Assurance et indemnisation : ce que les assurés doivent savoir sur les cyber-sinistres

Dans le domaine de l'assurance, le concept de période d'indemnisation spécifie la période pendant laquelle l'assuré peut demander une indemnisation pour les pertes financières résultant d'un événement assuré. Il sert de limite à la couverture fournie par l'assurance, la restreignant pour les pertes d'exploitation (BI) à la période la plus courte entre la fin de l'impact sur l'entreprise et la période maximale stipulée dans la police.

Pourtant, étonnamment, cet aspect important d'une police est souvent négligé au moment du renouvellement. Explorons les raisons de cette situation et ce que les assurés peuvent faire pour prendre les devants. 

Comment la période d'indemnisation est-elle fixée ?

Tout d'abord, examinons comment les périodes d'indemnisation sont fixées dans un programme standard de risques industriels spéciaux (ISR). S'agissant d'une police d'assurance de biens, la remise en état physique est souvent au premier plan lorsqu'on examine les conditions de la police et la manière dont une demande d'indemnisation peut être traitée dans la pratique. Cela peut parfois sembler contre-intuitif, car la période d'indemnisation doit être fixée de manière à garantir que la plupart des répercussions financières envisageables pour l'entreprise causées par les dommages assurés se produisent pendant la période d'indemnisation maximale (MIP) prévue dans la police.

Un ISR type fixerait une période d'indemnisation maximale d'au moins 12 mois. Cette période est généralement fixée en fonction du temps nécessaire pour rétablir une perte totale hypothétique, en tenant compte de la durée probable des réparations du bien assuré. Cependant, on oublie souvent que les demandes d'indemnisation pour perte d'exploitation ne cessent pas nécessairement dès que les dommages ont été réparés. 

Il existe plusieurs raisons pour lesquelles une demande d'indemnisation pour interruption d'activité pourrait s'étendre au-delà de la date à laquelle les dommages assurés ont été réparés. La perte de parts de marché, les problèmes de timing liés à la comptabilisation des revenus et à l'utilisation des stocks existants, et le retour prolongé à des niveaux opérationnels normaux, pour n'en citer que quelques-unes. À moins d'une perte totale, dans la plupart des cas, la période d'indemnisation maximale devrait être suffisante pour couvrir les pertes s'étendant au-delà de l'achèvement des réparations physiques. Cependant, pour les réparations plus longues et plus complexes, les pertes au-delà de la fin de la période d'indemnisation peuvent devenir un problème dans le cadre d'une demande d'indemnisation. 

La cyberpolitique et ses différences par rapport à une ISR

La situation devient plus complexe, et la période d'indemnisation exponentiellement plus importante, si nous appliquons les concepts ci-dessus à une policecyber. L'impact d'une cyberattaque sur l'interruption des activités peut être beaucoup plus difficile à anticiper avant qu'elle ne se produise. Il n'existe pas de délais de remise en état physiques pour les bâtiments ou autres biens pouvant servir de base à la fixation d'une période d'indemnisation. Les dommages qu'une violation peut causer peuvent également être considérables et difficiles à prévoir dans un environnement pré-sinistre, compte tenu de l'ampleur et de la portée potentielles des répercussions sur l'entreprise, en particulier étant donné l'historique plus limité des cyberattaques par rapport aux dommages matériels et aux réparations traditionnels. Il faut également tenir compte du fait qu'une cyberattaque typique est brève, intense et dure généralement quelques jours ou quelques semaines. Cependant, ses effets peuvent souvent durer beaucoup plus longtemps. 

Si nous transposons cette école de pensée à l'élaboration des politiques ISR, il est raisonnable de supposer que la période d'indemnisation d'une police cyber sera généralement fixée en fonction de la cyberattaque elle-même, plutôt que de son impact continu sur l'entreprise. Un site web ou un serveur ayant subi un impact majeur peut souvent être remis en ligne grâce à des sauvegardes ou à une recréation en quelques heures, quelques jours ou, au maximum, quelques semaines. La période d'indemnisation d'une police cyber reflète souvent cette réalité et est généralement fixée à environ 90 jours. Compte tenu de la complexité des sinistres liés à l'interruption d'activité, cette période est-elle suffisante pour couvrir de manière adéquate l'exposition tant pour l'assuré que pour l'assureur ?

Impact sur une réclamation

Considérons maintenant un scénario dans lequel une entreprise subit une cyberattaque qui entraîne une perturbation importante de ses activités.

Si l'entreprise parvient à se redresser et à reprendre ses activités normales pendant la période d'indemnisation, les pertes indemnisées subies pendant cette période (qu'il s'agisse d'un manque à gagner ou de coûts supplémentaires) sont généralement couvertes par la police.

Cependant, si le processus de reprise prend plus de temps que prévu, ou plus couramment, si l'impact financier réel sur l'entreprise ne se concrétise qu'après l'expiration de la période d'indemnisation, la couverture fournie par la police d'assurance ne s'applique plus. Cela peut se traduire de plusieurs façons dans le cadre d'une demande d'indemnisation. Par exemple, un assuré peut perdre des contrats à long terme parce qu'il n'est pas en mesure d'exercer ses activités normales, ou il peut facturer trimestriellement/à la fin du projet et, bien que le travail soit perdu, il n'y a pas d'impact financier sur l'entreprise pendant la période d'indemnisation. Les pertes liées à la cybercriminalité sont également largement médiatisées et le risque d'atteinte continue à la réputation est une préoccupation importante.

Limites de la couverture

Une fois la période d'indemnisation terminée, la police d'assurance ne couvre généralement plus les pertes supplémentaires subies au-delà de cette période. Cela signifie que les pertes subies après l'expiration de la période d'indemnisation ne seront pas indemnisées par l'assureur, même si elles résultent directement de l'événement initial.

Il est important de noter, et cela est parfois moins pris en considération, que l'inverse est également vrai, ce qui expose les assureurs à des risques. Si un assuré subit une perte pendant la période d'indemnisation, mais qu'il récupère ensuite intégralement cette perte après la fin de la période d'indemnisation, les assureurs sont tenus de rembourser à l'assuré les pertes subies, même si une récupération partielle ou totale qui compenserait normalement les pertes déclarées a pu être effectuée.

Cela est particulièrement pertinent en matière de cyberpertes, et ce pour deux raisons principales. Premièrement, comme indiqué précédemment, les polices cyberprévoient généralement des périodes d'indemnisation plus courtes. Deuxièmement, il peut parfois être difficile de comprendre l'impact total d'une violation avant longtemps après la reprise. Par conséquent, même si l'infrastructure réseau de l'assuré est entièrement rétablie, les répercussions opérationnelles peuvent ne pas être encore apparentes.

Résumé

En résumé, si la période d'indemnisation est trop courte et que l'impact sur l'assuré s'étend au-delà de cette période, l'entreprise pourrait subir des pertes financières non indemnisées pour la période suivant la fin de la couverture. À l'inverse, les assureurs doivent être conscients que si une période d'indemnisation courte peut sembler avantageuse pour indemniser une perte, elle peut jouer en faveur de l'assuré si une reprise intervient après la fin de la période d'indemnisation.

Le choix du bon délai de carence lors de la souscription ou du renouvellement d'une police peut avoir une incidence considérable sur les conséquences pratiques d'un sinistre. Il est important de consulter des experts familiarisés avec les pertes d'exploitation propres à la police en question afin de s'assurer que toutes les considérations pertinentes sont prises en compte. Cela devrait permettre à toutes les parties de bénéficier d'un traitement des sinistres fluide et approprié.

En savoir plus > Contactez [email protected].