Litiges numériques : guide de calcul de l'interruption commerciale

Même si le numérique a fait son entrée dans certaines politiques générales de responsabilité au cours des années 1980, la première politique numérique à proprement parler a été éditée par AIG en 1997. Bien que révolutionnaire, cette action étant la première en prendre en compte la cybersécurité, il ne s'agissait qu'une police de responsabilité tierce.¹ Selon Staista, les primes des cyberpolices internationales autonomes sont passées de 2,5 milliards en 2014 à plus de 7,5 en 2020.²

La couverture d'une interruption d'activité est désormais offerte pour une large proportion de polices d'assurance dans la cybersécurité (cyber-polices). L'un des événements significatifs dans les cyber-assurances au cours des dernières années a été l'intégration d'une assurance viable pour interruption d'activité dans le cas d'événements liés à la cybersécurité. Il est fréquent de voir une couverture autonome en cybersécurité qui associe une couverture d'interruption d'activité du premier tiers avec violation de données ou une simple couverture en cas d'interruption d'activité du premier tiers. Elle couvre une interruption commerciale partielle ou totale à la suite d'une cyberattaque ou d'un problème technique.

Ce document recense les questions de mesure de l'interruption d'activité matérielle et les plus courants et l'importance d'une évaluation technique de l'incident.

Évaluation technique des dossiers de cybersécurité

Comme pour les incendies, dégâts des eaux et autres dossiers de dommages physiques, il est nécessaire de réaliser une évaluation technique de l'incident et des éventuels équipements compromis, afin de comprendre l'ampleur des dommages, l'impact, la période de restauration et identifier toute mise à jour ou amélioration incluse dans les dossiers de réclamation.

Pourquoi l'évaluation technique est-elle importante dans le cadre d'un dossier de cybersécurité lors d'une interruption d'activité ?

• Pour confirmer la cause de l'événement ou les pertes et pour que les assureurs puissent déterminer si un événement pris en charge s'est produit.
• Pour identifier les systèmes affectés et l'impact sur l'entreprise.
• Pour identifier la bonne action corrective et le calendrier de restauration le plus efficace.
• Pour identifier toute mise à jour technique qui pourrait être intervenue au même moment que la restauration et qui aurait pu impacter la période de restauration.
   

Il est impératif de réunir ces informations lors du déclenchement de l'évaluation des pertes afin que les cabinets d'assurance puissent comprendre comment la perte s'applique dans le cadre de leurs polices et également pour comprendre l'exposition globale. L'évaluation technique et l'interruption d'activité peuvent être analysées au même moment en s'appuyant sur les différents experts.

Mesure de l'interruption d'activité et problèmes de calcul

Dans ce document, l'interruption d'activité est égale à la perte de revenu net plus les coûts non accumulés. La cyber-couverture, associée aux cyber-risques et disponible sur le marché, est loin d'être répandue. Il existe une vaste gamme de cyberproduits, chacun ayant ses propres conditions d'application, qui peuvent grandement varier d'un assureur à l'autre ou d'une police à l'autre, même pour un même cabinet d'assurance.

Il existe de nombreux types d'incidents et de scénarios classés comme des dossiers de cybersécurité. Cela peut concerner :

• Demandes de rançongiciel
• Les virus/malwares
• Intrusions au sein du réseau
• Les dénis de service
• Les vols/exfiltrations de données
• Les pertes de données
   

Dans le cas d'un dossier de cybersécurité, il est impératif de comprendre l'importance de la mesure de l'interruption d'activité et les problèmes de calcul. À partir de notre étude portant sur un échantillon de plus de 2 500 dossiers de pertes liés à des interruptions d'activité, les trois principaux problèmes de mesure de l'interruption d'activité, répartis entre les réclamations et les calculs, par ordre de fréquence, sont :

1. Les prévisions de vente
2. La période d'indemnité
3. Les coûts éliminés ou évités

Les prévisions de vente

La première étape du calcul d'une interruption d'activité pour un comptable judiciaire consiste à déterminer les ventes « hors contexte ». Hors événement, les ventes auraient atteint un montant « X ». La rédaction du contrat est similaire dans de nombreuses cyberpolitiques par rapport à d'autres politiques patrimoniales, mais pas identiques. La rédaction classique des cyberpolitiques contient :

« Il sera dûment tenu compte de l'expérience antérieure de l'entreprise et de l'entreprise assurée avant le début de la faille de sécurité et de l'activité qu'un assuré aurait pu exécuter en l'absence de faille de sécurité ».

La police déclare ensuite que l'assuré ne bénéficiera pas de conditions commerciales favorables causées par l'événement (paraphrase).

Disposant des prévisions commerciales en lien avec la cybersécurité, les comptables judiciaires observeront l'ensemble de l'entreprise, plutôt qu'un site ou une région spécifique, ce qui est habituellement le cas dans une situation d'incendie ou d'ouragan. Un exemple expliquant pourquoi ce point est important peut être cerné en comparant les différentes marges d'une société de e-commerce et d'une boutique physique. Afin de renforcer la précision, les ventes et les marges doivent être analysées individuellement par groupe d'entreprises.

Période d'indemnisation

Le point focal lié à la détermination de la période d'indemnisation est représenté généralement par les experts techniques en cybersécurité travaillant avec l'assuré et l'expert en sinistre qui déterminent la période d'indemnisation. Les comptables jouent un rôle annexe, mais n'ont pas la responsabilité du projet.

La période d'indemnisation décrit la période pour laquelle l'indemnité ou la compensation est payable dans le cadre du contrat d'interruption d'activité. La période d'indemnisation est l'un des éléments critiques permettant de quantifier la perte liée à l'interruption d'activité.

Une évaluation technique réalisée par un expert technique en cybersécurité est essentielle pour comprendre comment l'incident aura un impact sur la période d'indemnisation. Toutes les situations sont uniques et requièrent une expertise technique. Certaines des questions exigeant une réponse :

• Quels sont les systèmes dont l'affectation a été confirmée ?
• Quelles étaient les fonctions spécifiques de ces systèmes ?
• Comment ces fonctions affectent-elles l'entreprise ?
• Quelles mesures ont été prises pour limiter l'arrêt ou l'impact sur l'entreprise pendant la rémédiation ?
• Des alternatives techniques ont-elles été prises pour accélérer la remédiation ?
• Quels problèmes sont apparus pendant la remédiation ?
• À quelle date la remédiation s'est-elle terminée ?

Après un incident lié à la cybersécurité, il est commun de procéder à des mises à jour ou modifications des systèmes et infrastructures afin d'éviter d'autres incidents. L'identification de ces coûts et de l'ampleur sont importants, parce qu'elle peut augmenter la valeur de l'indemnité et la période de remédiation. Ils peuvent donc avoir à être ajustés. Ceci peut concerner :

• L'achat de matériel additionnel
• Le changement de logiciels ou de services de sécurité
• Mise en place de systèmes de redondance et de sauvegarde
• Déplacement des systèmes vers d'autres sites/en externe
• Migration des systèmes vers un nouveau logiciel

Dans les pertes liées à l'interruption d'activité de première partie, il est courant de mesurer la période d'indemnisation à partir de la période de restauration théorique. Ceci est nécessaire lorsqu'un assuré décide de procéder à des améliorations ou des aménagements et donc de ne pas reconstruire. Les pertes de cybersécurité suivent le même schéma. Fréquemment, l'assuré choisira de renforcer le réseau de sécurité après une faille. Le renforcement du réseau peut nécessiter un délai supplémentaire, ce qui n'est pas toujours possible pendant la période d'interruption d'activité. Ceci est une ouverture pour de possibles différences d'opinion entre divers experts/professionnels quant au délai qui aurait été nécessaire pour « reconstruire » en l'état.

Économies de coûts

Les économies de coûts doivent être calculées pour déterminer la perte nette de revenu. Fréquemment, la décision la plus significative prise par un propriétaire d'entreprise revient à savoir s'il faut continuer à payer des employés non productifs pendant la période d'arrêt ou les licencier. La couverture d'interruption d'activité en cybersécurité peut ou peut ne pas prendre en compte le coût représenté par ces employés. Dans un contrat classique, le salaire ordinaire est identifié comme étant non essentiel. Cela a été largement adopté par le marché de l'assurance pour désigner la masse salariale horaire.

Conclusion

Réaliser une analyse technique et de l'interruption d'activité lors d'une perte liée à la cybersécurité requiert de maîtriser l'art et la manière.

Ce processus suppose de :

• Confirmer la cause de l'événement et son ampleur
• Identifier toutes les mises à jour
• Identifier la période d'indemnisation
• Calculer les ventes perdues
• Déduire les économies de coûts

Aussi simple que cela puisse paraître, chaque dossier de cybersécurité est unique parce qu'il ne peut pas être comparé à des événements précédents. Aussi, il est important de garder trois éléments clés à l'esprit :

1. Les experts techniques en cybersécurité, l'assuré et le personnel en charge du sinistre doivent confirmer l'incident tout en identifiant les impacts et expositions spécifiques, les problèmes techniques affectant la restauration, les mises à jour et la période d'indemnisation prise en compte par la police.
2. Les CPA déterminent les pertes commerciales au cours de la période d'indemnisation. Lors de l'évaluation avec un même service (financier), il ne doit pas y avoir de variations entre les prévisions, à l'exception d'une nouvelle entreprise et/ou d'un nouveau produit.
3. Calculer les économies de coûts est un exercice mécanique reposant sur l'expérience.

Il est essentiel de rechercher l'aide d'experts techniques en cybersécurité et un comptable réputé ayant une connaissance et une expérience des litiges en cybersécurité. Ensemble, ces experts procéderont à une mise en action simplifiée des mécanismes de calcul de l'interruption d'activité pour toutes les parties concernées.

• Comprendre l'activité de l'assuré, les problèmes techniques et impacts pour celle-ci, la restauration et la bonne action corrective et les impacts commerciaux et comment ils génèrent de l'argent.
• Ne requérir que la documentation nécessaire au litige sans s'engluer dans un dossier trop lourd.
• Gérer en amont l'exposition potentielle au niveau du processus et gérer les attentes à la fois pour l'assureur (réserves) et de l'assuré (remboursement attendu).

La cybersécurité représente un nouveau marché pour le secteur des assurances. Un peu comme les polices d'assurance couvrant les chaudières et les machines, ainsi que les pratiques des employés, les contrats de cybersécurité sont là pour durer. Mëme si l'interruption d'activité n'est pas un nouveau concept, sa prise en charge dans un contrat autonome est nouvelle.

Remerciements

Nous tenons à remercier Peter Hagen et Troy S. Bates pour leurs idées et leur expertise qui ont grandement aidé cette recherche.

Peter Hagen est vice-président exécutif du département comptabilité judiciaire - services d'assurance de J.S. Held. Il est spécialisé dans la mesure des dommages financiers et sa clientèle principale est constituée de compagnies d'assurance et d'avocats. Les compagnies d'assurance l'engagent le plus souvent pour ses services de conseils et pour évaluer la pertinence de demandes d'indemnisation relatives à des interruptions de travail non négligeables. Les avocats l'engagent en tant qu'expert afin qu'il donne son avis sur des dommages financiers. Peter a témoigné en tant qu'expert pour des entreprises plaignantes et accusées et s'est concentré sur les secteurs de l'énergie, des télécommunications, des soins de santé et des compagnies aériennes commerciales. Avant de rejoindre J.S. Held, Peter était PDG et associé principal du cabinet de comptabilité judiciaire HSNO (Hagen, Streiff, Newton & Oshiro).

Peter peut être contacté à l'adresse [e-mail protégé] ou au +1 972 980 5063.

Troy Bates est vice-président exécutif du service de conseils en équipements de J.S. Held. Avec plus de 31 ans d'expérience dans le conseil en matière de perte d'équipement, Troy se spécialise dans l'évaluation des dommages des équipements, la faisabilité de la réparation par rapport au remplacement, les analyses/estimations d'un remplacement par un produit comparable, les estimations de la valeur réelle, la résolution de l'impact sur la production et l'évaluation des réclamations. Il a évalué une large variété d'équipements et systèmes, notamment dans le domaine de l'informatique, l'électronique, les équipements médicaux, les télécommunications et d'autres équipements spécialisés. Anciennement directeur chez Werlinger & Associates, qui a été racheté par J.S. Held en 2019, Troy a assuré des missions de services de conseil technique dans les dossiers d'indemnisation de structures commerciales auprès de transporteurs en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.

Vous pouvez contacter Troy à l'adresse [e-mail protégé] ou au +1 714 660 9171.

¹ 100 Histoires AIG. Le premier à prendre en compte le risque de cybersécurité. (2019) https://www.100.aig/stories/first-tackle-cyber-risk
² Statisca.com 2020 Estimated Value of Cyber Insurance Premiums Written Worldwide from 2014 to 2020. https://www.statista.com/statistics/533314/estimated-cyber-insurance-premiums/