L’Asie abrite plus de la moitié des internautes dans le monde. Les entreprises tirent parti de l’activité en ligne des Asiatiques pour faire des percées auprès des clients nouveaux et existants, créer de nouveaux produits et rendre les processus plus efficaces. Les avantages de cette opportunité s’accompagnent de risques uniques qui ne sont pas pris en compte par les polices d’assurance traditionnelles contre les pertes d’exploitation (BI). Cependant, ils peuvent être gérés avec une couverture BI à partir de cyber-polices autonomes.
Alors que nous passons du domaine physique au numérique, les revendications cyber BI présentent des défis uniques - certains familiers, certains différents et d’autres radicalement différents des revendications BI traditionnelles.
Le familier
Comme pour toutes les réclamations d’assurance, un lien de causalité entre l’incident et la perte doit être établi. Ceci est connu dans la BI traditionnelle comme la condition de dommages matériels. Les polices cyber-BI sont similaires, mais au lieu de dommages, la couverture peut être déclenchée par une compromission réelle ou présumée des systèmes informatiques d’un titulaire de police. Pour que les pertes soient couvertes, elles doivent découler d’un incident assuré.
Les types de couverture que les politiques traditionnelles et cyber BI fournissent sont également assez similaires. La couverture peut être assurée sur la base du revenu brut ou du bénéfice brut et sur la base de l’augmentation des coûts de travail. L’objectif est donc de placer le preneur d’assurance dans une position autre que pour le cyberincident. Ces incidents peuvent être malveillants (par exemple, une violation de données ou un logiciel malveillant) ou autrement (peut-être en raison d’actes ou d’omissions accidentels). Le défi, comme toujours, consiste à isoler la perte uniquement de celle causée par l’incident.
Le quelque peu différent
Certaines différences subtiles sont perceptibles lorsque l’on considère les pertes en vertu d’une cyber-politique. La période d’indemnisation pour une police d’assurance-responsabilité traditionnelle commence généralement lorsqu’une perte physique se produit. Cependant, avec les politiques de cyber BI, le début dépend fortement du libellé de la politique ; il peut s’agir du moment évalué d’une compromission du système ou du moment où un rapport d’incident de sécurité est fait. Cela est assujetti à l’expiration d’une période d’attente définie (c.-à-d. déductible du temps), habituellement d’environ 12 heures. Bien que cela semble être un court laps de temps, il peut s’avérer être une éternité coûteuse pour un détaillant en ligne lors d’une vente majeure comme le jour des célibataires.
Les polices cyber-BI ont généralement des périodes d’indemnisation maximales d’environ trois mois, ce qui est beaucoup plus court que les 12 mois que nous voyons couramment dans les polices BI traditionnelles. Cela reflète la nature plus courte de nombreux cyberincidents, qui peuvent être résolus plus rapidement grâce, par exemple, à une restauration de sauvegarde. Cependant, il peut être difficile d’identifier et de rectifier le point de défaillance dans un système informatique complexe, malgré l’aide d’une équipe dédiée à la réponse aux incidents.
Le très différent
Étant donné que les actifs sous-jacents sont de nature incorporelle, certaines différences importantes apparaissent. En voici deux qui valent la peine d’être pris en considération :
- Attaques de ransomware
Bien qu’elles ne soient pas nouvelles, les attaques de ransomware sont devenues de plus en plus importantes et complexes, ce qui rend plus probable qu’une entreprise puisse faire face à des perturbations. Les données peuvent être volées ou l’accès à celles-ci bloqué (ou une combinaison de ceux-ci), l’extorsionniste menaçant de divulguer, de détruire ou de bloquer l’accès à des données confidentielles à moins qu’un paiement ne soit effectué. La rançon moyenne en 2023 aurait été de 1,54 million de dollars, soit près du double du chiffre de 2022.
Dans certains cas, le paiement de la rançon peut sembler l’option la moins chère et la plus efficace. Certaines polices indemnisent même un titulaire de police pour de tels paiements. La décision finale d’effectuer ou non un paiement appartient à l’entreprise , mais devraient-ils payer ?
Bien qu’il puisse être tentant de céder aux demandes dans l’espoir que les données soient restaurées rapidement, les preuves ne le soutiennent pas. Environ une personne sur quatre qui paie ne récupère jamais ses données, et même si certaines données sont récupérées, la plupart des organisations prennent plus d’une semaine pour se remettre d’une attaque de ransomware. Il n’y a également aucune garantie d’une fin ou d’une résolution de l’attaque - un point repris par l’initiative de lutte contre les ransomwares de 48 pays qui décourage fortement de tels paiements. Les paiements pourraient également servir de source de financement pour des activités criminelles et fournir une incitation supplémentaire à commettre de futures attaques.
Les entreprises doivent décider s’il est dans leur intérêt de refuser de faire un paiement de rançon. Si les assureurs appuyaient la décision de ne pas payer, la couverture s’étendrait généralement aux coûts de recouvrement et à toute perte de revenus résultant directement de l’attaque.
Comme les attaques de ransomware peuvent être financièrement coûteuses et entraîner des temps d’arrêt importants, il serait judicieux de se préparer de manière proactive à un tel incident. Ces mesures peuvent comprendre :
- S’assurer que les sauvegardes et les redondances sont en place et à jour
- Effectuer des audits informatiques réguliers
- Rendre obligatoires les mots de passe forts et l’authentification multifacteur
- Donner régulièrement de la formation et de l’éducation en TI
- Élaborer des plans d’intervention en cas d’incident qui peuvent être mobilisés rapidement si nécessaire
De tels plans ne sont efficaces que s’ils impliquent les efforts de l’ensemble de l’organisation.
- Atteinte à la réputation
À la suite d’une cyberattaque, la perception du public à l’égard de l’entreprise ciblée peut être affectée, en particulier lorsque les données sensibles des clients sont compromises. Les clients peuvent remettre en question la capacité de l’entreprise à protéger leurs renseignements personnels, ce qui entraîne une perte de confiance et de loyauté. Les pannes de service peuvent également amener les utilisateurs à passer à un concurrent qui favorise sa fiabilité.
De nombreuses polices d’assurance cyber-BI offrent une couverture pour les dommages à la réputation, remboursant les assurés pour les pertes financières découlant directement de l’incident. Une couverture pour les coûts de réparation de la réputation peut également être disponible pour embaucher des consultants en relations publiques afin d’atténuer les effets de la publicité négative. La difficulté réside dans la mesure et l’attribution de la perte de clients actuels et potentiels à l’incident. De plus, étant donné que de nombreuses cyber polices ont de courtes périodes d’indemnisation maximales, les dommages continus à la réputation au-delà de cette période ne seraient pas couverts par la police.
Le jury ne sait toujours pas si les nouvelles de cyberincidents sont devenues si courantes que la réputation d’une entreprise est effectivement endommagée. Les gens ont tendance à considérer les entreprises détenant un degré élevé de confiance comme plus susceptibles de perdre leur réputation. Une banque en ligne, par exemple, serait plus sujette à la perte de réputation qu’un détaillant en ligne.
Comme pour les ransomwares, une approche proactive de la gestion des dommages à la réputation peut être plus efficace et efficiente qu’une position réactive. En plus des mesures énumérées ci-dessus, la pierre angulaire devrait être une communication claire et efficace avec les parties prenantes - essentielle pour rétablir la confiance et défendre les réputations.
Conclusion
Les revendications cyber-BI partagent certaines caractéristiques avec leurs homologues BI traditionnelles, mais le domaine numérique soulève des questions uniques. Lorsqu’une entreprise est confrontée à une perte de cyber BI, il est essentiel d’engager un partenaire de confiance ayant une expertise dans les nuances des réclamations cyber-BI pour les aider à atténuer son impact de grande envergure.
> En savoir plus - en savoir plus sur les services de juricomptabilité et les capacités d’interruption des activités de Sedgwick en Asie ou par courriel [email protected] pour plus d’informations
Mots clés : BI, Interruption des activités, Réclamations, cyber, cyberassurance, Cyberrisque, Biens, Perte de biens, Restauration de biens