Aperçu
Étant donné que les entreprises dépendent toujours des ordinateurs et du stockage numérique d'importantes données, les cyberattaques représentent une menace potentielle croissante pour les organisations, en particulier maintenant, suite à l'adoption massive du télétravail. Il existe de multiples types de cybermenaces et la pandémie a entraîné une recrudescence des attaques par logiciels rançonneurs. Un rançongiciel (ou logiciel rançonneur ou ransomware) est un programme malveillant spécialement conçu pour perturber, endommager ou obtenir un accès non autorisé à un système informatique. La personne malveillante crypte les données de la victime et exige le paiement d'une rançon.
Les attaques par rançongiciel ont touché des organisations telles que des systèmes d'enseignement publics, des compagnies d'assurance, des agences gouvernementales, des sociétés informatiques, des établissements de santé, des fabricants de produits alimentaires et des fournisseurs de services publics, pour n'en citer que quelques-unes. Même les entreprises qui aident à se remettre d'une attaque par rançongiciel, comme les compagnies de cyberassurance et les fournisseurs de stockage et de sauvegarde de données ne sont pas à l'abri.
L'interruption d'activité (IA) se produit lorsqu'une entreprise fait face à des pertes de revenus en raison d'une panne des systèmes informatiques. Les réclamations pour interruption d'activité ne sont pas nouvelles, mais la notion d'interruption d'activité sur les polices autonomes de cyber-responsabilité est un concept en évolution. Historiquement, l'interruption d'activité est couverte par des polices d'assurance de biens commerciaux. Un nombre croissant de réclamations pour interruption d'activité résulte des cyberattaques par rançongiciel. Mais l'aspect lié à la cyber-responsabilité dans les polices diffèrent d'une compagnie d'assurance à l'autre, il est donc important de comprendre la police et de poser les questions importantes.
Qu'est-ce qui rend les réclamations pour interruption de cyberactivité uniques ?
La plupart des réclamations pour interruption d'activité ont un délai d'attente. Les cyberpolices autonomes diffèrent des réclamations pour interruption d'activité classiques car les délais d'attente pour une interruption d'activité cybernétique ne dépassent généralement pas une journée, ils sont de 6 à 24 heures contre 24 à 72 heures pour les pertes dues à l'interruption d'activité commerciale typique. Il est important de comprendre les délais d'attente car c'est la période qu'un assuré doit attendre avant que le calcul du revenu de l'entreprise ne commence. Il est également important de savoir si les heures de la période d'attente sont basées sur les heures d'horloge ou les heures ouvrables. Ce point peut en effet avoir un impact significatif sur l'analyse de l'interruption de l'activité.
En plus des délais d'attente, il est important de comprendre les limites de la police, car les paiements de rançon peuvent être inclus dans la limite de la police. Cela pourrait affecter la manière d'analyser la réclamation d'interruption d'activité (c'est-à-dire si vous avez une limite d'interruption d'activité fixée à 1 millions de dollars, une réclamation pour interruption d'activité de 3 millions de dollars et un paiement d'une rançon de 700 000 $ qui a été couvert et payé en vertu de la police, il n'est peut-être pas nécessaire d'analyser tous les aspects de la réclamation pour interruption d'activité car l'assuré ne dispose que de 300 000 $ de couverture restant après le paiement de la rançon).
La période de restauration fait référence à la période durant laquelle la perte de revenu est couverte. Les réclamations cybernétiques ont généralement une période de mesure plus courte. De nombreux assurés présentent une réclamation sans se demander si elle entre dans leur période de couverture. L'une des principales difficultés dans la mesure des pertes dues à l'interruption d'activité cybernétique implique la période d'indemnisation applicable. Pour les réclamations sur le matériel, la période d'indemnisation dépend le plus souvent de la période de réparation. Dans le cadre d'une réclamation cybernétique, l'heure/date de début et de fin est la plus difficile à définir. En tant que comptables analysant une réclamation pour interruption d'activité, nous devons comprendre non seulement l'aspect financier de l'entreprise, mais aussi l'aspect technique. Nous nous en remettons à la compagnie d'assurance pour déterminer la période d'indemnisation appropriée.
Par exemple, un contrat perdu à cause d'un cyberévénement. Il serait moins difficile de quantifier un contrat perdu mesuré selon sa valeur nominale ; cependant, il convient de considérer certains détails, notamment :
La période d'indemnisation peut se compliquer davantage si le réseau informatique de l'entreprise est de nouveau en ligne, mais que l'assuré continue de subir des pertes dues à l'interruption d'activité. Il n'est de plus pas rare que certaines mises à niveau ou modifications du système informatique puissent être effectuées après l'événement. Ces mises à niveau peuvent prolonger le délai avant la reprise d'une activité normale. Cette prolongation ne peut pas être considérée comme incluse dans la période d'indemnisation en vertu des dispositions de la police. Les comptables judiciaires prendront en compte l'évaluation technique de ce qui a été fait après l'événement et les instructions de la compagnie d'assurance quant à la manière dont tout concorde avec les garanties de la police.
Il faut tenir compte des revenus différés ou des revenus qui pourraient encore être obtenus après la finalisation des réparations. Par exemple, si un fabricant n'a pas été en mesure de fabriquer son produit pendant deux jours, qu'il avait des stocks, que la production a été compensée une fois le système remis en ligne et qu'il n'était pas à pleine capacité avant la perte, il se peut qu'il n'y ait pas de perte suite à l'interruption d'activité. Toutefois, si l'assuré a augmenté sa production et a payé des heures supplémentaires à ses employés pour compenser la production pendant les heures creuses, l'assuré a peut-être fait face à des dépenses supplémentaires au lieu de subir une perte de revenu.
Les économies de coûts doivent être calculées pour déterminer la perte nette de revenu. Les coûts économisés dans une réclamation cybernétique peuvent être différents de ceux économisés pour une réclamation matérielle. Il y a des économies telles que le coût des marchandises vendues, les frais de carte de crédit et d'autres frais de vente variables qui devraient être les mêmes dans les deux scénarios de perte. Cependant, les dépenses liées à l'emplacement physique, telles que le loyer et les services publics, peuvent ne pas être économisées, car l'assuré reste normalement dans son espace physique pendant qu'il restaure ses capacités informatiques. En outre, l'assuré fait parfois appel à des informaticiens salariés pour effectuer les réparations/restaurations informatiques nécessaires. Souvent, la décision la plus importante qu'un propriétaire d'entreprise doit prendre est de décider s'il doit continuer à payer les employés non productifs pendant la période de la panne ou licencier temporairement du personnel.
Un problème courant se pose lorsqu'un assuré emploie son personnel salarié pour reconstruire/réparer ses systèmes et réclame ces coûts comme une dépense supplémentaire. Le personnel salarié est considéré comme une dépense fixe et n'est généralement pas reconnu comme une dépense supplémentaire car l'entreprise n'a pas eu à payer de salaires supplémentaires en raison de l'événement cybernétique. En outre, l'assuré peut utiliser du personnel interne pour travailler sur les réparations. Si la masse salariale reste à un niveau normal, il pourrait y avoir une duplication entre la paie autorisée dans l'évaluation technique et la perte due à l'interruption d'activité. La masse salariale ne doit être prise en considération qu'une seule fois. Il est également fréquent qu'un assuré réclame la perte d'heures facturables pour tout employé ayant consacré du temps à la restauration du système informatique. Cependant, seuls les employés qui étaient normalement rémunérés avant la cyberattaque pourraient potentiellement faire perdre des revenus à l'assuré au cours de la période d'arrêt.
Il est important de communiquer, dès le début du processus de réclamation, les coûts économisés ou les dépenses supplémentaires potentiels et leur impact sur l'analyse de l'interruption d'activité. De plus, vérifiez si ces dépenses entrent dans le cadre de la période d'indemnisation.
Lors d'un cyberévénement, un comptable judiciaire peut avoir besoin d'examiner l'ensemble d'une entreprise plutôt qu'un seul emplacement ou une seule région. Si certaines pertes cybernétiques peuvent n'affecter qu'un seul emplacement, d'autres peuvent en toucher plusieurs, voire le monde entier. Il est important de comprendre comment la cyberattaque a affecté les ventes, en particulier si l'entreprise vend par le biais de magasins de commerce électronique et de magasins physiques. Pour obtenir une potentielle compensation, les ventes et les dépenses doivent être analysées.
Si plusieurs emplacements sont touchés au niveau mondial, il est impératif de travailler avec l'assuré et la compagnie d'assurance pour déterminer l'impact sur les seuls emplacements couverts, car il peut y avoir plusieurs polices d'assurance concernées et, potentiellement, aucune couverture pour certains emplacements.
Les cyberattaques sont inévitables et l'interruption d'activité est un facteur principal de pertes cybernétiques. Selon Allianz Global Corporate & Specialty SE (11/19/20), les pertes dues à l'interruption d'activité ont représenté 60 % des réclamations pour cyberassurance au cours des cinq dernières années. Un comptable judiciaire doit être engagé le plus tôt possible pour aider à communiquer avec l'assuré et l'équipe d'ajustement afin de comprendre les impacts du cyberévénement. Le comptable aidera également à gérer les attentes quant à ce qui sera nécessaire pour quantifier une perte due à une interruption d'activité et pour aider à identifier les moyens d'atténuer la perte.
Nous tenons à remercier Jessica Eldridge pour ses connaissances et son expertise qui ont grandement participé à la réalisation de cette étude.
Jessica Eldridge est vice-présidente des services d'assurance et de comptabilité judiciaire de J.S. Held. Elle a plus de 20 ans d'expérience dans les enquêtes et la comptabilité judiciaire à travers la mesure des dommages financiers impliquant une interruption d'activité, la cybernétique, les dépenses supplémentaires, le stock, l'assurance chantier, la malhonnêteté/fidélité des employés, les blessures personnelles, la subrogation et les services d'assistance en cas de conflit. Jessica a aussi une solide expérience dans les domaines de l'administration de fonds de frais communs et de la supervision des réclamations pour dommages matériels liés à de grands projets de construction.
Jessica peut être contactée à l'adresse [e-mail protégé] ou au 1 857 219 5720.
Cet article aborde les applications de l'informatique judiciaire, les types de données que les experts informatiques judiciaires utilisent, le processus d'enquête et certains exemples de cas pour lesquels les experts en informatique judiciaire doivent évaluer l'impact de...
Même si le numérique a fait son entrée dans certaines politiques générales de responsabilité au cours des années 1980, la première politique numérique à proprement parler a été éditée par AIG en 1997. Bien que révolutionnaire à l'époque en raison du thème abordé...