La Cybersécurité est un sujet clé pour les métiers du Droit ! Deux conférences vous sont d’ailleurs proposées les 5 et 6 octobre à Paris dans le cadre du Congrès "RDV des Transformations du Droit", une "Conférence sur la cybersécurité des Avocats" animée par l’auteur de cet article, Pierre-Xavier Chomiac de Sas pour l’Incubateur du Barreau de Paris avec le responsable de la sécurité des systèmes d’information du Barreau de Paris, et "La gestion de crise en cas d’attaque Cyber de cabinets d’avocats" par le Cercle Informatique Juridique (CIJ).
Cette numérisation de l’avocat emporte toutefois un questionnement légitime quant à la sécurité de son activité en ligne et les moyens mis en place par les professionnels du droit [1] : la cybersécurité.
Avec l’émergence d’internet et des mouvements de globalisation des échanges, la délinquance numérique a tiré parti des nouveaux espaces de liberté en ligne pour usurper, frauder, escroquer, espionner ou contrefaire [2]. Phénomène en croissance exponentielle, les attaques informatiques à destination des sociétés et particuliers touchent également la profession d’avocat, indépendamment de la taille ou des spécialités exercées.
Les cyberattaques représentent un enjeu majeur pour l’ensemble de la profession aussi bien par leur nombre que leurs conséquences (I).
Les moyens de lutte et de défense contre ces infractions doivent s’analyser comme un devoir pour l’avocat au regard de ses missions et obligations professionnelles (II).
I. Les cyberattaques : un enjeu pour l’avocat.
Depuis plusieurs années, les attaques informatiques font souvent la une et l’actualité et touchent une variété d’entités - services publics, associations, sociétés. Souvent méjugées, l’existence des actes de piratage et hacking informatiques (A) et de ses risques pour les avocats (B) est avéré.
A. Une réalité pour l’avocat.
Évoquées depuis plusieurs années par les spécialistes informatiques, les cyberattaques touchent l’ensemble des professionnels. Au centre de ces tentatives d’intrusion, l’atteinte aux outils de production et/ou le vol d’informations critiques qui pourront donner lieu alternativement ou cumulativement au paiement de rançons et ou de revente sur des plateformes anonymes au plus offrant [3].
Du fait de son rôle, l’avocat est détenteur d’informations dont la confidentialité est un enjeu majeur à la fois pour ses clients et pour le cabinet. Malgré une relative opacité quant aux chiffres exacts d’attaques et de transactions discrètes, ces dernières années ont été marquées par une augmentation importante des attaques informatiques contre les professionnels du droit, un groupe de pirates baptisés « Everest Ransomware Groupe » s’étant spécialisé dans les attaques spécifiquement axées contre les cabinets [4].
Le récent cas du cabinet américain Grubman Shire Meiselas & Sacks est significatif. Victime d’un rançongiciel paralysant son activité, il s’est vu réclamer par un groupe de hackeurs le paiement d’une somme de quarante deux millions de dollars pour déverrouiller les données dérobées. Par suite du refus de payer, une partie des données a été mise en ligne occasionnant des conséquences en cascade pour le cabinet et ses clients [5], pour la plupart stars ou personnalités médiatiques.
Outre la recherche aléatoire, l’intérêt des hackeurs peut être plus spécifiquement motivé par la recherche d’éléments liés à des affaires médiatiques traitées [6], la notoriété des clients [7], des dossiers sensibles [8]. Cette pression croissante des pirates informatiques pour la recherche d’informations confidentielles fait peser sur les avocats un poids souvent mal appréhendé quant aux risques qu’ils impliquent.
B. Un risque pour l’avocat.
L’appréhension des risques constitue un besoin majeur pour les avocats. Il implique a minima une introspection sérieuse d’une part quant aux données présentes au sein du cabinet qui peuvent révéler l’exposition réelle à des attaques cyber et d’autre part quant à l’aléa humain, variant selon la taille les outils et matériels mis à disposition, la sensibilisation et responsabilité des membres. Les informations administratives des clients, correspondances et échanges, consultations et note explicatives, contrats, accords confidentiels, protocoles transactionnels sont autant de données pouvant justifier des tentatives d’intrusion.
De fait, ces attaques sont protéiformes aussi bien par les moyens techniques utilisés - logiciels malveillants et virus, vol ou perte de matériel informatique, hameçonnage, écoutes illicites et autres modes d’intrusion par tromperie - que par leurs objectifs et motivations - financières, idéologiques, politiques, économiques, concurrentielles, etc.
Par ailleurs, les conséquences souvent négligées d’une attaque informatique peuvent être considérables pour un cabinet, en termes de pertes financières, de capacité opérationnelle pour la poursuite de l’activité, de l’altération de la confiance avec les clients et partenaires, de réputation et nécessairement de responsabilité.
II. La cybersécurité : un devoir de l’avocat.
Les instances ordinales encouragent la sensibilisation et formation des avocats pour se familiariser avec la cybersécurité et s’approprier les actions à mettre en place en cas d’attaque [9].
Derrière l’avocat victime d’une attaque informatique, vient poindre l’enjeu des éventuelles négligences ou fautes de l’avocat soulevant les questions de sa responsabilité (A) et de sa protection (B).
A. Une responsabilité prévisible de l’avocat.
Le devoir de cybersécurité de l’avocat peut se concevoir comme un prolongement des obligations déontologiques existantes dans le monde réel. De fait, les principes essentiels notamment l’obligation de diligence et de prudence à l’égard des clients (Art. 1.3 RIN), le secret professionnel vis-à-vis des clients (Art. 2 RIN) ainsi que la confidentialité des échanges notamment entre confrères (Art. 3.1 RIN) sont autant d’éléments imposant à l’avocat la mise en place de moyens adéquats pour assurer leur respect. Tandis que la portée du secret professionnel de l’avocat est actuellement contestée par plusieurs dispositions législatives notamment en matière fiscal et pénale, l’application de mesures technologiques pour garantir sa sécurité apparait indispensable [10].
Corollaire de ces obligations, la recherche de la responsabilité de l’avocat par un client, un confrère ou une autorité compétente sur la base d’un manquement déontologique est plausible avec les conséquences disciplinaires qu’elles peuvent impliquer. Outre les aspects règlementaires, la responsabilité civile de l’avocat pourra également être recherchée sur la base des conséquences de l’attaque et des préjudices subis par les victimes.
Des dispositions complémentaires peuvent également engager l’avocat dont les données sous sa garde seraient dérobées. Le Règlement Général sur la Protection des Données (RGPD) impose par exemple des obligations aux avocats en tant que responsables de traitements de données à caractère personnel. Sous le contrôle de la CNIL, l’analyse des obligations de sécurisation et protection des données concernées pourrait aboutir à des amendes conséquentes ainsi que des peines complémentaires notamment la publicité des sanctions et manquements.
Il revient à l’avocat de se prémunir contre de telles conséquences dans le cadre de son activité professionnelle aussi bien par des moyens techniques que des garanties financières.
B. Une protection nécessaire de l’avocat.
L’externalisation informatique et le système assurantiel sont mis en avant comme outils permettant de sécuriser l’activité des avocats. Certains auteurs encouragent même la mise en place de politiques de cybersécurité comme un avantage concurrentiel pour la profession (Voir l’article La cybersécurité, cet avantage concurrentiel méconnu des cabinets d’avocats. ). Le recours à des prestataires spécialisés pour la gestion, l’audit régulier (Voir Meyer M., L’audit cyber pour les cabinets d’avocats : comment et pour quoi faire ?, Journal du Village de la Justice n° 91, p. 34), l’assistance et la maintenance des systèmes d’informations favorisent de fait un niveau convenable de prévention contre des risques d’intrusion.
Le contrat d’assurance responsabilité civile professionnelle couvre à ce jour partiellement et de manière détournée les cyberattaques via certaines situations spécifiques notamment en cas de violation de données à caractère personnel ou d’inexécution contractuelle liée à une indisponibilité des données ou des systèmes d’information (Voir l’article L’assurance cyber des cabinets d’avocat.). Des réserves demeurent quant à l’interprétation des clauses actuelles et la potentielle responsabilité de l’avocat en matière de sécurité pouvant exonérer l’assureur. La plupart des acteurs du marché encouragent à ce titre la signature d’un contrat dédié au risques cyber pouvant couvrir la responsabilité professionnelle, les conséquences techniques de l’attaque et la prise en charges des ressources techniques de sécurisation et continuité/relance d’activité.
De la même manière, il semble certain que les mesures de précaution et protection de l’avocat en matière de cybersécurité auront un impact sur la prise en charge par l’assureur des dommages : le chiffrement des données, la gestion des accès et niveaux d’habilitation des membres, l’installation et utilisation de logiciels antivirus et pare-feu à jour sur l’ensemble des systèmes d’information, la sauvegarde et sécurisation régulière des données, la sensibilisation et formation des membres, l’existence de PCA/PRA, etc.
Il revient aux avocats de s’approprier l’ensemble des outils nécessaires pour lutter efficacement contre ce fléau numérique grandissant.