Assurance et indemnité : ce que les assurés doivent savoir à propos des pertes cybernétiques

Dans le domaine de l’assurance, le concept de période d’indemnisation précise la période pendant laquelle le titulaire de la police (assuré) peut réclamer une indemnisation pour les pertes financières résultant d’un événement assuré. Elle sert de limite à la couverture offerte par l’assurance, la limitant pour les pertes d’interruption d’activité (BI) à la moindre période de la fin de l’impact sur l’entreprise, ou la durée maximale prévue par la police.

Pourtant, de manière surprenante, cet aspect important d’une politique est souvent négligé lorsqu’il s’agit du temps de renouvellement. Explorons la raison de cela, et ce que les assurés peuvent faire pour progresser. 

Comment est fixée une période d’indemnité?

Tout d’abord, considérons comment les périodes d’indemnisation sont fixées dans un programme standard de risques industriels spéciaux (ISR). En tant que police d’assurance immobilière, la réintégration physique est souvent au premier plan lors de l’examen des termes de la police et de la manière dont une réclamation peut fonctionner en pratique. Cela peut parfois être contre-intuitif, car la période d’indemnisation devrait être fixée pour s’assurer que la plupart des impacts financiers possibles sur l’entreprise causés par les dommages assurés se produiraient dans la période maximale d’indemnisation (MIP) prévue dans la police.

Un ISR typique fixerait une période maximale d’indemnisation d’au moins 12 mois. Cette période est habituellement fixée en fonction du temps requis nécessaire pour rétablir une perte totale hypothétique, en tenant compte de la période probable de réparation pour la propriété assurée. Cependant, on oublie souvent que les réclamations pour interruption d’activité ne cessent pas nécessairement à la réintégration des dommages. 

Il existe plusieurs raisons pour lesquelles une réclamation pour interruption d’activité pourrait s’étendre au-delà de la date à laquelle les dommages assurés ont été réparés. Perte de part de marché, problèmes de calendrier liés à la reconnaissance des revenus et à l’utilisation des stocks existants, ainsi qu’une remise en marche prolongée vers des niveaux opérationnels normaux, pour n’en nommer que quelques-uns. À moins d’une perte totale, dans la plupart des cas, la période maximale d’indemnisation devrait être suffisante pour couvrir les pertes dépassant la fin des réparations physiques. Cependant, pour des réparations plus longues et complexes, des pertes au-delà de la fin de la période d’indemnisation peuvent devenir un problème dans une réclamation. 

Politique cybernétique et en quoi elle diffère d’un ISR

Le tableau devient plus complexe, et la période d’indemnisation exponentiellement plus importante, si l’on applique les concepts ci-dessus à une politique cybernétique. L’impact de l’interruption d’activité d’une cyber-violation peut être beaucoup plus difficile à anticiper avant qu’elle ne se produise. Il n’existe pas de calendrier de réintégration physique pour les bâtiments ou autres biens à utiliser comme base pour fixer une période d’indemnisation. Les dommages qu’une brèche peut causer peuvent aussi être considérables et difficiles à prévoir dans un environnement pré-perte, compte tenu de la portée et de la portée potentielles des impacts sur l’entreprise, surtout compte tenu de l’historique plus limité de cyberbrèches comparativement aux dommages matériels traditionnels et aux réparations. De plus, considérez qu’une cyber-violation typique est courte, brutale, et se termine généralement en quelques jours ou semaines. Les effets de la brèche, cependant, peuvent souvent durer beaucoup plus longtemps. 

Si l’on retire cette école de pensée de la définition des politiques ISR, il est raisonnable de supposer que la période d’indemnisation pour une police cybernétique sera généralement fixée en fonction de la violation cybernétique elle-même, plutôt que de l’impact continu sur l’entreprise. Un site web ou un serveur ayant un impact majeur peut souvent être de nouveau en ligne grâce à des sauvegardes ou des recréations en quelques heures, jours, voire au maximum des semaines. Une période d’indemnisation dans une police cybernétique reflète souvent cela et est généralement fixée à environ 90 jours. Compte tenu des complexités qui peuvent découler d’une réclamation pour interruption d’activité, est-ce suffisant pour couvrir adéquatement l’exposition tant pour l’assuré que pour les assureurs?

Impact sur une réclamation

Considérons maintenant un scénario où une entreprise subit une cyberfaille qui entraîne une perturbation importante de ses opérations.

Si l’entreprise se rétablit avec succès et reprend ses activités normales pendant la période d’indemnisation, toute perte indemnisée subie durant cette période (qu’il s’agisse d’une perte de profit ou des coûts additionnels) est généralement couverte par la police.

Cependant, si le processus de recouvrement prend plus de temps que prévu, ou plus souvent, si l’impact financier réel sur l’entreprise ne se cristallise qu’après l’expiration de la période d’indemnisation, la couverture offerte par la police d’assurance ne s’applique plus. Il existe plusieurs façons dont cela pourrait se concrétiser dans une réclamation. Par exemple, un assuré pourrait perdre des contrats à long terme en raison de l’incapacité d’exercer ses activités normales, ou il peut facturer trimestriellement ou à la fin du projet et, même si du travail est perdu, il n’y a pas d’impact financier sur l’entreprise pendant la période d’indemnisation. Les pertes en cybersécurité sont également très médiatisées et la possibilité de dommages continus à la réputation est une préoccupation importante.

Limitations de la couverture

Une fois la période d’indemnisation terminée, la police d’assurance ne couvre généralement pas les pertes supplémentaires encourues au-delà de cette période. Cela signifie que toute perte subie après l’expiration de la période d’indemnisation ne serait pas indemnisée par l’assureur, même si elle résultait directement de l’événement initial.

Il est important, et ce qui est parfois moins pris en compte, c’est que l’inverse est aussi vrai, et cela expose les assureurs. Si un assuré subit une perte pendant toute la période d’indemnisation, mais la récupère entièrement après la fin de cette période, les assureurs sont tenus de rembourser l’assuré pour les pertes subies, même si une indemnisation partielle ou totale qui normalement compenserait les pertes réclamées a pu être effectuée.

C’est particulièrement pertinent en ce qui concerne les pertes cybernétiques pour deux raisons principales. Premièrement, comme mentionné plus tôt, les polices cyber prévoient généralement des périodes d’indemnisation plus courtes. Deuxièmement, il peut parfois être difficile de comprendre l’impact complet d’une brèche avant bien après la récupération. Ainsi, bien que l’infrastructure réseau de l’assuré puisse être entièrement récupérée, les impacts opérationnels peuvent toujours ne pas être apparents.

Résumé

En résumé, si la période d’indemnisation est trop courte et que l’impact de l’assuré s’étend au-delà de cette période, l’entreprise pourrait subir des pertes financières non indemnisées pour la période suivant la fin de la couverture. À l’inverse, les assureurs doivent savoir que, bien qu’une courte période d’indemnisation puisse sembler bénéfique pour l’indemnisation d’une perte, elle peut jouer en faveur de l’assuré si une récupération est effectuée après la fin de la période d’indemnisation.

La bonne fixation d’une période d’indemnisation lors de l’établissement ou du renouvellement de la police peut avoir un impact important sur l’implication pratique d’une réclamation. Il est important que des experts familiers avec les pertes d’interruption d’activité propres à la police en question soient consultés afin de s’assurer que les considérations appropriées sont prises en compte. Espérons que cela se traduira par une expérience de réclamation fluide et appropriée pour toutes les parties.

Pour en savoir plus > Contactez [email protected].