Assurance et indemnisation : ce que les titulaires de police doivent savoir sur les cyber-pertes

Le 6 décembre 2023

Partager sur LinkedIn Partager sur Facebook Partager sur X

Dans le domaine de l’assurance, le concept de période d’indemnisation précise le délai pour lequel le preneur d’assurance (assuré) peut réclamer une indemnisation pour les pertes financières résultant d’un événement assuré. Il sert de limite pour la couverture fournie par l’assurance, la limitant pour les pertes d’interruption d’exploitation (BI) au moindre du moment où l’impact sur l’entreprise cesse, ou de la période maximale stipulée par la police.

Pourtant, étonnamment, cet aspect important d’une politique est souvent négligé lorsqu’il s’agit de temps de renouvellement. Explorons la raison de cela et ce que les titulaires de police peuvent faire pour aller de l’avant. 

Comment une période d’indemnisation est-elle fixée ?

Tout d’abord, examinons comment les périodes d’indemnisation sont définies dans un programme standard de risques spéciaux industriels (ISR). En tant que politique de propriété, le rétablissement physique est souvent au premier plan lorsque l’on considère les conditions de la politique et la façon dont une réclamation peut fonctionner dans la pratique. Cela peut parfois être contre-intuitif, car la période d’indemnisation devrait être fixée de manière à garantir que la plupart des répercussions financières concevables sur l’entreprise causées par des dommages assurés se produiraient dans la période d’indemnisation maximale (MIP) inscrite dans la police.

Un EIS typique fixerait une période d’indemnisation maximale d’au moins 12 mois. Cette période est habituellement fixée en fonction du temps requis pour rétablir une perte totale hypothétique, compte tenu de la période de réparation probable pour le bien assuré. Toutefois, on oublie souvent que les demandes d’indemnisation pour interruption d’exploitation ne cessent pas nécessairement au moment du rétablissement des dommages. 

Il y a plusieurs raisons pour lesquelles une réclamation pour interruption d’exploitation pourrait s’étendre au-delà de la date à laquelle les dommages assurés ont été rectifiés. Perte de part de marché, problèmes de calendrier liés à la comptabilisation des revenus et à l’utilisation des stocks existants, et augmentation prolongée jusqu’aux niveaux opérationnels normaux pour n’en nommer que quelques-uns. À moins d’une perte totale, dans la plupart des cas, la période d’indemnisation maximale devrait être suffisante pour couvrir les pertes qui s’étendent au-delà de l’achèvement des réparations physiques. Cependant, pour des réparations plus longues et plus complexes, les pertes au-delà de la fin de la période d’indemnisation peuvent devenir un problème dans une réclamation. 

La cyber-politique et en quoi elle diffère d’une EIS

Le tableau devient plus complexe, et la période d’indemnisation exponentiellement plus importante, si nous appliquons les concepts ci-dessus à une cyber-politique. L’impact de l’interruption des activités d’une cyberattaque peut être beaucoup plus difficile à prévoir avant qu’elle ne se produise. Il n’y a pas d’échéancier de rétablissement physique pour les bâtiments ou autres biens à utiliser comme base pour l’établissement d’une période d’indemnisation. Les dommages qu’une atteinte peut causer peuvent également être d’une grande portée et difficiles à prévoir dans un environnement antérieur à la perte, compte tenu de la portée potentielle et de la portée des impacts sur l’entreprise, en particulier compte tenu de l’historique plus limité des cyber-violations par rapport aux dommages matériels et aux réparations traditionnels. Considérez également qu’une cyberattaque typique est courte, nette et généralement terminée en quelques jours ou quelques semaines. Cependant, les effets de la violation peuvent souvent durer beaucoup plus longtemps. 

Si nous transplantons l’école de pensée ci-dessus à partir de l’établissement de politiques ISR, il est raisonnable de supposer que la période d’indemnisation pour une cyber-politique sera généralement fixée en fonction de la cyber-violation elle-même, plutôt que de l’impact continu sur l’entreprise. Un site Web ou un serveur ayant un impact majeur peut souvent être de retour en ligne via des sauvegardes ou des loisirs en quelques heures, jours ou tout au plus des semaines. Une période d’indemnisation dans une cyber-police reflétera souvent cela et est généralement fixée à environ 90 jours. Compte tenu de la complexité qui peut survenir dans le cadre d’une demande d’indemnisation pour perte d’exploitation, est-ce suffisant pour saisir adéquatement l’exposition de l’assuré et des assureurs ?

Incidence sur une réclamation

Considérons maintenant un scénario où une entreprise subit une cyberattaque qui entraîne une perturbation importante de ses opérations.

Si l’entreprise réussit à recouvrer et à reprendre ses activités normales au cours de la période d’indemnisation, toute perte indemnisée subie au cours de cette période (qu’il s’agisse d’un manque à gagner ou de frais supplémentaires engagés) est généralement couverte par la police.

Cependant, si le processus de recouvrement prend plus de temps que prévu, ou plus communément, l’impact financier réel sur l’entreprise ne se cristallise qu’après l’expiration de la période d’indemnisation, la couverture fournie par la police d’assurance ne s’applique plus. Il y a un certain nombre de façons dont cela pourrait se matérialiser dans une réclamation. Par exemple, un assuré pourrait perdre des contrats à long terme parce qu’il n’est pas en mesure d’entreprendre ses activités normales, ou il peut facturer trimestriellement ou à la fin du projet et bien que les travaux soient perdus, il n’y a aucune incidence financière sur l’entreprise pendant la période d’indemnisation. Les cyber-pertes sont également fortement médiatisées et la possibilité de dommages continus à la réputation est une préoccupation importante.

Limites de la couverture

Une fois la période d’indemnisation terminée, la police d’assurance ne couvre généralement pas les pertes supplémentaires subies au-delà de cette période. Cela signifie que les pertes subies après l’expiration de la période d’indemnisation ne seraient pas compensées par l’assureur, même si elles résultaient directement de l’événement initial.

Il est important de noter, et ce qui est parfois moins considéré, c’est que l’inverse est également vrai, et il laisse les assureurs exposés. Si un assuré subit une perte tout au long de la période d’indemnisation, mais qu’il recouvre ensuite entièrement cette perte après la fin de la période d’indemnisation, les assureurs sont tenus de rembourser l’assuré pour les pertes subies, même si un recouvrement partiel ou complet qui compenserait normalement les pertes réclamées peut avoir été effectué.

Ceci est particulièrement pertinent lorsqu’il s’agit de cyber-pertes pour deux raisons principales. Premièrement, comme nous l’avons vu précédemment, les cyberassurances énumèrent généralement des périodes d’indemnisation plus courtes. Deuxièmement, il peut parfois être difficile de comprendre pleinement l’impact d’une violation jusqu’à ce que bien après le rétablissement. Par conséquent, bien que l’infrastructure réseau de l’assuré puisse être entièrement récupérée, les impacts opérationnels peuvent encore ne pas être apparents.

Résumé

En résumé, si la période d’indemnisation est trop courte et que l’impact de l’assuré s’étend au-delà de cette période, l’entreprise pourrait faire face à des pertes financières non indemnisée pour la période suivant la fin de la couverture. À l’inverse, les assureurs doivent être conscients que, bien qu’une courte période d’indemnisation puisse sembler bénéfique aux fins de l’indemnisation d’une perte, elle peut travailler en faveur de l’assuré si un recouvrement est effectué après la fin de la période d’indemnisation.

L’établissement correct d’une période d’indemnisation lors de l’entrée en vigueur ou du renouvellement de la police peut faire une différence importante par rapport à l’implication pratique d’une réclamation. Il est important que des experts qui connaissent bien les pertes liées à l’interruption des activités propres à la politique en question soient consultés afin de s’assurer que les considérations appropriées sont prises en considération. Espérons que cela se traduit par une expérience de réclamation lisse et appropriée pour toutes les parties.

Pour en savoir plus > Contactez [email protected].