Assurance et indemnisation : ce que les assurés doivent savoir sur les cyber-sinistres

6 décembre 2023

Partager sur LinkedIn Partager sur Facebook Partager sur X

Dans le domaine de l'assurance, le concept de période d'indemnisation précise le délai pendant lequel le titulaire de la police (assuré) peut demander une compensation pour les pertes financières résultant d'un événement assuré. Elle sert à délimiter la couverture fournie par l'assurance, en la limitant pour les pertes d'exploitation à la période la plus courte entre la cessation de l'impact sur l'entreprise et la période maximale stipulée par la police.

Pourtant, il est surprenant de constater que cet aspect important d'une police d'assurance est souvent négligé au moment du renouvellement. Voyons pourquoi et ce que les assurés peuvent faire pour prendre de l'avance. 

Comment la période d'indemnisation est-elle fixée ?

Tout d'abord, examinons comment les périodes d'indemnisation sont fixées dans un programme standard de risques industriels spéciaux (RIS). S'agissant d'une police d'assurance des biens, la remise en état physique est souvent au premier plan lorsqu'il s'agit d'examiner les conditions de la police et la manière dont un sinistre peut se dérouler dans la pratique. Cela peut parfois être contre-intuitif, car la période d'indemnisation devrait être fixée de manière à ce que la plupart des impacts financiers concevables pour l'entreprise causés par les dommages assurés se produisent dans la période d'indemnisation maximale (PIM) prévue dans la police.

Une déclaration de sinistre type fixe une période d'indemnisation maximale d'au moins 12 mois. Cette période est généralement fixée en fonction du temps nécessaire à la remise en état d'une perte totale hypothétique, compte tenu de la durée probable des réparations du bien assuré. Toutefois, on oublie souvent que les demandes d'indemnisation pour interruption d'activité ne cessent pas nécessairement dès la remise en état des dommages. 

Il y a plusieurs raisons pour lesquelles une demande d'indemnisation pour perte d'exploitation peut se prolonger au-delà de la date à laquelle les dommages assurés ont été réparés. La perte de parts de marché, les problèmes de délais liés à la reconnaissance des revenus et à l'utilisation des stocks existants, et la prolongation du retour à des niveaux opérationnels normaux en sont quelques-unes. En l'absence de perte totale, dans la plupart des cas, la période d'indemnisation maximale devrait suffire à couvrir les pertes qui se prolongent au-delà de l'achèvement des réparations matérielles. Toutefois, pour les réparations plus longues et plus complexes, les pertes dépassant la fin de la période d'indemnisation peuvent devenir un problème dans le cadre d'un sinistre. 

La cyberpolitique et ses différences par rapport à l'ISR

Le tableau devient plus complexe et la période d'indemnisation exponentiellement plus importante si nous appliquons les concepts ci-dessus à une cyberpolice. L'impact d'une cyber-attaque sur l'interruption des activités peut être beaucoup plus difficile à anticiper avant qu'elle ne se produise. Il n'existe pas de délais de remise en état physique des bâtiments ou d'autres biens pouvant servir de base à la fixation d'une période d'indemnisation. Les dommages qu'une violation peut causer peuvent également avoir une grande portée et être difficiles à prévoir dans un contexte de pré-sinistre, compte tenu de la gamme et de la portée potentielles des impacts sur l'entreprise, en particulier compte tenu de l'historique plus limité des violations cybernétiques par rapport aux dommages et aux réparations des biens traditionnels. En outre, une cyber-intrusion typique est courte, brutale et se termine généralement en quelques jours, voire quelques semaines. Cependant, les effets de la violation peuvent souvent durer beaucoup plus longtemps. 

Si l'on transpose l'école de pensée susmentionnée à la définition des polices ISR, on peut raisonnablement supposer que la période d'indemnisation d'une police cybernétique sera généralement fixée en fonction de la violation cybernétique elle-même, plutôt que de l'impact continu sur l'entreprise. Un site web ou un serveur ayant subi un impact majeur peut souvent être remis en ligne grâce à des sauvegardes ou à une recréation en l'espace de quelques heures, de quelques jours ou, tout au plus, de quelques semaines. La période d'indemnisation prévue dans une police d'assurance cybernétique reflète souvent cette situation et est généralement fixée à environ 90 jours. Compte tenu des complexités qui peuvent survenir dans le cadre d'une demande d'indemnisation pour perte d'exploitation, cette période est-elle suffisante pour tenir compte de l'exposition de l'assuré et des assureurs ?

Impact sur une demande d'indemnisation

Prenons maintenant le cas d'une entreprise victime d'une cyber-fraude qui entraîne une perturbation importante de ses activités.

Si l'entreprise se rétablit et reprend ses activités normales pendant la période d'indemnisation, toutes les pertes indemnisées subies pendant cette période (qu'il s'agisse d'un manque à gagner ou de frais supplémentaires) sont généralement couvertes par la police.

Toutefois, si le processus de recouvrement prend plus de temps que prévu ou, plus couramment, si l'impact financier réel sur l'entreprise ne se manifeste qu'après l'expiration de la période d'indemnisation, la couverture fournie par la police d'assurance ne s'applique plus. Cette situation peut se traduire par une demande d'indemnisation de différentes manières. Par exemple, un assuré peut perdre des contrats à long terme parce qu'il n'est pas en mesure d'exercer son activité normale, ou il peut facturer trimestriellement/à l'achèvement du projet et, bien que le travail soit perdu, il n'y a pas d'impact financier pour l'entreprise au cours de la période d'indemnisation. Les pertes cybernétiques sont également très médiatisées et la possibilité d'une atteinte permanente à la réputation est une préoccupation importante.

Limitations de la couverture

Lorsqu'une période d'indemnisation prend fin, la police d'assurance ne couvre généralement pas les pertes supplémentaires subies au-delà de cette période. Cela signifie que les pertes subies après l'expiration de la période d'indemnisation ne seront pas indemnisées par l'assureur, même si elles résultent directement de l'événement initial.

Il est important de noter que l'inverse est également vrai, ce qui expose les assureurs à des risques. Si un assuré subit une perte pendant la période d'indemnisation, mais qu'il la récupère entièrement après la fin de cette période, les assureurs sont tenus de rembourser l'assuré pour les pertes subies, même si un recouvrement partiel ou total qui aurait normalement compensé les pertes réclamées a été effectué.

Ceci est particulièrement pertinent lorsqu'il s'agit de pertes cybernétiques, et ce pour deux raisons principales. Premièrement, comme nous l'avons vu plus haut, les polices d'assurance cybernétique prévoient généralement des périodes d'indemnisation plus courtes. Deuxièmement, il est parfois difficile de comprendre l'impact total d'une violation jusqu'à ce que le rétablissement soit bien avancé. Par conséquent, même si l'infrastructure du réseau de l'assuré est entièrement rétablie, les conséquences opérationnelles peuvent ne pas être encore visibles.

Résumé

En résumé, si la période d'indemnisation est trop courte et que l'impact de l'assuré se prolonge au-delà de cette période, l'entreprise pourrait être confrontée à des pertes financières non indemnisées pour la période qui suit la fin de la couverture. Inversement, les assureurs doivent être conscients du fait que si une période d'indemnisation courte peut sembler avantageuse pour indemniser une perte, elle peut jouer en faveur de l'assuré si un recouvrement est effectué après la fin de la période d'indemnisation.

La fixation correcte d'une période d'indemnisation à l'entrée en vigueur ou au renouvellement d'une police d'assurance peut avoir une incidence importante sur les conséquences pratiques d'un sinistre. Il est important de consulter des experts connaissant bien les pertes d'exploitation propres à la police en question afin de s'assurer que les considérations appropriées sont prises en compte. Il faut espérer que cela se traduise par une expérience de sinistre harmonieuse et appropriée pour toutes les parties.

En savoir plus > Contact [email protected].