Nous vivons à une époque où les menaces à la cybersécurité s’intensifient. De nombreuses menaces d’intrusion sont des attaques d’ingénierie sociale, qui cherchent à entrer dans les systèmes informatiques d’une organisation via son personnel et non un piratage des systèmes informatiques. Bien qu’elles ne soient pas de nature technique, ces attaques peuvent causer des dommages substantiels à une organisation et doivent être prises aussi au sérieux que les attaques techniques.
Une étape classique de l’atténuation des risques sur chaque liste de contrôle des organisations consiste à mettre en œuvre des contrôles internes réfléchis avec des freins et contrepoids appropriés pour chercher à prévenir la fraude.
Une autre étape classique de l’atténuation des risques sur la liste de contrôle des cyberrisques de chaque organisation consiste à envisager d’obtenir une assurance adéquate pour couvrir les types spécifiques de risques pour la sécurité informatique. Une décision récente de la Cour du Banc de la Reine de l’Alberta, The Brick Warehouse LP v. Chubb Insurance Company of Canada, 2017 ABQB 413 [The Brick], montre qu’il faut accorder du temps et de l’attention à la couverture qu’une organisation obtient réellement et aux limites de cette couverture.
Les faits dans The Brick eux-mêmes racontent une mise en garde. Dans ce cas, en août 2010, une personne a fait un appel téléphonique à The Brick Warehouse, un détaillant de meubles, et a parlé avec le service des comptes fournisseurs. La personne a affirmé qu’il appelait de Toshiba et il a affirmé qu’il était nouveau dans l’entreprise, et a demandé des détails de paiement manquants. Le membre du personnel de Brick, se faisant utile, a envoyé une télécopie avec les documents de paiement au numéro de télécopieur fourni par l’appelant. Quelques jours plus tard, la même personne a appelé à nouveau avec la même histoire. Cette fois, le même employé de Brick a conseillé à l’appelant d’écrire au prêteur de Brick pour « configurer l’adresse et mettre à jour les adresses e-mail de Toshiba afin qu’il reçoive un avis électronique des paiements ». Quelques jours plus tard, le même mois, un autre membre du personnel de Brick du service des comptes fournisseurs a reçu un courriel d’une personne prétendant être le contrôleur toshiba et l’informant que Toshiba avait changé de banque de la Banque de Montréal à la Banque Royale. Les détails du compte du nouveau compte de la Banque Royale ont été fournis avec la demande que les paiements soient maintenant effectués sur le nouveau compte.
Quelques jours plus tard, une personne a appelé le service des comptes fournisseurs de The Brick et a parlé à l’employé qui avait reçu le courriel du « contrôleur » et a reçu la confirmation du transfert des informations bancaires. À l’interne, le personnel de Brick a modifié les renseignements sur le compte bancaire de Toshiba dans son système afin que les paiements de la banque de Brick soient effectués sur le nouveau compte de la Banque Royale.
Le personnel de Brick a simplement suivi les protocoles existants pour modifier les informations du compte, mais n’a jamais vérifié de manière indépendante les instructions avec Toshiba, que ce soit en ce qui concerne la demande de documentation interne ou en ce qui concerne les instructions de changer les banques et les détails du compte.
Brick a effectué 10 paiements au compte de la Banque Royale totalisant 339 322,22 $.
Quelques jours plus tard, le 3 septembre 2010, lorsqu’une personne a communiqué avec le service des comptes créditeurs en prétendant être de Sealy Canada. Ils ont donné une histoire de Sealy changeant de banque et ont de nouveau fourni un numéro de compte de la Banque Royale. Cependant, il s’agissait du même numéro de compte associé au compte « Toshiba » et ne pouvait donc pas être entré dans le système de paiement Brick. Un employé de Brick a fait un suivi avec le numéro dans le courriel de Toshiba et a été informé que Toshiba et Sealy avaient fusionné.
La fraude a été découverte le 10 septembre 2010, lorsque Toshiba a fait le suivi de ses comptes débiteurs. Une enquête a été menée rapidement et aucun paiement n’a été versé au compte « Sealy » de la Banque Royale. La police a été impliquée et The Brick a pu récupérer 113 847,18 $ des fonds transférés frauduleusement.
Le 6 décembre 2011, The Brick a présenté une réclamation en vertu de sa police d’assurance contre la fraude par transfert de fonds à son assureur, Chubb, pour la perte nette de 224 475,14 $.
Le 15 mars 2012, Chubb a rejeté la demande au motif qu’un membre autorisé du personnel de Brick avait donné les instructions à sa banque et que ces instructions n’étaient pas elles-mêmes frauduleuses.
La Cour du Banc de la Reine de l’Alberta a entendu l’affaire. La police d’assurance de Chubb offrait une couverture pour la « fraude par transfert de fonds par un tiers » avec le libellé de police suivant :
« La fraude par transfert de fonds s’entend des instructions écrites, électroniques, télégraphiques, par câble, par télétype ou par téléphone frauduleuses émises à une institution financière enjoignant à cette institution de transférer, de payer ou de livrer de l’argent ou des titres à partir de tout compte tenu par un assuré dans cet établissement à l’insu de l’assuré ou sans son consentement. »
La Cour du Banc de la Reine de l’Alberta a interprété l’exigence d’une couverture en vertu de la police d’assurance comme étant que The Brick devait prouver que la banque de The Brick avait transféré des fonds du compte de The Brick au moyen d’instructions d’un tiers se faisant passer pour The Brick. La Cour a conclu que la couverture en vertu de la police spécifique ne serait pas disponible si The Brick connaissait ou consentait aux instructions données à sa propre banque.
La Cour du Banc de la Reine de l’Alberta a examiné des situations semblables aux États-Unis et a examiné la façon dont les tribunaux américains avaient examiné cette question.
Dans l’affaire Taylor &Lieberman v. Federal Insurance Company, 2017 WL 929211 (9 mars 2017, 9th Cir.), des courriels ont été envoyés au personnel de la compagnie qui a agi sur eux en transférant de l’argent du compte de l’assuré. La 9e Cour de circuit a examiné le langage de la police de fraude par transfert de fonds, similaire à celui de la présente affaire The Brick (car les assureurs étaient des parties liées). Le 9 e circuit a concluqu’une telle couverture « est inapplicable parce que T &L a demandé et était au courant des virements télégraphiques. Après avoir reçu les courriels frauduleux, T&L a ordonné à la banque de son client de virer les fonds. T&L a ensuite envoyé des e-mails confirmant les transferts à l’adresse e-mail de son client.
La Cour du Banc de la Reine de l’Alberta a souligné dans l’affaire The Brick qu’il était clair que les fonds avaient été transférés du compte de The Brick et a qualifié la question de savoir « si les fonds avaient été transférés sur instruction d’un employé qui n’était pas au courant des transactions frauduleuses ou qui n’y consentait pas ».
La Cour de l’Alberta a noté que dans l’affaire Taylor & Lieberman, « Les courriels étaient frauduleux. Le tribunal a jugé que l’assureur n’était pas responsable parce que l’employé de Taylor &Lieberman avait demandé et était au courant des transferts. Même si l’employé ne savait pas que les instructions par courriel étaient frauduleuses, il était au courant des transferts.
La décision de la Cour de l’Alberta dans The Brick s’aligne sur la décision du 9e circuit dans l’affaire Taylor & Lieberman et confirme que la couverture spécifique de la police semble être disponible lorsque les instructions à la banque émanent du tiers ou elles-mêmes sont frauduleuses et non, dans ce cas, lorsque les instructions de l’assuré à sa banque ont été autorisées même si elles sont basées sur des informations erronées basées sur les courriels frauduleux antérieurs.
Il y a plusieurs leçons importantes à tirer de cette affaire.
La décision Brick souligne que les organisations devraient réévaluer et renforcer les mesures de protection internes contre les attaques d’ingénierie sociale contre une organisation et ses systèmes informatiques. Dans le cas de The Brick, il convient de voir comment des contacts répétés ont construit une image plus complète des opérations et des procédures de The Brick. Les attaques d’ingénierie sociale du genre dans The Brick et dans Taylor & Lieberman sont des attaques simples qui reposent sur la confiance individuelle. Si le personnel interne avait prêté attention aux risques de ce qu’il faisait, il aurait peut-être cherché à confirmer les instructions avant qu’une fraude ne se produise. Non seulement des mesures de protection et des contrôles réfléchis sont-ils importants, mais il devrait également y avoir une formation efficace (y compris une formation de recyclage) du personnel sur ce qu’il faut surveiller et qu’il ne faut pas craindre de poser des questions. Les contrôles internes avec des freins et contrepoids appropriés et une formation contre les attaques d’ingénierie sociale comprendraient: ne pas répondre aux demandes d’étrangers; de ne pas accorder le bénéfice du doute; et d’être prêt à vérifier directement les instructions importantes lorsqu’elles sont données par des contacts apparemment nouveaux.
Un autre point à retenir de ces cas est que la couverture d’assurance dans le domaine des cyberrisques évolue rapidement et qu’une analyse minutieuse est requise du libellé de votre police et de sa couverture. Le Global Legal post a rapporté le 20 juillet 2017 que Florian Heimann, d’AIR Worldwide, s’exprimant lors de l’événement annuel ILS Insight de Guernesey Finance à Zurich, a noté que les assureurs sont toujours en train de s’attaquer au cyberrisque en tant que péril relativement nouveau et que les modèles de risque pour ces types de risques continuent d’évoluer. Ce que cela signifie pour les titulaires de police, c’est d’examiner attentivement la portée de la couverture de la police et de poser des questions détaillées pour évaluer si la couverture comprend une couverture pour les types de risques qui préoccupent l’organisation. Au fur et à mesure que les attaques d’ingénierie sociale continuent de croître, l’évaluation de la couverture pour de tels risques devrait être examinée avec le courtier d’assurance de l’organisation.