Cybercrime – Garanties d'assurance – Jurisprudence –Bienvenue au Canada? 

publication 

August 2017

Bulletin de cybersécurité

Bien que plusieurs causes hautement médiatisées relatives à l’assurance contre la cybercriminalité aient récemment fait les manchettes aux États-Unis, les sociétés canadiennes se demandaient encore si les tribunaux canadiens suivraient la jurisprudence élaborée au sud de la frontière. Cette incertitude est maintenant levée.

La première décision au Canada en ce qui a trait aux garanties d’assurance contre la cybercriminalité a été rendue par la Cour du banc de la Reine d’Alberta le 29 juin 2017. Cette cause fait ressortir la nécessité d’une solide couverture d’assurance contre la cybercriminalité, doublée d’une formation interne et de contre-vérifications par des tiers. Dans l’affaire The Brick Warehouse LP v. Chubb Insurance Company of Canada[1], la Cour a jugé que les garanties d’assurance de Brick visant la « fraude par transfert de fonds » aux termes de sa police d’assurance contre les vols et les détournements ne suffisaient pas à la protéger contre des pertes d’un peu plus de 200 000 $ résultant d’une fraude par ingénierie sociale.

Contexte

En août 2010, le service des comptes fournisseurs de Brick a reçu une série d’appels de la part d’une personne qui prétendait représenter Toshiba, l’un des fournisseurs de Brick. L’imposteur a demandé des précisions sur le processus de paiement, et un employé lui a fourni les renseignements demandés. Ces appels ont été suivis d’un courriel qui semblait provenir d’un compte de Toshiba (silbers_toshiba@eml.cc), puis d‘un autre appel informant Brick d’un changement du compte auquel les paiements devaient être envoyés. L’employé a donné suite à la demande en suivant la pratique interne standard pour le changement de renseignements sur le compte, a fait vérifier les formulaires administratifs par un autre employé et a exécuté la demande de l’imposteur. Dix factures totalisant 338 322,22 $ ont ensuite été transférées à ce « nouveau » compte.

Cette fraude se serait peut-être déroulée sur plusieurs mois si deux choses ne s’étaient pas produites : les fraudeurs sont devenus trop gourmands, et Toshiba s’est demandé pourquoi elle n’était pas payée. Le 3 septembre 2010, une personne prétendant représenter Sealy Canada a communiqué avec Brick pour faire la même requête et demander que les renseignements sur le compte soient changés pour correspondre au même compte auprès de RBC que celui de Toshiba, l’explication étant que Sealy et Toshiba fusionnaient. Heureusement, avant que ce changement soit réalisé, un représentant véritable de Toshiba a communiqué avec Brick afin de savoir pourquoi plusieurs factures récentes de Toshiba n’avaient pas été payées. Cet appel a déclenché des signaux d’alarme et a amené Brick à lancer une enquête qui a mis au jour la fraude.

Cette fraude a immédiatement été signalée à la police, et Brick a pu récupérer une partie des fonds transférés frauduleusement. Brick s’est ensuite tournée vers son assureur, Chubb Insurance, afin de présenter une demande de règlement à l’égard du reste des fonds perdus, aux termes de son assurance contre les vols et les détournements (puisqu’elle n’avait pas souscrit de police d’assurance relative à la cybersécurité). Or, Chubb a déterminé que la perte n’était pas couverte par la police et, plus précisément, qu’elle n’était pas couverte par la garantie visant les fraudes par transfert de fonds.

Décision

La Cour a conclu que les pertes que Brick avait subies en raison d’une fraude par ingénierie sociale n’étaient pas couvertes aux termes de la police d’assurance de Chubb. L’interprétation de la clause relative aux fraudes par transfert de fonds ainsi que celle des termes « connaissance » et « consentement » ont été au cœur de cette décision. La Cour a jugé que, selon le libellé de la clause, les fraudeurs devaient amorcer eux-mêmes le transfert, sans quoi la clause ne s’appliquait pas. Puisque les termes « connaissance » et « consentement » n’étaient pas clairement définis dans la police, la Cour s’est appuyée sur le sens ordinaire de ces termes. Elle a ainsi jugé que l’employé ayant amorcé le transfert avait une connaissance et un consentement suffisants pour rendre la clause inopérante. La Cour a suivi le raisonnement sous-tendant de nombreuses décisions récentes aux États-Unis, selon lequel le fraudeur doit utiliser un ordinateur pour enclencher lui-même le transfert pour que la garantie relative à la fraude par transfert de fonds soit applicable. Ce raisonnement entraîne une couverture restreinte pour les sociétés qui ont été manipulées par d’habiles fraudeurs faisant appel à l’ingénierie sociale.

Par contre, cette cause contraste radicalement avec la décision que rendait la Cour de district de New York moins de trois semaines plus tard dans la cause Medidata[2]. Dans cette affaire, le demandeur était aux prises avec une situation similaire à celle de Brick, sauf que le fraudeur avait prétendu être le président de la société, plutôt qu’un fournisseur. Le fraudeur avait manipulé les courriels envoyés à l’employé en y ajoutant la photographie et les coordonnées du président, leur conférant ainsi l’apparence convaincante d’un courriel interne. La société a perdu 4,8 millions de dollars par suite de cette fraude, et son assureur a refusé la demande de règlement parce que le fraudeur avait utilisé un employé pour enclencher le transfert. Bien que l’employé ait sciemment exécuté le transfert dans cette affaire, la Cour a conclu que l’assurance contre la « fraude par transfert de fonds » s’appliquait. De l’avis de la Cour, le vol par l’emploi d’un subterfuge demeure néanmoins un vol, et le fait que le fraudeur ait été légèrement en retrait du transfert réel n’était pas suffisant pour que l’assureur refuse la couverture. Comme la jurisprudence sur la cybercouverture demeure relativement récente, on ne sait pas si le raisonnement dans Medidata primera en fin de compte.

L’affaire Brick souligne l’importance pour les entreprises de s’efforcer d’atténuer dans la pleine mesure du possible les risques comme ceux qui découlent de la fraude par ingénierie sociale, notamment au moyen d’une formation obligatoire des employés et de solides politiques internes qui comprennent des contre-vérifications des décisions prises par d’autres employés. Par exemple, les sociétés devraient exécuter des bilans de santé en matière de cybersécurité afin de s’assurer qu’elles sont au courant de la perte ou de l’exposition existante de données sensibles et qu’elles ont identifié leurs actifs critiques et ont établi les priorités à leur égard[3]. L’affaire Brick nous rappelle également que même les grandes sociétés sont vulnérables à un facteur qui peut être atténué, mais non pleinement maîtrisé, l’erreur humaine. Compte tenu de cette réalité, il incombe aux entreprises de veiller à mettre en place de solides garanties d’assurance contre la cybercriminalité pouvant répondre aux diverses menaces sur le plan de la cybersécurité, qui sont en évolution constante et sans cesse plus créatives et qui pèsent contre elles au quotidien.

par Darcy Ammerman et Bob Bell, étudiant en droit

 

[1] The Brick Warehouse LP v Chubb Insurance Company of Canada, 2017 ABQB 413.

[2] Medidata Solutions Inc v Federal Ins Co., affaire no 15 CV-907 (21 juillet 2017).

[3] Cybersécurité au Canada : Solutions pratiques à un problème de taille, par la Chambre de commerce du Canada, avril 2017.

mise en garde

Le contenu du présent document fournit un aperçu de la question, qui ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© McMillan S.E.N.C.R.L., s.r.l. 2017