Lausanne (awp/ats) - Le Tribunal fédéral rejette le recours d'un assureur britannique qui refusait de verser une rançon à la suite d'une cyberattaque visant le groupe Garmin. L'assureur affirmait qu'il s'exposerait ainsi à des sanctions car les auteurs présumés étaient un groupe de pirates russes visés par le gouvernement américain.

Le 22 juillet 2020, une partie des systèmes exploités par Garmin avaient été mis hors service à la suite d'une attaque au moyen d'un ransomware (logiciel de rançon). Les auteurs avaient exigé une rançon de 1500 bitcoins (environ 13,5 millions de francs suisses à l'époque) contre la remise d'un code de déchiffrage.

Garmin avait mandaté une société de gestion des risques pour négocier et s'était tournée vers ses assureurs pour obtenir un remboursement. Le blocage avait duré 5 jours et occasionné des dommages estimés à 15 millions de dollars à la société de services informatiques.

Risque de sanctions

L'une des compagnies avait refusé en invoquant une réserve du contrat d'assurance: en versant une rançon, elle se serait exposée à des sanctions des autorités américaines. En effet, selon l'assureur, l'attaque était l'oeuvre d'Evil Corp, des pirates russes inscrits sur une liste de blocage du Secrétariat américain aux finances. Il se fondait sur le logiciel Wasted-Locker, similaire à ceux utilisés par ce groupe, ou sur leur manière de procéder.

Cette interprétation a été rejetée par le Tribunal du commerce zurichois devant lequel le différend a abouti. Celui-ci a considéré que les indices retenus par l'assureur ne permettent pas de déduire de manière irréfutable l'implication d'Evil Corp. En outre, il n'a pas été établi que la participation à la rançon payée par son client entraînerait forcément des sanctions outre-Atlantique.

Dans un arrêt publié lundi, le Tribunal fédéral se rallie à l'argumentaire de la justice zurichoise et rejette le recours de l'assureur. (arrêt 4A_206/2023 du 17 août 2023)

ats/vj