuité des activités ont fait en sorte qu’il était plus difficile pour les pirates informatiques de déployer des attaques réussies. Nous avons également vu plus d’organisations refuser de payer une rançon. Entre-temps, les assureurs sont devenus plus confiants dans la souscription des risques de rançongiciel. La réponse du secteur aux risques croissants de la chaîne d’approvisionnement en 2024 a également été proactive, et les clients d’Aon ont investi dans la modélisation de leur cyberexposition aux fournisseurs. Toutefois, en raison de sa complexité, le risque de tiers demeure l’un des domaines de risque ayant obtenu l’indice le plus faible pour les clients d’Aon aux États-Unis et au Canada.
Au fur et à mesure que les organisations renforçaient leurs contrôles, la concurrence s’intensifiait dans l’ensemble du secteur de la cyberassurance. Malgré l’augmentation de la fréquence des réclamations en 2024 et des résultats de sinistres médiocres en 2023, les conditions du marché des acheteurs pour l’assurance cyberrisques se sont maintenues tout au long de l’année dans un environnement concurrentiel et bien capitalisé. En moyenne, les acheteurs américains ont obtenu une réduction de prime de 7% au T1 2025.
Variation des primes d’assurance cyberrisques de 2020 à 2025 par trimestre
Variation moyenne sur 12 mois (mêmes clients)
Le marché canadien a connu un assouplissement accéléré en 2024 et a finalement enregistré une réduction de 14,7% par rapport à l’année précédente. Les assurés sont devenus plus pointus et ont utilisé la modélisation des cyberrisques pour évaluer leurs décisions de souscription d’assurance cyberrisques, déterminer les montants de garantie appropriés et protéger leur bilan. Aon a vu 25% de ses clients souscrire des montants de garantie supplémentaires en 2024.
Les rapports sur la capacité abondante et de remplacement en Amérique du Nord ont mené à un cycle de cyberréassurance favorable en janvier 2025, ce qui indique que les conditions favorables aux acheteurs se maintiendront probablement.
Hausse de la volatilité et loi sur les assureurs
L’intense volatilité géopolitique ayant marqué le début de 2025, on s’attend à ce que les cyberrisques continuent de s’accroître. En mars, les États-Unis ont annoncé la suspension des cyberopérations offensives contre la Russie par le Cyber Command des États-Unis, annulant ainsi certains efforts visant à contrer un adversaire clé, alors même que les experts en sécurité nationale demandent aux États-Unis d’étendre ces capacités.5 Les capacités d’espionnage et de collecte de renseignements de la Chine ont atteint un point d’inflexion en 20246 et, parmi les États-nations, les activités liées à la Chine ont bondi de 150% dans l’ensemble, certains secteurs ciblés subissant de trois à quatre fois plus d’attaques que l’année précédente.7 Ce contexte de risque exerce une pression considérable sur le secteur de l’assurance et les organisations pour qu’ils réagissent.
Les compagnies d’assurance devraient stimuler les investissements dans le processus de souscription et la modélisation des risques afin de mieux comprendre l’écosystème des risques et l’exposition potentielle. La responsabilité de protection des renseignements personnels est un autre risque que les assureurs et les organisations doivent gérer. Le récent incident de cybersécurité impliquant une entreprise de technologie de l’éducation a entraîné l’exfiltration non autorisée de certains renseignements personnels de mineurs et la divulgation de millions de dossiers d’étudiants.8
La responsabilité de protection des renseignements personnels et les risques à la chaîne d’approvisionnement sont à l’avant-scène
Aux États-Unis, il est arrivé à plusieurs reprises que des règlements totalisant plus de 30 millions de dollars aient été conclus en raison de l’incapacité de protéger adéquatement les données des clients.9 Nous commençons à observer un climat plus punitif et, bien que ce ne soit pas autant le cas qu’aux États-Unis, le Canada n’est pas à l’abri de cette tendance. Au cours des années précédentes, les tribunaux de partout au Canada ont exercé leur rôle de gardien pour mettre un terme aux recours collectifs pour violation de données lorsque les preuves de préjudice contre les membres du recours collectif proposé étaient insuffisantes.10 Cette tendance est en train de changer. Les allégations courantes dans les nouveaux recours collectifs déposés en 2024 allaient de la mauvaise utilisation de l’information au manque de protection des enfants et des adolescents qui utilisent les services en ligne. Les tribunaux canadiens continuent de se pencher sur de nouveaux délits potentiels d’atteinte à la vie privée.11
Les assureurs doivent être conscients de cette situation et envisager des changements à la structure des polices, comme conseiller les clients au sujet d’une couverture supplémentaire à mesure que la valeur des règlements augmente. Il est essentiel de renforcer les stratégies et les contrôles technologiques de protection des renseignements personnels ou de violation de données et de savoir où se trouvent les données – et les classer. Il est de plus en plus important que les équipes de cybersécurité, de marketing et juridiques s’alignent pour mieux comprendre les risques et se préparer à gérer les incidents et à intervenir conformément aux cadres réglementaires. Un sous-ensemble de recours collectifs verra probablement le jour à mesure que de nouvelles technologies émergeront, comme l’intelligence artificielle. Des poursuites sont déjà intentées contre des entreprises qui font face à de nouvelles cybermenaces fondées sur les pixels, le code placé sur une page Web ou dans une publicité en ligne pour recueillir des renseignements sur les interactions d’un utilisateur.12
Mesures recommandées:
- Utiliser l’analyse de données et la modélisation des risques pour prendre des décisions éclairées concernant les investissements dans les contrôles de sécurité, la planification de la continuité des activités et la souscription de cyberassurance.
- Pour les assurés: évaluer la police de cyberassurance et profiter des conditions de marché favorables. Tenir compte des risques à la chaîne d’approvisionnement et à la protection des renseignements personnels.
- Pour les assureurs: veiller à la stabilité de leur portefeuille puisque l’incertitude prévaut. Envisager des ententes de taux à long terme, des renouvellements automatisés et, surtout, des partenariats client-assureur.
Ouvrages de référence
[1] $45 Million MGM Settlement Resolves Data Breach Lawsuits Over 2019, 2023 Cyber Attacks. ClassAction.org. Kelsey McCroskey. February 20, 2025.
[2] Key Market Trends: Growing Cyber Claims Frequency, Ransomware Dominance, and Declining Payouts. Aon Risk Report. Aon. June 2025.
[3] 5 risk factors from supply chain interdependencies in a complex cybersecurity landscape. World Economic Forum. Akhilesh Tuteja. January 31, 2025. https://www.weforum.org/stories/2025/01/5-risk-factors-supply-chain-interdependencies-cybersecurity/
[4] Raphael Yahalom. What the 2024 CrowdStrike Glitch Can Teach Us About Cyber Risk. Harvard Business Review. January 10, 2025.
[5] Hegseth orders suspensions of the Pentagon’s offensive cyberoperations against Russia. AP News. Lolita C. Baldor and David Klepper. March 3, 2025.
[6] CrowdStrike 2025 Global Threat Report. CrowdStrike. February 2025. https://www.crowdstrike.com/en-us/
[7] Ibid.
[8] PowerSchool data breach exposes student records in massive cyber-security incident. ETIH. The Future of EdTech. Emma Thompson. February 5, 2025. https://www.edtechinnovationhub.com/news/powerschool-data-breach-exposes-student-records-in-massive-cyber-security-incident
[9] $45 Million MGM Settlement Resolves Data Breach Lawsuits Over 2019, 2023 Cyber Attacks. ClassAction.org. Kelsey McCroskey. February 20, 2025.
[10] Canadian privacy class actions evolve beyond traditional data breaches. Osler. Robert Carson. January 11, 2023. https://www.osler.com/en/insights/updates/canadian-privacy-class-actions-evolve-beyond-traditional-data-breaches/
[11] Canadian privacy class actions evolve beyond traditional data breaches. Osler. Robert Carson. January 11, 2023. https://www.osler.com/en/insights/updates/canadian-privacy-class-actions-evolve-beyond-traditional-data-breaches/
[12] Pixels and Privacy. A New Wave of Class Action Litigation. LAW.COM. Ian M. Ross and Sidley Austin. March 15, 2024.
Avis général de non-responsabilité
Ce document n’est pas destiné à résoudre une situation spécifique ou à fournir des conseils juridiques, réglementaires, financiers ou autres. Bien que le plus grand soin ait été apporté à la production de ce document, Aon n’en garantit pas l’exactitude, l’adéquation, l’exhaustivité ou l’aptitude à quelque fin que ce soit, de l’ensemble du document ou de toute partie de celui-ci, et n’accepte aucune responsabilité pour toute perte subie de quelque manière que ce soit par toute personne qui pourrait s’y fier. Tout destinataire est responsable de l’usage qu’il fait de ce document. Ce document a été élaboré à partir des renseignements dont nous disposions à la date de sa publication et est soumis à toute réserve qui y est formulée.
Modalités d’utilisation
Le contenu du présent document ne peut être reproduit, réutilisé, réimprimé ou redistribué sans l’accord écrit exprès d’Aon, sauf autorisation contraire d’Aon. Pour utiliser les renseignements contenus dans ce document, veuillez écrire à notre équipe.