Aperçu
Même si le numérique a fait son entrée dans certaines politiques générales de responsabilité au cours des années 1980, la première politique numérique à proprement parler a été éditée par AIG en 1997. Bien que révolutionnaire, cette action étant la première en prendre en compte la cybersécurité, il ne s'agissait qu'une police de responsabilité tierce.¹ Selon Staista, les primes des cyberpolices internationales autonomes sont passées de 2,5 milliards en 2014 à plus de 7,5 en 2020.²
La couverture d'une interruption d'activité est désormais offerte pour une large proportion de polices d'assurance dans la cybersécurité (cyber-polices). L'un des événements significatifs dans les cyber-assurances au cours des dernières années a été l'intégration d'une assurance viable pour interruption d'activité dans le cas d'événements liés à la cybersécurité. Il est fréquent de voir une couverture autonome en cybersécurité qui associe une couverture d'interruption d'activité du premier tiers avec violation de données ou une simple couverture en cas d'interruption d'activité du premier tiers. Elle couvre une interruption commerciale partielle ou totale à la suite d'une cyberattaque ou d'un problème technique.
Ce document recense les questions de mesure de l'interruption d'activité matérielle et les plus courants et l'importance d'une évaluation technique de l'incident.
Comme pour les incendies, dégâts des eaux et autres dossiers de dommages physiques, il est nécessaire de réaliser une évaluation technique de l'incident et des éventuels équipements compromis, afin de comprendre l'ampleur des dommages, l'impact, la période de restauration et identifier toute mise à jour ou amélioration incluse dans les dossiers de réclamation.
Pourquoi l'évaluation technique est-elle importante dans le cadre d'un dossier de cybersécurité lors d'une interruption d'activité ?
Il est impératif de réunir ces informations lors du déclenchement de l'évaluation des pertes afin que les cabinets d'assurance puissent comprendre comment la perte s'applique dans le cadre de leurs polices et également pour comprendre l'exposition globale. L'évaluation technique et l'interruption d'activité peuvent être analysées au même moment en s'appuyant sur les différents experts.
Dans ce document, l'interruption d'activité est égale à la perte de revenu net plus les coûts non accumulés. La cyber-couverture, associée aux cyber-risques et disponible sur le marché, est loin d'être répandue. Il existe une vaste gamme de cyberproduits, chacun ayant ses propres conditions d'application, qui peuvent grandement varier d'un assureur à l'autre ou d'une police à l'autre, même pour un même cabinet d'assurance.
Il existe de nombreux types d'incidents et de scénarios classés comme des dossiers de cybersécurité. Cela peut concerner :
Dans le cas d'un dossier de cybersécurité, il est impératif de comprendre l'importance de la mesure de l'interruption d'activité et les problèmes de calcul. À partir de notre étude portant sur un échantillon de plus de 2 500 dossiers de pertes liés à des interruptions d'activité, les trois principaux problèmes de mesure de l'interruption d'activité, répartis entre les réclamations et les calculs, par ordre de fréquence, sont :
La première étape du calcul d'une interruption d'activité pour un comptable judiciaire consiste à déterminer les ventes « hors contexte ». Hors événement, les ventes auraient atteint un montant « X ». La rédaction du contrat est similaire dans de nombreuses cyberpolitiques par rapport à d'autres politiques patrimoniales, mais pas identiques. La rédaction classique des cyberpolitiques contient :
« Il sera dûment tenu compte de l'expérience antérieure de l'entreprise et de l'entreprise assurée avant le début de la faille de sécurité et de l'activité qu'un assuré aurait pu exécuter en l'absence de faille de sécurité ».
La police déclare ensuite que l'assuré ne bénéficiera pas de conditions commerciales favorables causées par l'événement (paraphrase).
Disposant des prévisions commerciales en lien avec la cybersécurité, les comptables judiciaires observeront l'ensemble de l'entreprise, plutôt qu'un site ou une région spécifique, ce qui est habituellement le cas dans une situation d'incendie ou d'ouragan. Un exemple expliquant pourquoi ce point est important peut être cerné en comparant les différentes marges d'une société de e-commerce et d'une boutique physique. Afin de renforcer la précision, les ventes et les marges doivent être analysées individuellement par groupe d'entreprises.
Le point focal lié à la détermination de la période d'indemnisation est représenté généralement par les experts techniques en cybersécurité travaillant avec l'assuré et l'expert en sinistre qui déterminent la période d'indemnisation. Les comptables jouent un rôle annexe, mais n'ont pas la responsabilité du projet.
La période d'indemnisation décrit la période pour laquelle l'indemnité ou la compensation est payable dans le cadre du contrat d'interruption d'activité. La période d'indemnisation est l'un des éléments critiques permettant de quantifier la perte liée à l'interruption d'activité.
Une évaluation technique réalisée par un expert technique en cybersécurité est essentielle pour comprendre comment l'incident aura un impact sur la période d'indemnisation. Toutes les situations sont uniques et requièrent une expertise technique. Certaines des questions exigeant une réponse :
Après un incident lié à la cybersécurité, il est commun de procéder à des mises à jour ou modifications des systèmes et infrastructures afin d'éviter d'autres incidents. L'identification de ces coûts et de l'ampleur sont importants, parce qu'elle peut augmenter la valeur de l'indemnité et la période de remédiation. Ils peuvent donc avoir à être ajustés. Ceci peut concerner :
Dans les pertes liées à l'interruption d'activité de première partie, il est courant de mesurer la période d'indemnisation à partir de la période de restauration théorique. Ceci est nécessaire lorsqu'un assuré décide de procéder à des améliorations ou des aménagements et donc de ne pas reconstruire. Les pertes de cybersécurité suivent le même schéma. Fréquemment, l'assuré choisira de renforcer le réseau de sécurité après une faille. Le renforcement du réseau peut nécessiter un délai supplémentaire, ce qui n'est pas toujours possible pendant la période d'interruption d'activité. Ceci est une ouverture pour de possibles différences d'opinion entre divers experts/professionnels quant au délai qui aurait été nécessaire pour « reconstruire » en l'état.
Les économies de coûts doivent être calculées pour déterminer la perte nette de revenu. Fréquemment, la décision la plus significative prise par un propriétaire d'entreprise revient à savoir s'il faut continuer à payer des employés non productifs pendant la période d'arrêt ou les licencier. La couverture d'interruption d'activité en cybersécurité peut ou peut ne pas prendre en compte le coût représenté par ces employés. Dans un contrat classique, le salaire ordinaire est identifié comme étant non essentiel. Cela a été largement adopté par le marché de l'assurance pour désigner la masse salariale horaire.
Réaliser une analyse technique et de l'interruption d'activité lors d'une perte liée à la cybersécurité requiert de maîtriser l'art et la manière.
Ce processus suppose de :
Aussi simple que cela puisse paraître, chaque dossier de cybersécurité est unique parce qu'il ne peut pas être comparé à des événements précédents. Aussi, il est important de garder trois éléments clés à l'esprit :
Il est essentiel de rechercher l'aide d'experts techniques en cybersécurité et un comptable réputé ayant une connaissance et une expérience des litiges en cybersécurité. Ensemble, ces experts procéderont à une mise en action simplifiée des mécanismes de calcul de l'interruption d'activité pour toutes les parties concernées.
La cybersécurité représente un nouveau marché pour le secteur des assurances. Un peu comme les polices d'assurance couvrant les chaudières et les machines, ainsi que les pratiques des employés, les contrats de cybersécurité sont là pour durer. Mëme si l'interruption d'activité n'est pas un nouveau concept, sa prise en charge dans un contrat autonome est nouvelle.
Nous tenons à remercier Peter Hagen et Troy S. Bates pour leurs idées et leur expertise qui ont grandement aidé cette recherche.
Peter Hagen est vice-président exécutif du département comptabilité judiciaire - services d'assurance de J.S. Held. Il est spécialisé dans la mesure des dommages financiers et sa clientèle principale est constituée de compagnies d'assurance et d'avocats. Les compagnies d'assurance l'engagent le plus souvent pour ses services de conseils et pour évaluer la pertinence de demandes d'indemnisation relatives à des interruptions de travail non négligeables. Les avocats l'engagent en tant qu'expert afin qu'il donne son avis sur des dommages financiers. Peter a témoigné en tant qu'expert pour des entreprises plaignantes et accusées et s'est concentré sur les secteurs de l'énergie, des télécommunications, des soins de santé et des compagnies aériennes commerciales. Avant de rejoindre J.S. Held, Peter était PDG et associé principal du cabinet de comptabilité judiciaire HSNO (Hagen, Streiff, Newton & Oshiro).
Peter peut être contacté à l'adresse [e-mail protégé] ou au +1 972 980 5063.
Troy Bates est vice-président exécutif du service de conseils en équipements de J.S. Held. Avec plus de 31 ans d'expérience dans le conseil en matière de perte d'équipement, Troy se spécialise dans l'évaluation des dommages des équipements, la faisabilité de la réparation par rapport au remplacement, les analyses/estimations d'un remplacement par un produit comparable, les estimations de la valeur réelle, la résolution de l'impact sur la production et l'évaluation des réclamations. Il a évalué une large variété d'équipements et systèmes, notamment dans le domaine de l'informatique, l'électronique, les équipements médicaux, les télécommunications et d'autres équipements spécialisés. Anciennement directeur chez Werlinger & Associates, qui a été racheté par J.S. Held en 2019, Troy a assuré des missions de services de conseil technique dans les dossiers d'indemnisation de structures commerciales auprès de transporteurs en Amérique du Nord, en Europe, en Asie et au Moyen-Orient.
Vous pouvez contacter Troy à l'adresse [e-mail protégé] ou au +1 714 660 9171.
¹ 100 Histoires AIG. Le premier à prendre en compte le risque de cybersécurité. (2019) https://www.100.aig/stories/first-tackle-cyber-risk
² Statisca.com 2020 Estimated Value of Cyber Insurance Premiums Written Worldwide from 2014 to 2020. https://www.statista.com/statistics/533314/estimated-cyber-insurance-premiums/
Qu'il s'agisse d'un toit commercial immense couvrant une superficie de plusieurs acres ou d'une maison individuelle avec deux pentes de toit, la combinaison d'une expertise et d'une technologie de pointe facilite davantage l'analyse scientifique des problèmes de toiture.
La technologie des stations-service évolue rapidement. Les distributeurs de carburant, les systèmes de surveillance des réservoirs de stockage souterrains et les systèmes de point de vente sont étroitement intégrés et interdépendants pour que la station fonctionne. Si un composant d'un système...
La notion d'indemnisation pour perte est au cœur des remboursements de l'assurance de biens. Les contrats d’assurance sont conçus de sorte que le souscripteur se trouve dans la même situation que celle qui aurait été la sienne en l'absence...