Retour aux articles

Appel à la vigilance du CNB sur la sécurité numérique des cabinets d’avocats

Tech&droit - Données
20/03/2018
Faire prendre conscience aux avocats des enjeux de la cybersécurité. C’était l’un des axes de la campagne de Christiane Féral-Schuhl pour l’élection à la présidence du Conseil national des barreaux (CNB). Un point de vigilance inscrit à l’ordre du jour de l’AG du CNB des 16 et 17 mars dernier, qui avait convié Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
L’agenda était chargé, Chantiers de la justice obligent. Pourtant, pendant près de trois quarts d’heure, Guillaume Poupard a livré sa vision des dangers auxquels expose le numérique, particulièrement pour une profession soumise au secret professionnel.
 
La sécurité numérique, phase sombre du développement numérique
« Tout ce qui est numérique est attaquable », a rappelé Guillaume Poupard. Une étude de Thalès publiée en janvier dernier souligne l’ampleur des attaques dans le monde (Thalès, Rapport 2018 sur les menaces informatiques, 22 janv. 2018). Elle révèle, par exemple, que rien que pour l’année 2017, 26 % des entreprises ont vu leurs données piratées. Et 67 % des entreprises sondées affirment avoir déjà fait face à une attaque. Un chiffre en constante progression. Et difficile d’imaginer que les attaques s’arrêtent aux portes des cabinets d’avocats…
 
Guillaume Poupard a ainsi fait remarquer que « par le biais d’une attaque informatique, on peut toucher un maximum de victimes. Et l’archétype de ce type d’attaque, ce sont les rancongiciels ou ransomwares ». Tout un modèle économique s’est construit derrière ces attaques qui fonctionnent en trois étapes : l’attaquant accède aux informations des entreprises, les chiffre et propose d’y ré-accéder par le biais du paiement d’une rançon, dont le montant n’est pas particulièrement élevé (100-300 euros) mais qui, démultiplié par le nombre de victimes, s’élève rapidement à plusieurs centaines de millions d’euros (v. l’attaque Wanacry, au printemps 2017). Des criminels qui opèrent depuis des pays très lointains, sans convention d’extradition la plupart du temps.
 
Deuxième modèle d’attaque, le vol d’informations (renseignements économiques et stratégiques sur les petites et grandes entreprises). « Et cela, on en parle très peu », a souligné Guillaume Poupard (l’ANSSI traite une vingtaine de cas très graves par an). Ce vol d’informations est difficile à détecter parce que l’attaquant fait tout pour rester discret et récupérer le maximum d’informations. Des victimes qui ne savent même pas, la plupart du temps, que leurs données sont pillées. Le nombre d’attaques est donc largement sous-estimé. « Le vol d’informations, ce n’est pas réservé aux grandes administrations ou aux grandes entreprises », a tenu à préciser le directeur général de l’ANSSI ; « aujourd’hui, n’importe qui peut se faire voler des données. Et ces attaques peuvent porter gravement atteinte au secret professionnel ». D’autant que des acteurs se spécialisent actuellement dans le vol des données personnelles, bancaires, etc.
 
Enfin, troisième type de menace, la plus grave pour l’ANSSI, l’atteinte au fonctionnement de certains systèmes (transports, énergie, télécommunications, etc.) et les attaques contre les démocraties (manipulation des élections).
 
Cet environnement de menaces en mutation rapide suppose une agilité dans les stratégies de sécurité, faute de quoi le nombre d’attaques continuera à augmenter.
 
Mais comment fait-on, concrètement, pour se protéger ? La plupart du temps, a expliqué le directeur de l’ANSSI, les attaques ne sont pas sophistiquées et une protection assez élémentaire permet de se protéger de beaucoup de menaces. Plusieurs points sont à retenir :
– la cybersécurité, c’est un sujet de gouvernance et non un sujet réservé aux experts ;
– il faut former les utilisateurs à des règles simples (gestion des mots de passe, par exemple) ;
– il faut concevoir la sécurité numérique dès la mise en place des systèmes d’information (cybersécurité by design) ;
– il faut garder à l’esprit que l’on ne peut pas se protéger contre toutes les attaques (anticipation de ces attaques, réaction, préparation du maintien de la production, etc.).
 
Guillaume Poupard a cité un exemple qui permet de bien comprendre les enjeux, celui de Saint-Gobain : pendant quinze jours, en juin 2017, cette entreprise n’a plus eu d’informatique. Ce qui lui a coûté 80 millions d’euros de résultat d’exploitation…
 
La cybersécurité appliquée aux cabinets d’avocats
Une sécurité numérique à laquelle les avocats ne sont pas assez sensibilisés. La présidente du CNB a souhaité insister sur ce sujet, rappelant, en outre, que « les avocats, à partir du 25 mai prochain, ont une double responsabilité, celle d’alerter leur client sur le fait que, en cas de faille de sécurité, ils ont l’obligation de notifier ces failles et de s’assurer que dans leur cabinet ils sont à un bon niveau de sécurité ».
 
« Nous sommes défenseurs du secret professionnel, ce qui suppose d’avoir un niveau de sécurité particulier », a ainsi martelé Christiane Féral-Schuhl, qui explique désormais avoir « de plus en plus de clients qui nous demandent quel est le niveau de sécurité que nous avons avant de nous confier des dossiers ». Une exigence renforcée par le fait que les entreprises sont tenues de vérifier que les sous-traitants (et les avocats peuvent être considérés comme tels dans certains cas, en tant que détenteurs de données) respectent ces obligations.

En cas de découverte d'une faille chez leur client ou au sein de leur cabinet, l'avocat est tenu de la signaler ou bien à la CNIL ou bien à l'ANSSI. Il existe en effet deux dispositifs d’alerte, fonction de la nature de l'attaque :
– incidents concernant les données personnelles : obligation de notification à la CNIL ;
– failles de sécurité concernant les systèmes d’information (opérateurs d’importance vitale et opérateurs de services officiels) : obligation de notification à l’ANSSI.

Une sécurité numérique qui figure souvent au bas de la liste des priorités budgétaires des cabinets, alors même qu’elle met gravement en péril les données clients…
Source : Actualités du droit