Arrêt du Tribunal fédé­ral 4A_​206/​2023 du 17 août 2023

Comment un assu­reur peut-il s’opposer à devoir dédom­ma­ger une société cotée d’un dommage estimé à près d’un million suite à une cybe­rat­taque réus­sie ? En invo­quant que le paie­ment contre­vien­drait aux sanc­tions améri­caines, car la cybe­rat­taque serait l’œuvre de pirates russes sous sanc­tions. Le Handelsgericht de Zurich, puis le Tribunal fédé­ral n’ont néan­moins pas été convain­cus par cette argumentation .

En juillet 2020, une société cotée au NYSE est victime d’une attaque par le rançon­gi­ciel Wasted-Locker, lequel chiffre notam­ment ses données clients. Les cybe­rat­ta­quants exigent une rançon de 1’500 bitcoins (envi­ron CHF 13,5 millions à l’époque) contre la remise de la clé de déchif­frage. La société paie fina­le­ment un montant de proba­ble­ment 10 millions aux cybe­rat­ta­quants afin d’obtenir cette clé.

La société se retourne contre l’un de ses assu­reurs au Royaume-Uni, lequel refuse de payer. L’assureur soutient que l’attaque provient d’Evil Corp, des pirates russes inscrits sur la Specially Designated Nationals and Blocked Persons-List (liste SDN) du U.S. Treasury Department’s Office of Foreign Assets Controls (OFAC). Le paie­ment de la pres­ta­tion d’assurance contre­vien­drait ainsi aux sanc­tions améri­caines. L’assureur se fonde en parti­cu­lier sur la clause contrac­tuelle suivante :

SANCTION LIMITATION AND EXCLUSION CLAUSE 

No (re) insu­rer shall be deemed to provide cover and no (re) insu­rer shall be liable to pay any claim or provide any bene­fit hereun­der to the extent that the provi­sion of such cover, payment of such claim or provi­sion of such bene­fit would expose that (re) insu­rer to any sanc­tion, prohi­bi­tion or restric­tion under United Nations reso­lu­tions or the trade or econo­mic sanc­tions, laws or regu­la­tions of the European Union, United Kingdom or United States of America.

Saisi par la société, le Handelsgericht de Zurich admet la demande en paie­ment de près d’un million de dollars. Le tribu­nal consi­dère que l’assureur n’a pas réussi à prou­ver que l’attaque prove­nait d’Evil Corp, respec­ti­ve­ment qu’Evil Corp aurait profité finan­ciè­re­ment de l’attaque. Il serait ainsi haute­ment impro­bable que l’assureur soit sanc­tionné par l’OFAC en cas de paie­ment de la somme assurée.

L’assureur saisit le Tribunal fédé­ral, qui est amené à exami­ner la clause invo­quée par l’assureur.

En premier lieu, le simple fait que le logi­ciel utilisé provienne d’Evil Corp, à savoir une entité inscrite sur la liste SDN, ne suffit pas pour refu­ser le paie­ment de l’indemnité. En effet, comme la clause contrac­tuelle l’indique, il est néces­saire pour l’assureur d’établir un risque d’être répri­mandé pour viola­tion des sanc­tions américaines.

En second lieu, le Tribunal fédé­ral revoit si, comme l’a retenu le Handelsgericht, il était haute­ment impro­bable que l’assureur soit sanc­tionné par l’OFAC en cas de paie­ment de la somme assu­rée. Le Tribunal fédé­ral procède à cet examen unique­ment sous l’angle de l’arbitraire, puisqu’il s’agit de l’application du droit étran­ger dans une affaire pécuniaire.

Dans l’arrêt canto­nal, le Handelsgericht a tout d’abord retenu qu’il n’était pas prouvé que l’attaque prove­nait d’Evil Corp. En second lieu, il a consi­déré que chaque déploie­ment du logi­ciel Wasted-Locker ne consti­tue pas forcé­ment un « inté­rêt » d’Evil Corp au sens du droit améri­cain des sanc­tions (property or inter­ests in property). En effet, même si Evil Corp devait être l’auteur de ce logi­ciel, il n’est pas exclu qu’il soit désor­mais utilisé par d’autres cybe­rat­ta­quants, sans qu’Evil Corp en tire un inté­rêt finan­cier. Enfin, l’OFAC n’a pour l’instant ouvert de procé­dure ni à l’encontre de la société cotée, ni à l’encontre de la société améri­caine qui a négo­cié et payé la rançon, ni à l’encontre des autres assu­reurs qui ont payé leur pres­ta­tion en lien avec cette cyberattaque.

Le Tribunal fédé­ral consi­dère que ce raison­ne­ment résiste à l’arbitraire. Il rejette en parti­cu­lier l’argument de l’assureur selon lequel toute utili­sa­tion de Wasted-Locker (même par des tiers) conduit à une tran­sac­tion inter­dite, car Evil Corp parti­ci­pe­rait à cette tran­sac­tion soit direc­te­ment, soit indi­rec­te­ment par le biais de Wasted-Locker. Partant, le Tribunal fédé­ral rejette le recours de l’assureur.

Cet arrêt est inté­res­sant à plusieurs titres et appelle quelques brèves remarques.

Premièrement, il s’agit du premier arrêt du Tribunal fédé­ral rela­tif au paie­ment d’une rançon suite à une cybe­rat­taque. Cette problé­ma­tique a fait l’objet de récentes publi­ca­tions doctri­nales, lesquelles examinent en parti­cu­lier si le paie­ment de la rançon, par la victime ou par l’assureur, consti­tue un acte péna­le­ment répré­hen­sible (cf. Benhamou Yaniv/​Wang Louise, Cyberattaque et ransom­ware : risques juri­diques à payer et assu­ra­bi­lité des rançons, RSDA 2023 p. 80 ss ; Sarrasin Delphine/​Pangrazzi Sara/​Meyer Pauline, The Legal Risks of Ransomware Payments, PJA 2023 p. 1077 ss).

Deuxièmement, cet arrêt rappelle la portée très large des sanc­tions améri­caines (cf. ég. Emmenegger Susan/​Zuber Florence, To Infinity and Beyond : U.S. Dollar-Based Juristiction in the U.S. Sanctions Context, RSDA 2022 p. 114 ss). Cela étant, le Handelsgericht souligne dans son arrêt que l’OFAC n’a publié encore aucune déci­sion en matière de cyber­sanc­tions, ce qui ne permet pas de comprendre sa pratique en la matière.

Enfin, l’assureur a échoué in casu à appor­ter la preuve de l’imputabilité de l’attaque à Evil Corp. Le degré de la preuve était pour­tant moins élevé qu’en droit suisse, puisque c’est le droit des États-Unis qui s’appliquait comme lex causae. Or, celui-ci prévoit un critère de « more likely than not » (degré de preuve de la prepon­de­rance). Malheureusement pour l’assureur, plusieurs cybe­rex­per­tises qu’il avait produites ont été jugée comme dépo­sées tardi­ve­ment par le Handelsgericht et donc irre­ce­vables (cf. art. 229 al. 1 let. b CPC).

Ce commen­taire est repris de celui du même auteur publié sous cdbf​.ch/​1​3​03/.