Civil Action No. 23-cv-9518 du 30 octobre 2023

Une société divul­guant des infor­ma­tions fausses ou trom­peuses sur ses pratiques en matière de cyber­sé­cu­rité peut-elle faire l’objet d’une action civile au regard du droit améri­cain ? Et qu’en est-il du droit suisse ?  Le présent commen­taire examine, dans un premier temps, l’action civile dépo­sée par la U.S. Securities and Exchange Commission (SEC) contre SolarWinds Corp., société active dans le déve­lop­pe­ment de logi­ciels permet­tant la gestion centra­li­sée de réseaux, de systèmes et d’infrastructures infor­ma­tiques. Dans un deuxième temps, il présente quelques pistes de réflexion sur comment le droit suisse pour­rait abor­der un tel état de fait. Bien que cette affaire soit inté­res­sante à plusieurs égards – notam­ment concer­nant les stan­dards mini­maux qu’une société devrait respec­ter en matière de cyber­sé­cu­rité et quelles seraient les consé­quences en cas de non-respect de ces stan­dards, ou encore les leçons que nous pour­rions tirer sur les pratiques à adop­ter ou à ne pas adop­ter – nous allons nous limi­ter à une analyse géné­rale du droit des marchés financiers.

De janvier 2019 à décembre 2020, SolarWinds a été victime d’une cybe­rat­taque, appe­lée Sunburst, qui a utilisé plusieurs failles de sécu­rité. Les cybe­rat­ta­quants avaient aussi infecté le logi­ciel Orion déve­loppé par SolarWinds et qui permet à ses utili­sa­teurs de surveiller et gérer leurs réseaux. Ce logi­ciel était d’ailleurs utilisé par des dizaines de milliers d’entreprises et d’agences gouver­ne­men­tales. Dès lors, aussi bien SolarWinds que ses clients étaient touchés par la cybe­rat­taque, car les cybe­rat­ta­quants pouvaient accé­der libre­ment aux réseaux des clients au moyen du virus télé­chargé dans Orion, et ce pendant plusieurs mois.

Dans son action civile, la SEC reproche à SolarWinds d’avoir trompé les inves­tis­seurs sur ses pratiques en matière de cyber­sé­cu­rité et d’avoir eu connais­sance des risques qu’elle encour­rait. À l’appui de ses allé­ga­tions, la SEC dresse une liste de pratiques de SolarWinds en contra­dic­tion avec ses décla­ra­tions publiques. On y apprend que la société n’a pas main­tenu un cycle de déve­lop­pe­ment sécu­risé pour ses logi­ciels, n’a pas imposé l’utilisation de mots de passe forts sur tous ses systèmes, ou encore n’a pas remé­dié à des problèmes de contrôle d’accès permet­tant à des acteurs externes d’accéder au VPN de la société. Parmi les exemples les plus effa­rants, on peut citer l’utilisation de mots de passe par défaut comme ‘pass­word’ pour ses produits alors que sa poli­tique interne exigeait que les mots de passe soient chan­gés tous les 90 jours, aient au moins 8 carac­tères incluant au moins des majus­cules et minus­cules, des chiffres et des carac­tères non alphanumériques.

Ces vulné­ra­bi­li­tés se sont montrées au grand jour lorsque des clients de la société ont été victimes de la cybe­rat­taque. Le 14 décembre 2020, SolarWinds informe à l’aide du formu­laire 8‑K de la SEC que son logi­ciel Orion conte­nait un code mali­cieux installé par des cybe­rat­ta­quants dans le cadre d’une attaque de type supply chain. Dans les jours qui suivent cette annonce, l’action de SolarWinds chute de plus de 24%.

Fin octobre 2023, la SEC dépose une action civile se fondant notam­ment sur la Section 10(b) du Securities Exchange Act [15 U.S.C. § 78j(b)] et la SEC Rule 10b‑5 [17 C.F.R. § 240.10b‑5], inter­di­sant à toute personne de commettre une fraude à l’investissement ou de faire des décla­ra­tions publiques fausses ou trom­peuses qui influencent le cours d’une valeur mobi­lière. Dans le cadre d’une telle action, la SEC doit démon­trer (i) la faus­seté des décla­ra­tions ou qu’elles étaient incom­plètes et trom­peuses, (ii) que ces décla­ra­tions étaient suscep­tibles d’influencer un inves­tis­seur raison­nable, (iii) que l’auteur a agi avec scien­ter (notion juri­dique issue du case law améri­cain et qui se rapproche de notre notion d’intention sans être pour autant simi­laire, car le scien­ter englobe égale­ment la négli­gence fautive), et (iv) fina­le­ment le dommage. S’agissant du lien de causa­lité, le case law recon­naît une présomp­tion de la causa­lité en appli­quant la fraud-on-the-market theory.

Au vu des faits allé­gués, la SEC consi­dère que les décla­ra­tions publiques de SolarWinds étaient fausses et dépei­gnaient des pratiques en matière de cyber­sé­cu­rité autre que celles qui étaient réel­le­ment prati­quées. Selon la SEC, ces décla­ra­tions étaient d’ailleurs suscep­tibles d’influencer un inves­tis­seur raison­nable dans sa prise de déci­sion d’investissement, puisqu’un tel inves­tis­seur aurait jugé impor­tant de connaître la véri­table situa­tion en matière de cyber­sé­cu­rité, ainsi que la durée de la cyberattaque.

Partant, nous pouvons conclure que les pratiques en matière de cyber­sé­cu­rité peuvent être consi­dé­rées comme des infor­ma­tions impor­tantes pour les inves­tis­seurs au regard de la SEC, en parti­cu­lier si la société est active dans le domaine de la cyber­sé­cu­rité ou du déve­lop­pe­ment de logi­ciel. De plus, les cybe­rat­taques devraient être annon­cées au public à l’aide du formu­laire SEC 8‑K si elles peuvent avoir un impact néga­tif sur l’activité de la société, ses clients ou son image commer­ciale notam­ment. L’annonce doit d’ailleurs être la plus complète possible et présen­ter les risques qu’encourent la société, ses clients et inves­tis­seurs, sans quoi la décla­ra­tion pour­rait être consi­dé­rée comme étant trom­peuse. Récemment, la SEC a précisé sa règle adop­tée en juillet 2023 sur les inci­dents de cybersécurité.

Qu’en serait-il si un tel état de fait s’était produit en Suisse ? Plusieurs pistes de réflexion s’offrent à nous, à savoir l’art. 69 LSFin, l’art. 152 CP en lien avec l’art. 41 CO ou le régime de la publi­cité événementielle.

S‘agissant de la respon­sa­bi­lité du fait du pros­pec­tus, l’art. 69 LSFin prévoit que tout dommage à la suite d’une infor­ma­tion fausse, trom­peuse ou non conforme aux exigences légales conte­nue dans un pros­pec­tus, une feuille d’information de base ou toute commu­ni­ca­tion semblable devrait être dédom­magé. L’élément impor­tant à déter­mi­ner est de savoir si les décla­ra­tions publiques d’une société sur ses pratiques en matière de cyber­sé­cu­rité peuvent être consi­dé­rées comme étant une commu­ni­ca­tion semblable. À notre avis, ces infor­ma­tions ne devraient norma­le­ment pas être consi­dé­rées comme des commu­ni­ca­tions semblables, car elles ne sont pas en lien direct avec le pros­pec­tus d’émission de l’action. Il pour­rait toute­fois y avoir une excep­tion si le pros­pec­tus se réfère direc­te­ment à des pratiques de cyber­sé­cu­rité de la société qui opère­rait dans le domaine de la cyber­sé­cu­rité ou du déve­lop­pe­ment de solu­tions informatiques.

Un autre article inté­res­sant est l’art. 152 CP qui inter­dit à un cercle limité d’auteurs de donner de faux rensei­gne­ments au public sur des entre­prises commer­ciales afin que des tiers disposent de leur patri­moine de manière préju­di­ciable à leurs inté­rêts. Cet article vise aussi bien à proté­ger la confiance du public envers les infor­ma­tions diffu­sées que les inté­rêts patri­mo­niaux des inves­tis­seurs. Dès lors, consti­tuant une norme de protec­tion du patri­moine, la viola­tion de l’art. 152 CP peut entraî­ner une action civile au sens de l’art. 41 CO. Pour cela, il faut démon­trer que l’auteur – qui doit avoir une des carac­té­ris­tiques mention­nées à l’art. 152 CP – a donné des rensei­gne­ments faux ou incom­plets notam­ment au travers de commu­ni­ca­tions publiques ou de rapports et que ces rensei­gne­ments avaient une impor­tance consi­dé­rable, en ce sens qu’elles étaient suscep­tibles de déter­mi­ner un inves­tis­seur (raison­nable) à dispo­ser de son patri­moine. La réponse à cette ques­tion dépen­dra dès lors du cas d’espèce. Différents éléments entre­ront en ligne de compte comme le type d’information, à savoir si elle est géné­rale ou précise, le secteur d’activité de l’entreprise, la rela­tion entre l’information et l’activité de l’entreprise, l’influence que pour­rait avoir cette infor­ma­tion sur d’autres rensei­gne­ments sur l’entreprise. L’examen se fera dès lors au cas par cas.

Outre l’annonce prévue par la loi sur la protec­tion des données (cf. art. 24 LPD ; pour plus d’informations sur le devoir d’informer, voir Hirsch, Le devoir d’informer lors d’une viola­tion de la sécu­rité des données, Schulthess 2023), il est néces­saire de se deman­der si la société cotée ne devrait pas faire une annonce au sens de l’art. 53 du règle­ment SIX de cota­tion. Cette dispo­si­tion prévoit que l’émetteur informe le marché des faits surve­nus dans sa sphère d’influence et ayant une influence sur les cours. Tout fait pouvant entraî­ner des fluc­tua­tions de cours supé­rieures à la moyenne doit être divul­gué. En cas de cybe­rat­taques, la réponse – à la ques­tion de savoir si la société doit faire une annonce événe­men­tielle ou non – dépend notam­ment de son secteur d’activité, de l’impact direct et indi­rect que la cybe­rat­taque a sur ses affaires, et des consé­quences futures. Dans le cas de SolarWinds, son domaine d’activité était la cyber­sé­cu­rité. De plus, la faille utili­sée par les cybe­rat­ta­quants permet­tait d’avoir accès aussi bien aux données de SolarWinds qu’à celles de ses clients. En outre, la cybe­rat­taque a duré plusieurs mois, mobi­li­sant ainsi les ressources de SolarWinds. À notre avis, il est très vrai­sem­blable qu’une telle cybe­rat­taque aurait égale­ment dû faire l’objet d’une annonce événe­men­tielle en droit suisse, notam­ment en raison de son échelle et sa durée, des consé­quences sur les clients, et du poten­tiel dégât d’image. À noter que SolarWinds a bel et bien fait une annonce auprès de la SEC à l’aide du formu­laire 8‑K.

Ce bref exposé montre qu’il existe certaines pistes de réflexion en droit suisse en cas de diffu­sion d’informations fausses ou trom­peuses par la société sur ses pratiques internes en matière de cyber­sé­cu­rité ou sur les cybe­rat­taques. Cependant, le régime suisse de la respon­sa­bi­lité civile ne permet pas aisé­ment à l’investisseur lésé d’être dédom­magé. En effet, de nombreux obstacles de droit de fond et de procé­dure se dressent, notam­ment l’absence d’action collec­tive, la défi­ni­tion d’acte illi­cite, l’absence de présomp­tion du lien de causa­lité entre la fausse infor­ma­tion et son impact sur les cours, ou encore le calcul du dommage.

Bien que l’indemnisation de l’investisseur lésé semble peu plau­sible à l’heure actuelle au regard du droit suisse de la respon­sa­bi­lité civile, des exigences de trans­pa­rence pour la société peuvent décou­ler du régime de la publi­cité événe­men­tielle en cas de cybe­rat­taques. La néces­sité d’informer le public au travers d’une annonce événe­men­tielle devra être analy­sée au cas par cas et diffé­rents aspects devront être exami­nés, notam­ment la nature de la cybe­rat­taque, sa durée, son impact sur les affaires de la société, les ressources que la société devra mobi­li­ser, ou encore les poten­tielles consé­quences légales et réputationnelles.