Réclamations liées à l’interruption des entreprises en ligne : les défis uniques du domaine numérique

L’Asie abrite plus de la moitié des internautes mondiaux. Les entreprises tirent parti de l’activité en ligne des Asiatiques pour percer auprès de nouveaux et actuels clients, créer de nouveaux produits et rendre les processus plus efficaces. Les avantages de cette opportunité s’accompagnent de risques uniques qui ne sont pas pris en compte par les polices d’assurance d’interruption d’activité (BI) traditionnelles. Cependant, ils peuvent être gérés avec une couverture BI provenant de polices cyber autonomes. 

Alors que nous passons du domaine physique au numérique, les réclamations liées à la cyberintelligence biologique présentent des défis uniques – certains familiers, d’autres différents, et d’autres encore radicalement différents des réclamations traditionnelles liées à la BI. 

Le familier

Comme pour toutes les réclamations d’assurance, un lien de causalité entre l’incident et la perte doit être établi. C’est ce qu’on appelle en BI traditionnel la clause de dommage matériel. Les polices de cyber-bio sont similaires, mais au lieu de dommages, la couverture peut être déclenchée par une compromission réelle ou suspectée des systèmes informatiques du titulaire de la police. Pour que les pertes soient couvertes, elles doivent découler d’un incident assuré. 

Les types de couverture offerts par les polices traditionnelles et cyber BI sont également assez similaires. La couverture peut être assurée sur une base de revenus bruts ou de bénéfices bruts et sur la base d’augmentation des coûts d’exploitation. L’objectif est donc de placer l’assuré dans une position si non liée à l’incident cybernétique. Ces incidents peuvent être malveillants (par exemple, une violation de données ou un logiciel malveillant) ou autrement (peut-être à cause d’actes accidentels ou d’omissions). Le défi, comme toujours, réside dans le fait d’isoler la perte uniquement à celle causée par l’incident.

Le quelque peu différent

Certaines différences subtiles sont perceptibles lorsqu’on considère les pertes sous une police cybernétique. La période d’indemnisation pour une police BI traditionnelle commence généralement lorsqu’une perte physique survient. Cependant, avec les politiques de cyber-BI, le début dépend beaucoup de la formulation de la politique; Cela peut être le temps estimé d’une compromission du système, ou le moment où un rapport d’incident de sécurité est rédigé. Cela est soumis à l’expiration d’une période d’attente définie (c’est-à-dire la franchise temporelle), habituellement d’environ 12 heures. Bien que cela semble court, cela pourrait s’avérer une éternité coûteuse pour un détaillant en ligne lors d’une grande vente comme la Journée des célibataires. 

Les polices de cyber-intelligence ont généralement des périodes d’indemnisation maximales d’environ trois mois, ce qui est nettement plus court que les 12 mois que l’on voit couramment dans les polices traditionnelles. Cela reflète la nature plus courte de nombreux incidents cybernétiques, qui peuvent être résolus plus rapidement, par exemple grâce à une restauration de sauvegarde. Cependant, il peut être difficile d’identifier et de corriger le point de défaillance dans un système informatique complexe, malgré l’aide d’une équipe dédiée à la réponse aux incidents. 

Les très différents

Puisque les actifs sous-jacents sont de nature intangible, certaines différences majeures apparaissent. En voici deux à considérer : 

1. Attaques par ransomware

Bien que ce ne soit pas nouveau, les attaques par rançongiciel sont devenues de plus en plus présentes et complexes, ce qui augmente le risque qu’une entreprise subisse des perturbations. Les données peuvent être volées ou leur accès bloqué (ou une combinaison de ces données), l’extorqueur menaçant de divulguer, détruire ou bloquer l’accès à des données confidentielles à moins qu’un paiement ne soit effectué. La rançon moyenne en 2023 était estimée à 1,54 million de dollars US, soit presque le double de celui de 2022.

Dans certains cas, payer la rançon peut sembler l’option la moins coûteuse et la plus efficace. Certaines polices indemnisent même le titulaire pour ces paiements. La décision finale de faire un paiement revient à l’entreprise — mais, devraient-elles payer?

Bien qu’il puisse être tentant de céder aux exigences en espérant que les données soient restaurées rapidement, les preuves ne le confirment pas. Environ une personne sur quatre ne récupère jamais ses données, et même si certaines données sont récupérées, la plupart des organisations mettent plus d’une semaine à se remettre d’une attaque de rançongiciel. Il n’y a pas non plus de garantie d’une fin ou d’une résolution de l’attaque — un point repris par l’initiative Counter Ransomware de 48 pays qui décourage fortement de tels paiements. Les paiements pourraient aussi servir de source de fonds pour des activités criminelles et offrir une incitation supplémentaire à commettre de futures attaques. 

Les entreprises doivent décider s’il est dans leur intérêt de refuser de verser une rançon. Si les assureurs appuient la décision de ne pas payer, la couverture s’étendrait généralement aux frais de récupération et à toute perte de revenus directement résultant de l’attaque.

Comme les attaques par rançongiciel peuvent être coûteuses financièrement et causer des interruptions importantes, il serait judicieux de se préparer de manière proactive à un tel incident. Ces mesures peuvent inclure :

• S’assurer que les sauvegardes et redondances sont en place et à jour
• Réalisation régulière d’audits informatiques
• Obligation de mots de passe forts et d’authentification multifactorielle
• Formation et formation régulières en TI
• Élaboration de plans de réponse aux incidents pouvant être mobilisés rapidement si nécessaire 

De tels plans ne sont efficaces que s’ils impliquent les efforts de toute l’organisation.

• Atteinte à la réputation

Après une cyberattaque, la perception publique de l’entreprise ciblée peut être affectée — surtout lorsque des données sensibles des clients sont compromises. Les clients peuvent remettre en question la capacité de l’entreprise à protéger leurs renseignements personnels, ce qui entraîne une perte de confiance et de loyauté. Les pannes de service peuvent aussi pousser les utilisateurs à passer à un concurrent qui favorise sa fiabilité.

De nombreuses polices de cyber-biographie offrent une couverture pour les dommages à la réputation, en remboursant les assurés pour les pertes financières directement découlant de l’incident. Une couverture pour les coûts de réparation de la réputation peut aussi être disponible pour engager des consultants en relations publiques afin d’atténuer les effets d’une mauvaise publicité. La difficulté réside dans la mesure et l’attribution de la perte des clients actuels et potentiels à l’incident. De plus, puisque plusieurs polices cyber ont des périodes d’indemnisation maximale courtes, les dommages à la réputation continus au-delà de cette période ne seraient pas couverts par la police. 

Le verdict n’est pas encore tombé sur la question de savoir si les nouvelles d’incidents cybernétiques sont devenues si courantes que la réputation d’une entreprise est effectivement entachée. Les gens ont tendance à considérer les entreprises qui détiennent un haut degré de confiance comme plus susceptibles de perdre leur réputation. Une banque en ligne, par exemple, serait plus sujette à la perte de réputation qu’un détaillant en ligne. 

Comme pour les rançongiciels, une approche proactive pour gérer les dommages à la réputation peut être plus efficace et efficiente qu’une posture réactive. En plus des mesures énumérées ci-dessus, la pierre angulaire devrait être une communication claire et efficace avec les parties prenantes — essentielle pour reconstruire la confiance et défendre la réputation. 

Conclusion

Les revendications de cyber-BI partagent certaines caractéristiques avec leurs homologues BI traditionnels, mais le domaine numérique soulève des questions uniques. Lorsqu’une entreprise fait face à une perte liée à la cyberintelligence biologique, il est crucial de faire appel à un partenaire de confiance expert dans les subtilités des réclamations liées à la cyberintelligence afin de l’aider à atténuer son impact étendu.

> En savoir plus — lisez sur les services de comptabilité judiciaire de Sedgwick et ses capacités d’interruption d’activité en Asie ou envoyez un courriel à [email protected] pour plus d’informations