Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

En cliquant sur « Je m'inscris », je confirme mon enregistrement à la liste d'abonnement et je consens à ce que TCJ puisse traiter mon courriel dans le but de me faire parvenir des infolettres de façon ponctuelle. Je confirme avoir lu et consenti à la Politique de confidentialité.

Écrivez-nous

En remplissant ce formulaire, vous permettez à notre équipe de saisir pleinement vos besoins et de vous offrir le service le plus adapté à vos attentes. Merci de votre confiance, nous nous engageons à vous fournir un suivi dans les plus brefs délais.

En cliquant sur « Envoyer », je confirme avoir lu et consenti à la Politique de confidentialité.

Protection de la vie privée et cybersécurité

Victime d’un virement bancaire frauduleux – voici quoi faire

  • Élyse Rioux
  • Dany Guimond-Valcourt
  • Nathalie Lamontagne
Par Élyse Rioux , Dany Guimond-Valcourt et Nathalie Lamontagne

Chaque jour, des entreprises canadiennes sont la cible de fraudes sophistiquées par courriel ou piratage informatique. Une des techniques les plus fréquentes : la fraude au virement bancaire (aussi appelée Business Email Compromise ou BEC). En quelques clics, des sommes importantes peuvent être transférées à un fraudeur se faisant passer notamment pour un fournisseur ou un partenaire légitime.

1. Agir immédiatement : le facteur temps est critique

  • Contacter immédiatement votre institution financière pour tenter de bloquer la transaction ou faire un rappel de fonds.
  • Alerter la banque destinataire si elle est connue, en parallèle, et demander le gel du compte.
  • Aviser les autorités compétentes :
    • Le Centre antifraude du Canada;
    • Votre service de police local;
    • Au Québec, si des renseignements personnels sont en cause, il est possible que vous deviez notifier la Commission d’accès à l’information (CAI);
    • Au fédéral : le Commissariat à la protection de la vie privée du Canada (dans les cas d’application de la Loi sur la protection des renseignements personnels et les documents électroniques).
  • Vous pouvez également prendre des précautions additionnelles en contactant les agences de crédit reconnues et Revenu Québec et Revenu Canada ainsi que vos principaux partenaires d’affaires afin de les aviser du stratagème et vous prémunir en validant les adresses de chacun pour échanger des sommes d’argent.

2. Aviser votre assureur

Certaines assurances commerciales ou encore des assurances de cybersécurité particulières peuvent couvrir ce type d’incident. La plupart du temps, elles sont conditionnelles au respect de certaines clauses contractuelles et à des délais de déclaration. Plusieurs polices excluent cependant ce type de fraude, donc assurez-vous d’avoir notamment la couverture pour « social engineering fraud ».

Dans tous les cas, appelez votre assureur – il est fort probable que vous soyez liés par leurs références pour les experts en droit, en TI ou en cybersécurité.

3. Consulter une équipe légale spécialisée en la matière

Vous pouvez avoir des responsabilités et obligations importantes.

  • Il vous faudra examiner les contrats avec vos fournisseurs ou clients pour déterminer si une violation contractuelle pourrait être invoquée. Selon le contexte, le paiement effectué au fournisseur frauduleux pourrait ne pas vous libérer du paiement à votre fournisseur.
  • Vous pourrez peut-être envisager une réclamation ou une poursuite, encore vous faudra-t-il retrouver le fraudeur et vous assurer qu’il est solvable avant d’entreprendre cette poursuite : même condamné, il est parfois difficile d’obtenir un remboursement.

 4. Mener une enquête interne

Déterminez comment la fraude a été rendue possible : compromission de boîte courriel? Mauvaise vérification des coordonnées bancaires? Impliquez votre équipe TI ou des experts en cybersécurité pour évaluer l’ampleur de la compromission.

5.  Préservez les preuves

Ne supprimez rien, même si cela semble anodin. Vous pourriez en avoir besoin en cas de réclamation, d’enquête ou de poursuite :

  • Tous les courriels liés à la demande de paiement, messages textes, journaux informatiques et enregistrements d’appels.
  • Demandez une copie du SWIFT ou du journal de virement à votre institution financière.
  • Si vous utilisez un outil de communication qui ne conserve pas ces preuves, soyez diligent et prenez des captures d’écran, ou encore, imprimez ces échanges le plus rapidement possible.

 6. Informer vos partenaires, limiter les impacts juridiques et évaluer vos recours

  • Prévenez vos partenaires commerciaux qui pourraient être concernés par la fraude.

 7. Vérifier si des renseignements personnels ont été exposés

Si des renseignements personnels ont été compromis, vous pourriez avoir des obligations de notification tant aux autorités qu’aux personnes concernées.

8. Leçons apprises : il est temps de corriger vos pratiques internes

  • Revue des clauses contractuelles – prévoyez des modalités claires :
    • Pour le mode de transmission sécuritaire des instructions de paiement.
    • Préciser les instructions pour la transmission de modifications aux instructions initiales.
    • Aucune modification sur la base d’un simple courriel.
    • Mettre en place une procédure de double vérification avant tout changement de coordonnées bancaires.
  • Former les employés sur les techniques d’hameçonnage et d’ingénierie sociale : ce sont souvent des employés de confiance qui effectuent les virements, sans se douter de rien.
  • Mettre à jour vos plans de réponse aux incidents et de continuité des affaires, ainsi que vos contrôles de sécurité, notamment vos outils de détection des anomalies et vulnérabilités et de filtrage des courriels.

Anticiper pour mieux protéger

Les tribunaux canadiens n’accordent pas automatiquement un droit au remboursement en cas de fraude. La responsabilité dépend souvent des mesures de précaution mises en place, de la vigilance contractuelle et des réactions post-incident.

Une réponse aux incidents structurée, rapide et conforme peut limiter les pertes et renforcer vos défenses pour l’avenir.

Besoin d’un accompagnement, d’une évaluation de vos pratiques internes ou d’une vérification diligente efficiente de vos procédures de paiement? Vous avez besoin d’assistance en réponse aux incidents?

Notre groupe de pratique en Protection de la vie privée et cybersécurité est là pour vous : revue de vos contrats avec fournisseurs tiers, plan de réponse et gestion du risque juridique.

Partager cet article
3