La fraude par ingénierie sociale (social engineering fraud) est une forme de cyberfraude au cours de laquelle une personne amène un employé à disposer volontairement des fonds de la société par l’intermédiaire de courriels frauduleux. Par exemple, un fraudeur peut usurper l’identité d’un client ou encore d’une personne en position d’autorité au sein de la société dans le but de contraindre un employé à virer des fonds dans le compte bancaire du fraudeur.
Cette forme de fraude peut être couverte par les polices d’assurance de la société. Cependant, la détermination de la couverture applicable, s’il y a lieu, n’est pas toujours évidente. La Cour supérieure du Québec a rendu récemment une décision qui pourrait aider à faire la lumière sur cette question. Dans Future Electronics Inc. (Distribution) Pte Ltd. c Chubb Insurance Company of Canada, la Cour a en effet établit des distinctions utiles entre la « fraude informatique commise par un tiers » (computer fraud by a third person), la « fraude par transfert de fonds » (funds transfer fraud), et la « fraude par ingénierie sociale »1.
La fraude
Les faits en litige sont classiques. Le fraudeur s’est fait passer pour le chef des finances d’un fournisseur de la société et a fait parvenir un courriel à un employé du service de la comptabilité de cette dernière afin de modifier les renseignements bancaires du fournisseur. L’employé a demandé une lettre officielle confirmant la demande et le fraudeur lui a envoyé une lettre falsifiée contenant de nouvelles instructions de virement électronique pour les prochains paiements exigibles. Cette fraude a donné lieu à de nombreux transferts de fonds, lesquels ont totalisé près de 2,7 M$ US avant que l’arnaque ne soit découverte.
La société a déposé une demande d’indemnisation auprès d’un de ses assureurs en vertu d’une police d’assurance de la responsabilité civile des dirigeants émise par ce dernier. L’assureur a affirmé que la demande d’indemnisation ne relevait pas de la couverture pour « fraude informatique commise par un tiers » ou « fraude par transfert de fonds ». Selon l’assureur, le sinistre relevait de la couverture pour « fraude par ingénierie sociale », laquelle prévoyait une limite de 50 000 $ US.
La société a contesté cette interprétation de la police par l’assureur devant la Cour supérieure du Québec. La Cour a toutefois tranché en faveur de l’assureur et conclu que le sinistre ne pouvait être indemnisé qu’à hauteur de 50 000 $ US conformément à la couverture pour « fraude par ingénierie sociale ».
La couverture pour fraude informatique commise par un tiers ou pour fraude par transfert de fonds ne s’applique pas
Selon la Cour, le sinistre ne relevait pas de la couverture pour fraude informatique commise par un tiers. Cette couverture visait en effet l’appropriation illicite de fonds au moyen d’un système informatique. La Cour a indiqué que cette définition faisait référence à l’acte direct de soutirer de l’argent au moyen d’un ordinateur et non à une situation où, comme c’était le cas en l’espèce, le fraudeur avait dupé l’employé de la société pour l’amener à virer volontairement des fonds au compte bancaire du fraudeur.
La Cour s’est ensuite penchée sur la question de savoir si le sinistre était couvert aux termes de la couverture pour fraude par transfert de fonds. La Cour a une fois de plus donné raison à l’assureur, affirmant que l’assuré ne pouvait se prévaloir de cette couverture. Selon les termes de la police, cette couverture visait en effet la situation où des instructions frauduleuses sont données à l’institution financière de l’assuré en vue de transférer, à l’insu de l’assuré ou sans son consentement, des fonds dans le compte du fraudeur.
Selon l’interprétation de la Cour, cette couverture est uniquement déclenchée lorsque la banque de l’assuré est amenée par duperie à transférer des fonds conformément à des instructions ne provenant pas de l’assuré. Or, le fraudeur n’a jamais, en l’espèce, transmis d’instructions frauduleuses de transfert électronique à l’institution financière de la société à l’insu de cette dernière ou sans son consentement. Au contraire, l’institution financière a procédé aux virements en question conformément aux instructions expresses fournies par la société.
La Cour indique qu’il s’agit d’un cas de fraude par ingénierie sociale
Tel qu’indiqué ci-dessus, la Cour a conclu que le sinistre était couvert par l’avenant relatif à la fraude par ingénierie sociale. Cette couverture avait été présentée à l’assuré sous la forme d’un nouvel avenant visant à étendre la protection offerte aux termes de la police. Selon l’avenant, cette couverture pouvait s’appliquer lorsque le sinistre résultait d’un transfert, d’un paiement ou d’une remise de fonds à l’initiative de l’assuré découlant directement d’une une fraude par ingénierie sociale commise par une personne prétendant être un fournisseur, un client ou un employé autorisé par l’assuré à donner instruction à d’autres employés de transférer des fonds. Le concept de fraude par ingénierie sociale était défini comme étant le fait de tromper sciemment un employé au moyen d’indications fausses relatives à un fait important auxquelles l’employé, les jugeant authentiques, s’est fié.
De l’avis de la Cour, l’avenant relatif à la fraude par ingénierie sociale couvrait expressément le transfert volontaire de fonds par l’assuré à la suite d’un stratagème frauduleux élaboré par un tiers ayant usurpé l’identité d’un fournisseur légitime. Dans sa décision, la Cour s’est appuyée sur le fait que les scénarios de fraude par ingénierie sociale décrits dans la documentation remise à l’assuré avec l’avenant étaient très semblables aux faits en l’espèce.
Puisque l’avenant prévoyait une exclusion stipulant que la couverture pour fraude par ingénierie sociale ne s’étendait pas aux sinistres faisant autrement l’objet d’une couverture pour fraude informatique ou fraude par transfert de fonds, la Cour a rejeté l’argument de la société selon lequel la police pouvait raisonnablement être interprétée comme offrant une double couverture d’assurance et a conclu que la seule indemnisation à laquelle la société avait droit était celle de 50 000 $ US prévue par la couverture pour fraude par ingénierie sociale.
Alors que la cyberfraude continue de se répandre partout dans le monde, le jugement rendu par la Cour supérieure du Québec fournit des indications utiles sur la question de savoir si les sinistres découlant de cyberfraudes peuvent faire l’objet d’une couverture d’assurance et, dans l’affirmative, sur les couvertures applicables.