Cyber-assurance PME au Quebec : guide complet, prix et couvertures 2025

On va se dire les vraies affaires : si vous pensez que les cyberattaques, c’est juste un probleme de grandes corporations, vous faites fausse route. En 2025, 61 % des PME canadiennes ont subi au moins un incident de cybersecurite selon le Centre canadien pour la cybersecurite. Et le cout moyen d’une breche? Autour de 50 000 $ a 100 000 $ pour une petite entreprise. Ca fait mal.

La cyber-assurance pour PME, c’est exactement le filet de securite dont votre business a besoin. Pas un luxe. Une necessite. Que vous soyez une boutique en ligne a Sherbrooke, un cabinet comptable a Montreal ou un restaurant a Quebec avec un systeme de commande en ligne — les pirates ne font pas de discrimination.

Dans ce guide, on va demystifier la cyber-assurance de A a Z : ce que ca couvre, combien ca coute, pourquoi votre assurance responsabilite civile ne suffit pas, et comment choisir la bonne police. Installez-vous confortablement.

Pourquoi les PME du Quebec sont des cibles de choix pour les cyberattaques

Les cybercriminels ne sont pas stupides. Ils savent que les PME ont generalement moins de ressources en securite informatique que les grandes entreprises, mais qu’elles detiennent quand meme des donnees precieuses : informations de cartes de credit, dossiers clients, donnees bancaires, numeros d’assurance sociale.

Selon le gouvernement du Canada (Innovation, Sciences et Developpement economique), les petites entreprises representent pres de 98 % de toutes les entreprises au pays. C’est un immense bassin de cibles pour les pirates.

Les types de cyberattaques les plus frequentes

Voici les menaces qui frappent le plus souvent les PME quebecoises :

• Rancongiciel (ransomware) — Le pirate chiffre toutes vos donnees et exige un paiement (souvent en cryptomonnaie) pour les debloquer. Cout moyen d’une attaque par rancongiciel au Canada : entre 25 000 $ et 250 000 $, selon la taille de l’entreprise.
• Hameconnage (phishing) — Un courriel qui a l’air legitime (votre banque, Postes Canada, Revenu Quebec) mais qui vole vos identifiants. C’est la technique la plus repandue et aussi la plus efficace.
• Attaque par deni de service (DDoS) — Votre site web ou vos systemes de paiement deviennent inaccessibles. Pour un commerce en ligne, chaque minute d’arret peut couter des centaines de dollars.
• Vol de donnees — Intrusion dans vos systemes pour voler des informations sensibles (donnees clients, secrets commerciaux, propriete intellectuelle).
• Fraude par ingenierie sociale — Un employe se fait manipuler par telephone ou courriel pour transferer de l’argent ou reveler des mots de passe.

L’impact financier reel d’un cyberincident

On parle pas juste de payer une rancon. Les couts s’accumulent rapidement :

• Restauration des systemes : 10 000 $ a 50 000 $ en frais d’experts informatiques
• Notification des personnes touchees : obligatoire au Quebec sous la Loi 25 (Commission d’acces a l’information), avec amendes possibles jusqu’a 25 millions $ en cas de non-conformite
• Perte de revenus : chaque jour d’arret = perte de chiffre d’affaires
• Frais juridiques : si des clients poursuivent votre entreprise
• Dommages a la reputation : la confiance perdue, ca ne se rachete pas facilement

Le Statistique Canada rapporte que 60 % des PME victimes d’une cyberattaque majeure ferment leurs portes dans les six mois suivants. C’est une statistique qui devrait vous garder reveille la nuit.

Qu’est-ce que la cyber-assurance exactement?

La cyber-assurance (aussi appelee assurance cyberrisques ou assurance des risques informatiques) est une police specifiquement concue pour proteger votre entreprise contre les pertes financieres liees a un incident de cybersecurite.

C’est pas la meme chose que votre assurance responsabilite civile commerciale. Votre police de responsabilite civile standard n’a tout simplement pas ete concue pour couvrir les pertes numeriques. C’est comme essayer de couvrir un degat d’eau avec une assurance auto — ca marche juste pas.

Ce que la cyber-assurance couvre

Une bonne police de cyber-assurance PME inclut generalement :

• Frais de reponse a l’incident — Experts en informatique judiciaire, consultants en relations publiques, firmes de securite pour contenir la breche. Pensez-y comme une equipe SWAT numerique.
• Recuperation des donnees et des systemes — Restauration de vos fichiers, bases de donnees et systemes d’exploitation a un etat fonctionnel.
• Notification et surveillance de credit — Vous etes legalement oblige d’informer les personnes touchees au Quebec. La police couvre les couts d’envoi, le centre d’appel et les services de surveillance du credit offerts aux victimes.
• Perte de revenus d’exploitation — Si votre commerce est paralyse pendant des jours ou des semaines, cette couverture compense les profits perdus et les charges fixes qui continuent de courir.
• Responsabilite envers les tiers — Frais juridiques et reglements si des clients ou partenaires vous poursuivent a la suite d’une breche de donnees.
• Rancon et extorsion — Certaines polices couvrent le paiement d’une rancon (dans les limites prevues) ainsi que les frais de negociation avec les cybercriminels.

Combien coute une cyber-assurance pour PME au Quebec?

C’est la question a 1 000 $… ou plutot, a quelques centaines de dollars par annee. Voici un apercu realiste des prix :

Taille de l’entreprise	Chiffre d’affaires	Prime annuelle estimee	Couverture typique
Travailleur autonome / micro-entreprise	Moins de 500 000 $	500 $ a 1 500 $/an	250 000 $ a 500 000 $
Petite PME (5-25 employes)	500 000 $ a 2 M$	1 500 $ a 5 000 $/an	500 000 $ a 2 M$
PME moyenne (25-100 employes)	2 M$ a 10 M$	5 000 $ a 15 000 $/an	2 M$ a 5 M$
PME technologique / donnees sensibles	Variable	8 000 $ a 25 000 $/an	5 M$ et plus

Les facteurs qui influencent votre prime :

• Le type de donnees que vous gerez (financieres, medicales, personnelles)
• Votre chiffre d’affaires annuel
• Votre secteur d’activite (un cabinet comptable paie plus qu’un salon de coiffure)
• Vos mesures de securite existantes (antivirus, pare-feu, formation des employes)
• Votre historique de reclamations
• Le montant de couverture et la franchise choisis

Quand on met ca en perspective — une prime de 2 000 $/an contre un incident potentiel de 75 000 $ — le calcul se fait tout seul.

5 raisons pour lesquelles votre assurance actuelle ne suffit pas

Beaucoup de proprietaires de PME pensent etre deja couverts. Mauvaise nouvelle : probablement pas. Voici pourquoi :

1. Votre assurance responsabilite civile exclut les donnees numeriques — Les polices RC standard couvrent les dommages physiques, pas les pertes de donnees informatiques.
2. Votre assurance des biens ne couvre pas les actifs numeriques — Votre inventaire physique est assure, mais vos bases de donnees clients, votre site web, votre logiciel de comptabilite? Non.
3. Les frais de notification ne sont couverts nulle part — La Loi 25 du Quebec exige la notification. Ces frais peuvent atteindre 10 000 $ a 50 000 $ selon le nombre de personnes touchees.
4. La perte de revenus numerique n’est pas la meme que la perte d’exploitation classique — Si votre site de commerce electronique tombe, votre assurance des biens ne compensera pas les ventes perdues.
5. Les amendes reglementaires sont rarement couvertes — Les penalites imposees par la Commission d’acces a l’information du Quebec ne sont pas dans votre police standard.

Comment choisir la bonne cyber-assurance pour votre PME

Pas toutes les polices se valent. Voici comment magasiner intelligemment :

Etape 1 : Evaluez vos risques specifiques

Posez-vous ces questions :

• Quelles donnees sensibles detenez-vous? (cartes de credit, dossiers medicaux, NAS)
• Combien d’employes ont acces a vos systemes?
• Utilisez-vous des services infonuagiques (cloud)?
• Avez-vous un site de commerce electronique?
• Vos employes travaillent-ils a distance?

Plus vous repondez « oui », plus votre couverture doit etre robuste.

Etape 2 : Comprenez les exclusions

Chaque police a ses angles morts. Les exclusions frequentes :

• Les incidents survenus avant la date d’entree en vigueur de la police
• Les actes intentionnels ou la negligence grave
• Les systemes non mis a jour (certains assureurs exigent des mises a jour regulieres)
• Les pertes indirectes ou consequentielles dans certains cas

Etape 3 : Travaillez avec un courtier specialise

Un courtier en assurance de dommages certifie par l’Autorite des marches financiers (AMF) peut :

• Evaluer precisement vos besoins en fonction de votre secteur
• Comparer les offres de plusieurs assureurs
• Negocier les meilleures conditions et franchises
• Vous accompagner en cas de reclamation

Bonnes pratiques : reduire vos risques (et votre prime)

La cyber-assurance ne remplace pas les bonnes habitudes de securite. En fait, les assureurs vont souvent reduire votre prime si vous demontrez que vous prenez la cybersecurite au serieux.

Formation des employes

Vos employes sont votre premiere ligne de defense — et aussi votre plus grand risque. 90 % des breches de securite impliquent une erreur humaine. Investissez dans une formation de sensibilisation a la cybersecurite au moins deux fois par annee. Montrez-leur a quoi ressemble un courriel d’hameconnage. Testez-les avec des simulations.

Authentification a deux facteurs (2FA)

Activez le 2FA partout ou c’est possible : courriels, logiciels comptables, comptes bancaires, systemes de point de vente. C’est gratuit et ca bloque une enorme proportion des tentatives d’intrusion.

Sauvegardes automatiques

Regle du 3-2-1 : 3 copies de vos donnees, sur 2 supports differents, dont 1 hors site (infonuagique ou disque externe hors reseau). Testez vos sauvegardes regulierement pour vous assurer qu’elles fonctionnent vraiment.

Mises a jour et correctifs

Les mises a jour de securite existent pour une raison. Configurez les mises a jour automatiques sur tous vos appareils et logiciels. Un systeme non patche, c’est une porte grande ouverte pour les pirates.

Politique de mots de passe

Exigez des mots de passe d’au moins 12 caracteres, uniques pour chaque compte. Mieux encore : utilisez un gestionnaire de mots de passe d’entreprise. Le mot de passe « admin123 » ne devrait exister nulle part dans votre organisation.

Loi 25 du Quebec : vos obligations legales en cas de breche

Depuis septembre 2023, la Loi 25 (Loi modernisant des dispositions legislatives en matiere de protection des renseignements personnels) impose des obligations strictes aux entreprises quebecoises. Voici ce que vous devez savoir :

• Obligation de signaler tout incident de confidentialite a la Commission d’acces a l’information (CAI) et aux personnes concernees
• Registre des incidents obligatoire
• Amendes : jusqu’a 25 000 000 $ ou 4 % du chiffre d’affaires mondial pour les organisations
• Responsable de la protection des renseignements personnels designement obligatoire

La cyber-assurance vous aide a couvrir les couts de conformite a la Loi 25 en cas d’incident — un avantage majeur que votre assurance traditionnelle ne vous donne pas.

Exemples concrets : quand la cyber-assurance sauve la mise

Pour bien comprendre la valeur d’une cyber-assurance, voici trois scenarios inspires de cas reels :

Scenario 1 : Le restaurant avec commande en ligne

Un restaurant de Quebec avec un systeme de commande en ligne subit une breche. Les donnees de cartes de credit de 3 000 clients sont exposees. Cout total sans assurance : environ 85 000 $ (notification, surveillance de credit, experts, frais juridiques, perte de clientele). Avec une cyber-assurance a 1 800 $/an et une franchise de 2 500 $, le restaurateur paie seulement sa franchise.

Scenario 2 : Le cabinet comptable et le rancongiciel

Un cabinet de 12 employes a Laval se fait chiffrer tous ses dossiers clients en pleine saison des impots. Les pirates demandent 50 000 $ en bitcoin. Perte d’exploitation estimee : 120 000 $ pour 3 semaines d’arret. La cyber-assurance a couvert les frais de restauration, la perte de revenus et les experts en negociation — le cabinet a repris ses activites en 5 jours au lieu de 3 semaines.

Scenario 3 : La boutique en ligne victime d’hameconnage

Un employe clique sur un lien frauduleux. Le pirate accede aux comptes fournisseurs et detourne 28 000 $ en virements. La cyber-assurance a rembourse le montant detourne et finance l’audit de securite pour colmater la faille.

Checklist : etes-vous pret pour une cyber-assurance?

Avant de contacter un courtier, evaluez votre situation :

• Avez-vous un inventaire de vos actifs numeriques (bases de donnees, logiciels, site web)?
• Connaissez-vous le volume de donnees personnelles que vous detenez?
• Avez-vous un plan de reponse aux incidents?
• Vos employes ont-ils recu une formation en cybersecurite dans les 12 derniers mois?
• Utilisez-vous l’authentification a deux facteurs?
• Vos sauvegardes sont-elles automatiques et testees regulierement?
• Etes-vous conforme a la Loi 25 du Quebec?

Si vous avez repondu « non » a plus de deux questions, une cyber-assurance devrait etre en haut de votre liste de priorites.

FAQ

Ma responsabilite civile commerciale couvre-t-elle les cyberattaques?

Non, dans la grande majorite des cas. Les polices de responsabilite civile standard couvrent les dommages physiques (blessures, bris materiels) mais excluent les pertes financieres liees aux incidents informatiques. Vous avez besoin d’une police de cyber-assurance distincte pour couvrir le vol de donnees, les rancongiciels et les frais de notification obligatoires au Quebec.

Combien coute une cyber-assurance pour une PME au Quebec?

Les primes varient generalement entre 500 $ et 15 000 $ par annee selon la taille de l’entreprise, le secteur d’activite, le volume de donnees sensibles et le niveau de couverture choisi. Une micro-entreprise peut s’assurer pour aussi peu que 500 $/an, tandis qu’une PME de 50 employes avec des donnees financieres paiera typiquement entre 5 000 $ et 10 000 $/an.

Est-ce que toutes les cyberattaques sont couvertes par la police?

Non. Les polices comportent des exclusions, notamment les incidents anterieurs a la prise d’effet, les actes intentionnels, la negligence grave (comme le refus de faire les mises a jour de securite) et parfois certains types d’attaques tres specifiques. Lisez attentivement votre contrat et discutez des exclusions avec votre courtier.

J’ai deja un bon antivirus. Ai-je quand meme besoin d’une cyber-assurance?

Absolument. Aucune mesure de securite n’est infaillible a 100 %. Un antivirus protege contre les menaces connues, mais les cyberattaques evoluent constamment. La cyber-assurance agit comme un filet de securite financier pour les situations ou vos defenses echouent — ce qui, statistiquement, finit par arriver tot ou tard.

La Loi 25 du Quebec m’oblige-t-elle a avoir une cyber-assurance?

La Loi 25 n’oblige pas directement a souscrire une cyber-assurance. Cependant, elle impose la notification des personnes touchees et de la Commission d’acces a l’information en cas d’incident, avec des amendes pouvant atteindre 25 millions $. La cyber-assurance vous aide a couvrir ces couts obligatoires et constitue donc un outil quasi essentiel de conformite.

Quel delai pour recevoir une indemnisation apres un cyberincident?

La plupart des assureurs activent les services de reponse a l’incident dans les 24 a 48 heures suivant la declaration du sinistre. Pour l’indemnisation financiere, le delai varie entre quelques semaines et quelques mois selon la complexite du dossier. Un courtier specialise peut accelerer le processus.

Que faire en premier si mon entreprise subit une cyberattaque?

Contactez immediatement votre assureur et votre courtier — la plupart des polices de cyber-assurance incluent une ligne d’urgence 24/7. Isolez les systemes affectes (deconnectez-les du reseau), ne payez pas de rancon sans consulter les experts, documentez tout, et avisez la Commission d’acces a l’information du Quebec si des renseignements personnels sont compromis.

Protegez votre PME avant qu’il ne soit trop tard

La question n’est plus « est-ce que ca va m’arriver? » mais « quand est-ce que ca va m’arriver? ». Les cybermenaces ne vont pas disparaitre — elles deviennent plus sophistiquees chaque annee. Pour quelques centaines de dollars par an, une cyber-assurance peut faire la difference entre un incident gerant et la fermeture de votre entreprise.

Prenez 2 minutes pour comparer les soumissions. Votre futur vous en sera reconnaissant.