Si vous pensez que votre demande d’indemnisation d’assurance cyber sera acceptée sans poser de questions, réfléchissez à nouveau. Lors de l’examen de votre demande, votre fournisseur d’assurance cyber évaluera si vous avez pris des « mesures de précaution » pour protéger votre entreprise contre une cyberattaque. Bien que posséder une police d’assurance responsabilité civile en cas de cyberincident soit non négociable aujourd’hui, vous ne pouvez pas être pleinement assuré que votre assureur couvrira les coûts que vous engagez à la suite d’une violation de la sécurité.
Cachées dans les petites lignes du document de votre police d’assurance cyber se trouvent certaines conditions établies par l’assureur auxquelles vous devez vous conformer. C’est pourquoi il est important que vous évaluiez si vous êtes conforme aux termes de votre police d’assurance cyber et que vous vous assuriez que les risques pouvant entraîner une non-conformité sont remédiés.
Jetons un coup d’œil à certaines des raisons courantes pour lesquelles les assureurs cyber refusent les demandes, à l’impact potentiel des refus de demande et à la manière dont le bon soutien peut vous aider à éviter que votre demande d’assurance cyber ne soit refusée en raison d’une non-conformité.
Les 6 principales raisons pour lesquelles votre assureur cyber peut refuser votre demande
Outre leurs efforts pour réduire les paiements et augmenter le ratio de perte (le rapport des primes aux paiements), les compagnies d’assurance responsabilité civile en cas de cyberincident examinent divers autres aspects pour refuser un paiement ou ne verser qu’une certaine somme.
Voici six des raisons les plus courantes pour lesquelles votre assureur cyber pourrait soit refuser complètement votre demande, soit n’en verser qu’une partie substantielle.
- Exclusions de la politique
Les exclusions de la politique peuvent facilement être considérées comme la principale raison des refus de demande. Demander une indemnisation pour un incident de sécurité qui figure dans la liste des exclusions souvent mentionnées dans le texte de la police pourrait s’avérer inutile.
- Mauvaises pratiques de prévention
En ne mettant pas en place suffisamment de pratiques de prévention, vous pourriez fournir à la compagnie d’assurance un motif facile pour refuser votre demande. Votre police d’assurance liste les pratiques de sécurité des données que vous devez mettre en place dans le réseau de votre entreprise.
- Absence de documentation des mesures préventives
Votre assureur voudra voir une preuve tangible, sous forme de documentation, concernant les mesures préventives que vous avez prises pour repousser les cybermenaces. Pour éviter tout problème, vous devez disposer d’une documentation complète, précise et mise à jour en permanence.
- La faute d’un tiers
La sécurité de votre réseau ne relève pas uniquement de votre responsabilité. C’est aussi la responsabilité de vos parties prenantes tierces. Une faille de sécurité dans le réseau d’un fournisseur tiers peut entraîner le refus de la demande par l’assureur. Même si la demande n’est pas refusée, il est très probable que l’assureur examinera la question en profondeur, ce qui pourrait rendre le processus long et fastidieux.
- Erreurs et omissions accidentelles
Les erreurs et omissions accidentelles dans la documentation que vous partagez avec l’assureur pourraient avoir des conséquences néfastes sur l’approbation de votre demande. Les preuves documentées devraient englober tout ce que vous avez fait pour respecter les termes fixés par l’assureur.
- Absence de couverture au-delà de la période d’interruption
Les plans d’assurance responsabilité civile en cas de cyberincident varient, vous devez donc prêter une attention particulière aux périodes de couverture. Cela peut faire la différence entre la couverture de l’intégralité de vos pertes ou seulement d’une petite partie d’entre elles.
L'impact potentiel d'un refus de demande
Un refus de demande peut dérailler la stratégie d’une entreprise pour récupérer les coûts engagés à la suite d’un incident de sécurité. Voici deux cas où des entreprises se sont vu refuser des paiements :
L’affaire particulière des attaques NotPetya1
Les chercheurs de l’institut Cyentia ont examiné les 100 plus grands incidents de cybersécurité au cours des cinq dernières années, représentant 18 milliards de dollars de pertes, et ont découvert que le ransomware NotPetya représentait 20 % des pertes. Malgré cela, le géant pharmaceutique Merck et la société alimentaire multinationale Mondelez International sont toujours en train de réclamer respectivement 1,3 milliard de dollars et 100 millions de dollars par le biais de procès très médiatisés. Dans les deux procédures, les assureurs ont cité l’exclusion « guerre et terrorisme » pour refuser les demandes, car en octobre 2020, le gouvernement américain a inculpé six membres du personnel militaire russe pour les attaques.
Lorsqu’un organisme canadien sans but lucratif s’est vu refuser une indemnisation2
Dans une affaire réglée en mai 2021, Family and Children’s Services of Lanark, Leeds and Grenville (FCSLLG), un organisme canadien sans but lucratif, n’a pas réussi à obtenir 75 millions de dollars canadiens en dommages et intérêts. L’incident de sécurité impliquait un pirate informatique non identifié qui a volé des rapports confidentiels et les a diffusés sur deux pages Facebook. FCSLLG a intenté une action en responsabilité civile contre Laridae, une entreprise qu’elle avait engagée pour réviser son site web. Malgré la détention de deux polices auprès des Co-operators au moment de l’attaque, les Co-operators ont refusé la couverture en vertu des deux polices en se fondant sur des exclusions de données. Les polices excluaient toute perte « découlant de la distribution ou de l’affichage de données au moyen d’un site web internet. »
Ces incidents devraient servir de rappel pour votre entreprise, afin de comprendre complètement d’où les menaces sont le plus susceptibles de surgir et de vous assurer que les pertes potentielles sont incluses dans votre police d’assurance cyber. Bien que certaines entreprises puissent continuer à fonctionner normalement grâce à leur puissance financière, vous devez vous demander si votre entreprise peut survivre à un important revers financier.
Navigation de la conformité pour l’assurance responsabilité civile en cas de cyberincident
Bien que cela puisse sembler accablant au départ, se conformer aux termes de votre police d’assurance responsabilité civile en cas de cyberincident n’est pas intimidant lorsque vous disposez du bon soutien. En utilisant notre plateforme d’automatisation des processus de conformité, nous pouvons vous aider à :
- Comprendre en détail les contrats pour que vous soyez pleinement conscient de ce que votre police couvre et de ce qu’elle ne couvre pas.
- Effectuer régulièrement une évaluation de la conformité automatisée qui vous fournira une analyse complète et précise de la conformité de votre entreprise aux termes de la police et des domaines nécessitant une remédiation.
- Fournir des services de remédiation pour garantir que tous les risques de non-conformité sont corrigés de la bonne manière et au bon moment.
- Documentation spécifique à la conformité, sans erreurs humaines, fine et spécifique à la politique pour que votre entreprise puisse produire des preuves de la diligence requise.
- Acheter une police d’assurance cyber qui offre le bon type de couverture au bon prix.
Nous pouvons aider votre organisation à respecter ou à acquérir une police d’assurance responsabilité civile en cas de cyberincident fiable et reconnue par d’autres dans votre secteur. Pour en savoir plus, contactez-nous dès aujourd’hui pour une consultation.
Sources:
- Security Boulevard
- Pallett Valo LLP
