Ceci est le premier article d’une série en trois parties. Reportez-vous à la partie 2 pour obtenir des exemples d’exclusions à la cyberrassurance (et en apprendre plus sur la manière dont les assureurs et les assurés négocient ces questions), et à la partie 3 pour découvrir comment réduire vos coûts de cyberassurance.
Les causes les plus courantes de l’interruption des activités d’une organisation sont généralement les incendies, les inondations, les conflits de travail, le vandalisme, l’agitation civile, les changements réglementaires et, depuis le piratage du réseau de la société AT&T en 1981 par le Capitaine Zap, les cyberattaques. Il n’y a pas de temps à perdre après une telle attaque. Voici donc quatre exemples de problèmes qu’entraînent généralement les cyberattaques et ce que vous devez savoir sur les couvertures d’assurance en cas d’interruption des activités et votre propre police.
Couverture en cas d’interruption des activités
La couverture en cas d’interruption des activités permet d’indemniser les organisations qui ne sont pas en mesure de continuer à fonctionner normalement après une cyberattaque et subissent des pertes financières. Il convient toutefois de noter que toutes les polices de cyberassurance n’offrent pas cette protection. Celles qui le font couvrent notamment les frais liés aux pertes de revenus et à la reprise des activités.
Bien entendu, l’organisation concernée doit avoir subi une perturbation et engagé des dépenses supplémentaires afin de pouvoir se prévaloir de la couverture pour interruption des activités. Cela s’avère souvent une question assez litigieuse pour les organisations et les sociétés d’assurance. Nous détaillons ci-après quatre répercussions courantes des cyberattaques de même que les enjeux complexes qui s’y rattachent.
Nouvelles exigences des partenaires intégrés
Lorsqu’une organisation est la cible d’une cyberattaque, cela peut inciter ses partenaires intégrés, par exemple les tiers qui conservent les dossiers médicaux numériques de ses membres ou ses bases de données de prospection, à revoir leurs pratiques de cybersécurité et à rehausser leurs standards. Si c’est le cas, l’organisation en question doit suivre le pas, faute de quoi elle pourrait se voir refuser l’accès aux systèmes de ses partenaires.
Les entreprises s’attendent généralement à ce que les dépenses qu’elles engagent pour se conformer à ces nouvelles exigences soient admissibles à une réclamation en vertu de leur police d’assurance. Cependant, puisque les assureurs considèrent que leur couverture vise à aider les entreprises à revenir à leur état original, et non à financer des améliorations, ce genre de réclamations se voit plus souvent qu’autrement refusé. Selon notre expérience, la question tend à se régler en médiation.
Perturbation des salaires normaux
En ce qui concerne les dépenses liées à la main-d’œuvre lors d’une interruption des activités, les sociétés d’assurance exigent généralement des preuves que les coûts d’une organisation ont augmenté en raison de ses efforts de remise en état; pensons par exemple à l’embauche de personnes, notamment de consultants, pour aider à la reconstruction des systèmes ou à la hausse des heures supplémentaires effectuées par le personnel existant. Les salaires habituels des membres de l’organisation qui contribuent à la reconstruction pendant les heures normales de travail sont rarement admissibles à des réclamations.
Retards dans le traitement des ventes et des paiements
Dans la plupart des polices de cyberassurance, les ventes perdues, soit celles qui n’ont pas pu avoir lieu en raison d’une atteinte à la sécurité ou à la vie privée, sont couvertes. Cependant, si une attaque occasionne simplement des retards jusqu’à la reprise du cours normal des activités et qu’il est possible pour les clients d’entamer, de continuer à effectuer ou de finaliser des achats par des moyens qui n’ont pas été affectés par l’attaque (notamment au téléphone, sur place ou en utilisant une machine à commande manuelle pour le traitement des cartes de crédit), on estimera généralement qu’il n’est pas justifié d’inclure ces ventes dans une réclamation pour interruption des activités.
Demandes de rançon excessives
De nombreuses organisations sont prêtes à payer une rançon pour pouvoir reprendre leurs activités immédiatement après une cyberattaque. Toutefois, certains assureurs demandent la tenue d’un contrôle diligent avant d’autoriser le paiement. Ils encouragent souvent les assurés à comparer les coûts de la reconstruction de leurs systèmes à partir des sauvegardes et les dépenses prévues associées à l’interruption des activités au montant réclamé par les malfaiteurs. Puisque la plupart des polices d’assurance exigent que les assureurs autorisent les paiements effectués par les assurés, il est important pour ces derniers d’évaluer si :
- leur organisation peut continuer à exercer ses activités, même à rythme réduit, pendant la restauration des systèmes;
- la reconstruction peut se faire relativement rapidement;
- le montant de la rançon est supérieur à celui de la réclamation pour interruption des activités.
Prochaines étapes
La cyberassurance est particulièrement complexe et coûte de plus en plus cher. Si vous avez le temps, l’une des mesures les plus judicieuses à prendre est de faire examiner votre police par un courtier en cyberassurance chevronné afin de vous assurer d’être adéquatement protégé en fonction de votre situation (cela pourrait même vous aider à réduire vos coûts).
Cependant, toutes les organisations ne peuvent pas se permettre d’attendre. Si vous êtes pris de panique après une attaque, notre meilleur conseil est de communiquer ouvertement et régulièrement avec votre assureur. Nos quatre scénarios d’interruption des activités se veulent des mises en garde. Si vous ne comprenez pas votre police d’assurance de la même manière que votre assureur, toutes les décisions que vous prenez ayant des conséquences financières – même les mieux intentionnées – pourraient faire en sorte que votre réclamation soit rejetée.
Nous accueillons les demandes de renseignements des assureurs comme des assurés. Pour toute question sur la couverture en cas d’interruption des activités, n’hésitez pas à communiquer avec Eric Charleston ou Christine Kucey.
