Accueil Blog
Services
Audit informatique
Audit Budget TI
vCIOIntérim Direction TIContre-ExpertiseTest de sauvegardes et préparation à la relèveReprise après incidentPlanification StratégiqueGestion des relations avec les fournisseursTémoin ExpertConformité Loi 25Offre PMERessources humainesConformité RH et politiques TIConformité Loi 27Équité salariale et rémunérationPlacement-ressourceAccompagnement ISO 27001Accompagnement CAN/DGSI 104Accompagnement SOC 2Accompagnement PCCCAccompagnement certification TGVAccompagnement Edtech QuébecAccompagnement cyberassuranceExercice de crise (tabletop)Accompagnement ISO/IEC 42001
ContactPrendre rendez-vousNotre équipeÀ propos
English
AccueilBlogServicesContactPrendre rendez-vousNotre équipeÀ propos
English

Accompagnement cyberassurance

Votre courtier vous demande un questionnaire de 200 questions. On vous prépare à répondre — sans mentir, sans surdéclarer.

Souscription, renouvellement, médiation avec l'assureur — du côté du preneur, jamais du côté de l'assureur.

Un accompagnement cyberassurance est un mandat structuré qui prépare votre organisation à répondre correctement aux exigences de souscription ou de renouvellement d'une police de cyberassurance. Factero lit les questionnaires d'assureurs avec vous, identifie les écarts entre votre posture réelle et ce que vous êtes tentés de déclarer, propose des correctifs avant la soumission, et vous accompagne dans les échanges avec votre courtier ou votre assureur. Nous ne vendons pas d'assurance. Nous ne touchons pas de commission. Notre seul intérêt est que votre police vous protège vraiment quand vous en aurez besoin — et qu'elle ne soit pas annulée pour fausse déclaration le matin de l'incident.
Parler à un expert

Pour qui ?

PME québécoises et canadiennes qui souscrivent une cyberassurance pour la première fois et qui découvrent des questionnaires de 80 à 200 questions techniques auxquelles personne dans l'organisation ne sait répondre avec certitude.

Organisations qui ont vu leur prime augmenter significativement au dernier renouvellement, qui ont reçu une proposition avec exclusions ou qui se sont vu refuser une couverture et qui veulent comprendre pourquoi avant de retourner sur le marché.

Municipalités, MRC, townships et organismes publics qui doivent justifier leur dispositif de cybersécurité auprès d'un assureur dans le cadre d'un appel d'offres ou d'un mandat. Factero Service Conseil est inscrit au SEAO (Québec) et au Ontario Tenders Portal (Ontario).

Entreprises en croissance dont la couverture actuelle ne suit pas l'évolution de leur exposition — nouveaux marchés, nouveaux types de données, nouveaux fournisseurs critiques.

Organisations qui viennent de vivre un incident et qui doivent reprendre une couverture après réclamation — souvent un défi technique et commercial réel.

Direction et conseil d'administration qui veulent une lecture objective de la police actuelle : qu'est-ce qui est couvert, qu'est-ce qui ne l'est pas, où sont les angles morts.

Entreprises qui négocient un contrat avec un client important exigeant des niveaux de couverture spécifiques (souvent 5 M$ à 25 M$) et qui veulent valider l'adéquation de leur police actuelle.

Quand est-ce utile ?

Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
  • Votre courtier vous a envoyé un questionnaire de cyberassurance et personne dans votre organisation ne sait répondre avec certitude à 60 % des questions.
  • Vous êtes tentés de cocher « oui » à des questions techniques (MFA partout, sauvegardes hors ligne testées, EDR sur tous les postes, gestion formelle des privilèges) parce que c'est ce qu'on attend de vous — mais vous savez que ce n'est pas tout à fait vrai.
  • Votre prime a augmenté de 30 % à 200 % au dernier renouvellement et vous voulez savoir si c'est le marché qui s'est durci ou si votre profil de risque s'est détérioré.
  • Vous avez reçu une proposition avec exclusions explicites (rançongiciels, ingénierie sociale, fonds détournés) et vous voulez comprendre comment retrouver une couverture complète.
  • Un client corporatif ou un appel d'offres exige une attestation d'assurance d'un montant que votre police actuelle n'atteint pas.
  • Vous avez subi un incident, votre assureur a payé — et le renouvellement devient soudainement compliqué.
  • Vous voulez savoir si une fausse déclaration involontaire dans votre questionnaire pourrait servir à l'assureur pour refuser une réclamation future.
  • Votre direction veut une lecture en langage clair de la police actuelle — limites, sous-limites, exclusions, conditions d'application — sans devoir relire 60 pages de texte d'assurance.

Qu'est-ce que vous obtenez ?

Checkbox icon

Une lecture critique des questionnaires de souscription ou de renouvellement, avec identification ligne par ligne des questions où votre déclaration pourrait être contestée en cas de réclamation.

Checkbox icon

Un plan de mise en conformité prioritaire : ce qu'il faut implémenter (MFA sur les comptes critiques, sauvegardes hors ligne testées, formation anti-hameçonnage, gestion des privilèges) avant de soumettre, pour répondre honnêtement par l'affirmative.

Checkbox icon

Une analyse d'écart entre votre exposition réelle et votre couverture actuelle — par type de scénario (rançongiciel, fraude par ingénierie sociale, fuite de données, interruption d'affaires, atteinte à la vie privée Loi 25).

Checkbox icon

Une lecture en langage de gestion de votre police actuelle : limites principales, sous-limites par garantie, exclusions, conditions préalables, franchises — traduites dans votre réalité opérationnelle.

Checkbox icon

Un dossier de soumission structuré : preuves techniques, attestations internes, rapports d'audit récents, tests de sauvegardes, formations documentées — exactement ce que l'assureur veut voir, présenté dans le format qu'il attend.

Checkbox icon

Une médiation technique avec votre courtier ou avec l'assureur lors des échanges de souscription : on traduit les exigences de l'assureur en actions concrètes pour votre équipe TI, et on traduit vos réalités opérationnelles en langage que l'assureur acceptera.

Checkbox icon

Une analyse comparative si vous recevez plusieurs propositions de polices — pour distinguer ce qui ressemble à une meilleure offre commerciale d'une meilleure couverture réelle.

Checkbox icon

Une note pour le conseil d'administration ou la direction expliquant le profil de risque, la couverture obtenue, les angles morts résiduels, et les décisions stratégiques à prendre.

Pas un bon fit ?

  • L'accompagnement cyberassurance fonctionne quand l'organisation est prête à améliorer sa posture si c'est nécessaire pour répondre honnêtement aux questionnaires. Si l'objectif est de cocher « oui » partout sans réellement implémenter les contrôles, on n'est pas la bonne adresse — une fausse déclaration peut invalider votre couverture le jour où vous en avez vraiment besoin.
  • Nous ne sommes pas un courtier d'assurance et nous ne vendons pas de police. Si vous cherchez quelqu'un pour vous placer auprès d'un marché d'assurance, votre courtier est la bonne personne — et nous pouvons travailler avec lui (souvent c'est le courtier qui nous appelle, parce qu'il a besoin d'un dossier technique solide pour ses négociations).
  • Nous ne sommes pas non plus un avocat en assurance. Pour interpréter une exclusion de police ambiguë, pour négocier les termes contractuels, ou pour gérer une réclamation contestée, votre courtier et votre conseiller juridique restent les références. Notre rôle se concentre sur le côté technique cyber : ce que l'assureur veut savoir, comment le démontrer, comment ne pas se piéger soi-même.
  • Si vous avez déjà une police récente, bien adaptée à votre profil, sans surprise au dernier renouvellement, et que votre équipe interne maîtrise déjà la cybersécurité requise — vous avez probablement déjà ce qu'il vous faut. On en discute franchement à l'appel découverte.

Comment fonctionne le processus ?

Une approche rigoureuse et transparente, étape par étape.
Lecture de la situation actuelle
On commence par regarder où vous en êtes : police actuelle (s'il y en a une), historique de réclamations, questionnaire le plus récent, échéance de renouvellement, exigences contractuelles imposées par vos clients. On identifie ce qui motive la démarche — première souscription, renouvellement difficile, exigence client, post-incident — pour cadrer le mandat précisément.
Lecture critique du questionnaire
On lit le questionnaire de souscription avec vous, question par question. Pour chacune, on identifie : ce que vous avez effectivement en place, ce qui peut être documenté tel quel, ce qui demande un correctif rapide avant soumission, et ce qui doit être déclaré tel qu'il est (parfois la bonne réponse est non — un non bien expliqué vaut mieux qu'un oui contestable). Le cadre NIST-CSF structure cette lecture par fonction (Identify, Protect, Detect, Respond, Recover) — c'est aussi le langage que les assureurs comprennent.
Plan de mise en conformité
Si des écarts existent entre vos pratiques actuelles et ce que l'assureur attend, on construit un plan priorisé par impact sur la couverture : ce qui changera la prime, ce qui débloquera une exclusion, ce qui élèvera la limite atteignable. Certains correctifs sont rapides (activer MFA sur les comptes administrateurs, vérifier que les sauvegardes sont hors ligne) — d'autres demandent plus de structure (formation anti-hameçonnage récurrente, plan de relève documenté, audit indépendant). On implémente avec votre équipe TI ou en coordination avec votre MSP.
Dossier de soumission
On constitue le dossier que l'assureur (ou le courtier) attend : rapport d'audit indépendant si pertinent, test de sauvegardes documenté, plan de réponse aux incidents, formations attestées, certifications (Loi 25, ISO 27001, CAN/DGSI 104, TGV, SOC 2 — selon ce qui s'applique). L'idée : que votre courtier ait en main un dossier complet et crédible quand il sollicite le marché. Un bon dossier ouvre des portes que les questionnaires bruts ferment.
Médiation courtier et assureur
Pendant les échanges de souscription, on traduit. L'assureur pose une question technique précise — on répond avec les preuves, dans son langage. Vous avez une réalité opérationnelle particulière (système legacy, fournisseur unique, contraintes sectorielles) — on l'explique dans une note technique qui prévient les questions plutôt que les attendre. Notre rôle est strictement côté preneur : on ne représente jamais l'assureur, on ne touche aucune commission, on n'a aucun arrangement avec aucun marché d'assurance. Notre charte d'indépendance l'exige.
Lecture finale et note direction
Une fois la police émise, on la lit pour vous. On vous remet une note en langage de gestion : qu'est-ce qui est couvert, quelles sont les sous-limites importantes (souvent les exclusions techniques se cachent dans les sous-limites), quelles conditions préalables doivent être respectées pour que la couverture s'applique (notification dans X heures, recours à des fournisseurs DFIR pré-approuvés, etc.), et quels sont les angles morts résiduels que la direction doit assumer consciemment.

Foire aux questions

Les réponses aux questions que nos clients posent avant de nous contacter.
Pourquoi notre prime a-t-elle autant augmenté ?
Trois facteurs jouent généralement ensemble. Premièrement, le marché de la cyberassurance s'est globalement durci depuis 2020-2022 sous l'effet de l'explosion des rançongiciels — toutes les primes ont monté, indépendamment de votre profil. Deuxièmement, les assureurs ont resserré leurs exigences techniques : ce qui était acceptable il y a trois ans (MFA partiel, sauvegardes non testées, EDR absent sur certains postes) entraîne aujourd'hui des surprimes ou des refus. Troisièmement, votre profil de risque a peut-être évolué : croissance, nouveaux fournisseurs, nouveaux types de données traitées, secteurs plus exposés. Factero identifie lequel des trois facteurs domine dans votre cas — parce que la réponse stratégique est différente. Pour le marché qui se durcit, on optimise la présentation. Pour les exigences techniques resserrées, on comble les écarts. Pour le profil qui change, on revoit l'adéquation de la couverture.
Si on coche « oui » sur le questionnaire alors qu'on ne fait pas vraiment ça, est-ce grave ?
Oui, et c'est l'angle mort le plus dangereux de la cyberassurance. Une fausse déclaration, même non intentionnelle, peut servir à l'assureur pour refuser ou réduire une réclamation au moment où vous en avez le plus besoin. Cocher « MFA activé sur tous les comptes administrateurs » alors que deux comptes hérités n'en ont pas, c'est un fait que l'expert en sinistre constatera à l'analyse forensique. Cocher « sauvegardes testées trimestriellement » alors que personne n'a fait de vraie restauration depuis 18 mois, c'est documenté par l'absence de rapport de test. Factero vous aide à répondre honnêtement et avec preuves : soit on documente ce qui existe, soit on corrige avant la soumission, soit on déclare l'écart en l'accompagnant d'un plan d'action — ce qui est souvent mieux accepté par l'assureur qu'on ne le pense.
Combien de temps avant un renouvellement faut-il s'y prendre ?
Idéalement 3 à 4 mois avant l'échéance. Cela permet de faire l'analyse d'écart, d'implémenter les correctifs qui changent la prime ou débloquent des garanties (4 à 8 semaines), de constituer le dossier complet, et de laisser au courtier le temps de solliciter le marché. Les renouvellements négociés à 2 semaines de l'échéance se font dans l'urgence — et l'urgence joue toujours en faveur de l'assureur, jamais du preneur. Pour une première souscription, on peut être plus rapide (6 à 8 semaines) si votre posture est déjà mature et que le mandat est limité à structurer le dossier de soumission.
Notre courtier va-t-il bien accepter que Factero soit dans le dossier ?
Dans la grande majorité des cas, oui — et souvent c'est lui qui nous appelle. Un bon courtier veut un dossier technique solide pour négocier auprès des marchés. Quand le preneur ne sait pas répondre aux questionnaires, le courtier est dans une position difficile : soit il aide à remplir (et engage sa responsabilité), soit il transmet un dossier incomplet (et obtient un mauvais résultat). Factero apporte la couche technique indépendante qui manque, sans empiéter sur le rôle du courtier — qui reste votre représentant auprès du marché d'assurance. Nous travaillons régulièrement avec les principaux courtiers actifs au Québec et en Ontario, sans entente commerciale avec aucun. Si votre courtier se montre réticent à notre présence, c'est un signal qui mérite d'être discuté — un courtier qui ne veut pas d'expertise technique externe dans le dossier n'agit pas nécessairement dans votre intérêt.
Est-ce que vous êtes un courtier en assurance ?
Non, et c'est essentiel pour notre indépendance. Factero n'est pas titulaire d'un permis de courtier d'assurance et ne vend aucune police. Nous ne touchons aucune commission, aucune rétrocession, aucun bonus d'aucun marché d'assurance, courtier ou réassureur. Notre rôle est strictement du côté du preneur : vous préparer techniquement, traduire les exigences, médier les échanges techniques. Le courtier reste votre représentant commercial auprès du marché. Notre charte d'indépendance exclut explicitement tout arrangement commercial avec les acteurs du marché de l'assurance — cela protège la valeur de nos conseils.
Quels types d'incidents la cyberassurance couvre-t-elle généralement ?
Les polices canadiennes couvrent généralement quatre grandes familles : (1) frais de réponse à incident — DFIR, frais juridiques, notifications réglementaires, surveillance de crédit ; (2) interruption d'affaires — perte de revenus pendant l'incident ; (3) rançon et restauration — paiement de la rançon (sous conditions strictes), reconstruction des systèmes, recouvrement des données ; (4) responsabilité civile — réclamations de tiers (clients, employés) suite à une fuite de données. Les exclusions courantes : actes de guerre (attention à la définition large que certains assureurs en font), infrastructures de pays sanctionnés, défauts de patch connus non corrigés depuis longtemps, fraude par employé interne (parfois exclue, parfois couverte sous une garantie séparée). Chaque police est différente — la lecture critique de votre contrat est précisément ce qu'on fait avec vous.
On a déjà été victime d'un incident l'an dernier. Notre assureur va-t-il nous laisser tomber ?
Pas nécessairement, mais le renouvellement sera plus exigeant. Un assureur qui a payé pour vous va vouloir voir précisément ce que vous avez changé depuis — pas une promesse, des preuves : nouveau dispositif technique, formations renforcées, audit indépendant, plan de réponse révisé, tests documentés. Certains marchés peuvent se retirer ; d'autres peuvent rester avec une prime majorée et des conditions. Factero a l'expérience des renouvellements post-incident : on documente précisément le delta entre votre posture au moment de l'incident et votre posture aujourd'hui, on prépare le dossier qui démontre la maturation. Souvent, un renouvellement post-incident bien préparé débouche sur une couverture meilleure que la précédente — parce que l'incident a forcé une vraie modernisation.
Quels standards utilisez-vous pour évaluer notre posture cyber ?
Factero s'appuie sur le NIST Cybersecurity Framework (NIST-CSF) comme cadre principal pour structurer l'évaluation — c'est aussi le langage que la grande majorité des assureurs comprennent. Les contrôles techniques sont évalués en référence aux pratiques attendues par les marchés (MFA, gestion des privilèges, EDR, sauvegardes hors ligne testées, plan de réponse, formation, gestion des fournisseurs). Selon les cas, on mobilise aussi ISO 27002, les Trust Services Criteria (pour les clients qui ont déjà ou visent un SOC 2), ou le référentiel CAN/DGSI 104 (pour les PME qui visent CyberSécuritaire Canada en parallèle). Le principal associé détient la certification CISA (Certified Information Systems Auditor) — la référence internationale en audit des systèmes d'information. Ce qui compte, dans le contexte cyberassurance, c'est de traduire votre posture dans un langage que l'assureur reconnaîtra comme crédible — pas d'imposer un référentiel ésotérique.
Est-ce que c'est confidentiel ?
Oui, chaque mandat d'accompagnement mené par Factero est encadré par un engagement de confidentialité formel en faveur du client, signé avant le début des travaux. Les informations échangées — questionnaires d'assureurs, analyses d'écart, rapports d'audit, échanges avec courtiers — restent strictement à l'intérieur de notre mandat, conformément à notre politique de protection des renseignements personnels et aux exigences de la Loi 25. Les éléments transmis à votre courtier ou à l'assureur le sont sous votre contrôle et avec votre validation explicite.
Est-ce qu'on s'engage dans un suivi récurrent ?
Non. Le mandat se termine à l'émission de la police (ou à la décision de ne pas la prendre, ce qui arrive parfois). Pour les renouvellements annuels, certaines organisations préfèrent nous garder sur une cadence légère — quelques heures avant chaque échéance pour ajuster le dossier. D'autres internalisent après le premier cycle, souvent quand un responsable conformité ou un vCIO est en place. Notre charte d'indépendance interdit la création de dépendance artificielle. Si votre équipe peut reprendre le relais, c'est un bon résultat.
Pourquoi Factero pour ce mandat — qu'est-ce qui vous différencie ?
Avant de signer avec un cabinet sur un mandat de cette nature, vérifiez quelques éléments fondamentaux. Un cabinet sérieux les démontre sans hésitation et par écrit. Cabinet lui-même certifiéFactero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous appliquons à notre propre organisation les standards que nous accompagnons chez nos clients. Un cabinet qui vous accompagne en cybersécurité devrait, par cohérence, en détenir une lui-même. Entreprise incorporée et établie depuis 2022Factero Service Conseil est dûment incorporée au Registre des entreprises du Québec (REQ) depuis 2022, sans procédure d'insolvabilité ni de faillite. Le statut juridique de tout cabinet candidat se vérifie gratuitement au REQ ; les procédures d'insolvabilité et de faillite figurent au registre du Bureau du surintendant des faillites Canada (osb-bsf.ic.gc.ca). Équipe complète et continuité opérationnelleFactero s'appuie sur une équipe interdisciplinaire couvrant les technologies de l'information, les ressources humaines et la comptabilité — les trois dimensions qui se croisent dans la plupart des mandats de gouvernance. Un mandat structurant s'étend sur plusieurs mois ; le cabinet qui vous accompagne doit avoir la profondeur d'équipe pour tenir la distance, pas seulement la disponibilité d'une seule personne. Assurance responsabilité professionnelle et cyberassuranceFactero détient une couverture responsabilité professionnelle (E&O) et une cyberassurance actives, adaptées à ses activités de conseil en gouvernance TI et en cybersécurité. Un cabinet qui vous recommande une cyberassurance devrait, par cohérence, en détenir une lui-même. Demandez l'attestation avant de signer. Indépendance écrite et publique — Nos engagements sont encadrés par une Charte d'Indépendance publique qui interdit commissions, rétrocessions et arrangements commerciaux avec les fournisseurs, courtiers et marchés. Inscription aux marchés publicsFactero est inscrit au SEAO (Québec) et au Ontario Tenders Portal — démarche qui implique vérifications réglementaires et attestations fiscales à jour. Ces critères ne sont pas des arguments commerciaux. Ce sont les conditions minimales à demander à tout cabinet candidat. L'absence de réponse claire à l'une de ces questions est, en soi, une réponse.
Nos conseils restent indépendants. Consultez notre Charte d'indépendance.

Services complémentaires

Audit informatique Test de sauvegardes et préparation à la relève Conformité Loi 25 Voir plus

Besoin d'avancer sur ce sujet ?

Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.
Parler à un expert