Skip to main content
Marsh logo

Rapport

Réclamations liées aux cyberrisques aux États-Unis et au Canada en 2025 : la confidentialité des données reste un défi tandis que les rançongiciels persistent

Les atteintes à la vie privée demeurent l’une des principales préoccupations des organisations, se classant comme la première cybermenace au Canada et parmi les trois principales menaces aux États-Unis, selon notre rapport.

02/01/2026 · Lecture de 4 minutes

Principaux points à retenir

  • Selon une récente enquête de Marsh, les atteintes à la vie privée constituent l’une des principales préoccupations des organisations à l’échelle mondiale. Le risque d’atteinte à la vie privée sans violation de données a évolué, les demandeurs ayant recours à un plus large éventail de lois pour présenter des réclamations liées aux cyberrisques. (Une atteinte à la vie privée sans violation de données fait référence à un cyberévénement impliquant des données ou des systèmes sensibles, mais sans accès non autorisé ni acteurs malveillants.)
  • Le volume des déclarations de cybersinistres auprès des assureurs aux États-Unis et au Canada a diminué en 2025, principalement en raison d’une réduction des événements corrélés.
  • Au niveau sectoriel, ce sont les entreprises de communication, de médias et de technologie qui ont connu le plus grand nombre d’événements. Jusqu’à récemment, c’était le secteur des soins de santé qui détenait cette distinction.
  • Le nombre de réclamations liées aux rançongiciels a diminué d’un tiers. Toutefois, les paiements liés à l’extorsion demeurent importants. 

Évolution des réclamations liées à une atteinte à la vie privée sans violation de données

Les atteintes à la vie privée demeurent l’une des principales préoccupations des organisations, se classant comme la première cybermenace au Canada et parmi les trois principales menaces aux États-Unis, selon le Rapport de Cyber Catalyst : Priorités stratégiques pour orienter les investissements en cybersécurité. À l’échelle mondiale, les atteintes à la vie privée sont à égalité avec les rançongiciels en tant que principale cybermenace globale.

Un changement notable que nous avons constaté dans les réclamations liées à une atteinte à la vie privée sans violation de données en 2025 est la diversité croissante des lois américaines en vertu desquelles elles sont présentées (voir figure 1). Par exemple, les réclamations liées au suivi des sites Web et autres réclamations ont augmenté de 43 % par rapport à 2024. Cela s’explique principalement par le fait que les avocats des plaignants se tournent vers des lois telles que celles relatives à l’écoute en ligne, la loi sur la fraude et les abus informatiques (Computer Fraud and Abuse Act) et la loi sur la confidentialité des communications électroniques (Electronic Communications Privacy Act). Dans le même temps, les plaintes déposées en vertu de la loi sur la confidentialité des renseignements biométriques (Biometric Information Privacy Act) ont diminué de 50 %, car les clients font preuve d’une plus grande prudence dans la collecte de renseignements biométriques. Il en va de même pour les plaintes déposées en vertu de la loi sur la protection de la vie privée dans les communications vidéo (Video Privacy Protection Act), qui ont chuté de près de 59 %. 

* Disponible en anglais seulement

Protection contre les réclamations liées à une atteinte à la vie privée sans violation de données

Les mesures que les entreprises peuvent prendre pour se protéger contre les réclamations liées à une atteinte à la vie privée sans violation de données peuvent comprendre :

  • Déterminer la propriété des données
  • Gérer les données et le consentement
  • Contrôler de manière proactive la conservation et la suppression des données
  • Protéger les données et les communications liées aux incidents
  • Limiter l’utilisation des données réglementées à des fins précises
  • Comprendre le partage des données et gérer les risques liés aux tiers

Se conformer aux réglementations, y compris celles relatives aux droits des clients et des « personnes concernées » et aux transferts transfrontaliers de données

L’absence d’événements corrélés significatifs a eu une incidence sur le volume des réclamations liées aux cyberrisques 

En 2025, le nombre de déclarations de sinistre provenant des clients de Marsh aux États-Unis et au Canada a diminué de 29 % par rapport à 2024 (voir figure 2). 

Une partie de cette baisse peut être attribuée à l’absence d’événements corrélés par rapport à l’année précédente; en 2024, de nombreux clients ont été touchés par les attaques contre CrowdStrike et Change Healthcare. Cependant, même après avoir retiré les réclamations corrélées des données de 2024, nos clients ont encore signalé environ 20 % d’événements en moins en 2025 qu’en 2024. 

De nombreux facteurs contribuent au nombre d’événements (et donc de réclamations) au cours d’une année donnée. Au-delà de la réduction des événements corrélés, nous pensons qu’une meilleure mise en œuvre des contrôles peut contribuer de manière significative à cette baisse. Étant donné que la fréquence des réclamations a commencé à augmenter au cours de la dernière partie de l’année 2025, d’un trimestre à l’autre, il reste à voir si la baisse de la fréquence annuelle des réclamations en 2025 se poursuivra en 2026. C’est certainement un domaine que nous surveillerons de près au cours de l’année à venir.

* Disponible en anglais seulement

La technologie émerge comme la cible principale

Si les entreprises de tous les secteurs d’activité sont exposées au risque de cyberévénement, certaines d’entre elles se distinguent au fil du temps comme étant des cibles particulièrement fréquentes. Le secteur des soins de santé a toujours enregistré le plus grand nombre de réclamations, mais les entreprises des secteurs des communications et médias et des technologies ont été plus touchées au cours des derniers trimestres (voir figure 3). 

Il est important de noter que lorsqu’on examine séparément le Canada et les États-Unis, le secteur des soins de santé reste le plus ciblé au Canada.

* Disponible en anglais seulement

Autres tendances notables

Le nombre de réclamations liées aux rançongiciels diminue, mais pas leur gravité. Le nombre d’événements de cyberextorsion signalés a diminué de 33 % en 2025 par rapport à 2024 (voir figure 4), ce que nous attribuons à une meilleure sensibilisation et à des contrôles renforcés en matière de cybersécurité au sein des organisations, ainsi qu’à une corrélation moindre entre les événements en 2025.

Les rançongiciels sont restés au premier plan et ont été cités, à égalité avec les atteintes à la vie privée, comme le principal risque par les organisations du monde entier dans une récente enquête de Marsh. Les rançongiciels étaient le principal risque cité au Canada et figuraient parmi les trois principaux risques aux États-Unis.

* Disponible en anglais seulement

Conclusion

Le nombre de réclamations liées aux cyberrisques soumises à Marsh en 2025 a diminué par rapport à 2024, même après avoir pris en compte la diminution du nombre d’événements corrélés en 2025. Il sera intéressant de voir si cette tendance se maintiendra en 2026. Il est important de noter que même si le nombre d’événements a diminué en 2025, les déclarations de sinistre restent considérablement élevées depuis 2022.

Parmi les aspects positifs de la baisse du nombre de réclamations, on peut citer la probabilité qu’elle soit en partie due à l’amélioration des mesures de cybersécurité mises en place par les organisations. L’intention exprimée par la plupart des organisations dans une récente enquête de Marsh d’augmenter leurs dépenses en cybersécurité en 2026 permet d’être optimiste.

En ce qui concerne l’avenir, il sera important de reconnaître l’évolution du rôle de l’intelligence artificielle (IA) dans la cybersécurité. Si les sinistres liés à l’IA ne sont pas encore très nombreux, leur potentiel augmente à mesure que les technologies d’IA se généralisent. Alors que les pirates utilisent de plus en plus l’IA pour améliorer leurs tactiques, les organisations adoptent des outils axés sur l’IA pour renforcer leurs défenses en matière de cybersécurité. Cette double dynamique souligne l’importance cruciale d’une gouvernance solide. Les organisations doivent rester conscientes de la façon dont l’IA est utilisée, comprendre les restrictions applicables et définir des processus clairs pour évaluer les risques et mettre en œuvre des stratégies d’atténuation efficaces.

(Veuillez noter que les données pour 2025 figurant dans ce rapport ont été recueillies jusqu’au 30 novembre 2025 et extrapolées pour l’ensemble de l’année.)

Renseignements connexes

Hands using smartphone in city

Article

Comment les entreprises peuvent-elles gérer les risques et les occasions technologiques en cette ère marquée par la concurrence?

01/21/2026
Corporate business team and manager in a meeting

Balado,Aperçus présentés

Balado Risque en contexte : Anticiper les principaux risques de 2026 pour renforcer la résilience

01/06/2026
Cyber buyer's study

Rapport,Aperçus présentés

Rapport de Cyber Catalyst: Priorités stratégiques pour orienter les investissements en cybersécurité

12/09/2025
professional business person are working in communication of online marketing job plan with laptop by using a hand to typing computer keyboard at modern office workplace or co-working space

Article

Qu’est-ce que la cyberassurance?

11/20/2025
En voir plus