Extrait du Dossier Cybersécurité

[Cybersécurité] Professionnels du droit : comment mettre en place les bonnes pratiques dans vos structures ?

Assurer la sûreté numérique n’est pas juste une question de sécurité technique des équipements et des logiciels. « Le sujet est encore trop souvent vu sous un angle technique alors qu’il est essentiellement organisationnel » [1]. Il s’agit également d’éviter les erreurs et imprudences humaines qui sont bien souvent à l’origine des incidents cyber. Mais être sensibilisé à la cybersécurité et rester vigilant est à la portée de chacun. Il suffit d’acquérir de bons réflexes et habitudes de sécurité, dans le monde virtuel, comparables à ceux que nous avons déjà dans le monde réel. En adoptant de bonnes pratiques, simples à mettre en œuvre, les membres du cabinet d’avocats (ou de toute autre structure du droit) deviennent un maillon fort de sa sécurité.

Note aux lecteurs... Mode d’emploi de lecture...

Cet article a été publié dans le numéro spécial du Journal du Village de la Justice n°92 consacré à la Cybersécurité des cabinets d’avocats (seconde partie).

Vous trouverez ici la dernière partie de ce dossier consacré aux bonnes pratiques et au mesures à mettre en place pour assurer votre sûreté numérique.

Pour chaque thème, le sommaire vous est proposé, il vous reste à cliquer sur le sous-titre (flèche orange et police bleue) pour le déplier et en découvrir le contenu !

Bonne lecture !

C’est donc ce but que de nombreux guides sont édités pour prodiguer des conseils en matière de bonnes pratiques numériques [2].

L’idée est ici de regrouper ces recommandations qui, pour la plupart, sont de simples piqûres de rappel. Bon nombre d’entre elles ont d’ailleurs déjà été mises en pratiques dans le cadre de la mise en conformité au RGPD. Mais prudence est, paraît-il, mère de sûreté et si ces mesures sont parfois contraignantes, nul doute que le jeu en vaudra tôt ou tard la chandelle !

Gérer ses mots de passe.

« Pourquoi faire simple, quand c’est si simple de faire compliqué... »

Laissez-vous traîner vos clefs n’importe où ? Laissez-vous vos clés sur le contact en sortant de votre véhicule ? Confiez-vous les clés de votre domicile ou de votre bureau à une personne qui n’est pas de confiance ? Avez-vous noté le code de votre carte bancaire sur un papier rangé avec la carte elle-même ? Non bien sûr ! Ce sont rigoureusement des réflexes de même type et de bon sens qui doivent être adoptés en ce qui concerne les mots de passe.

1) Choisir des mots de passe robustes. - Cliquez pour lire ;)

Les mots de passe robustes sont ceux qui sont difficiles à deviner ou à retrouver avec l’aide d’outils automatisés. Exit donc, le prénom des enfants, sa propre date anniversaire ou son groupe de musique préféré, ainsi que les suites logiques simples comme 123456, azerty, abcdef...

Pour créer un mot de passe solide, deux méthodes sont conseillées. Avec celle « des premières lettres », la phrase « Un tiens vaut mieux que deux tu l’auras » donnerait « 1tvmQ2tl’A ». Avec la méthode phonétique, « J’ai acheté huit CD pour cent euros cet après-midi » donnerait « ght8CD%E7am ». Libre à chacun, bien sûr, d’inventer sa méthode, en veillant, idéalement, à ce que les mots de passe soient composés de 12 caractères (au minimum) et de type différent (majuscules, minuscules, chiffres et caractères spéciaux).

2) Utiliser un mot de passe différent pour chaque service.

En utilisant un mot de passe (robuste) différent pour chacun des outils et services, vous cloisonnez les comptes. Ainsi, en cas de piratage d’un des codes d’accès, les autres ne seront pas exposés. En particulier, il est hautement recommandé de ne pas utiliser le même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle (qui ne doivent pas être les mêmes...). En cas de doute sur la sécurité de l’un des comptes ou si un partenaire chez qui vous avez un compte s’est fait pirater, changer immédiatement le mot de passe concerné est résolument une bonne habitude à prendre.

3) Recourir à un gestionnaire de mots de passe.

Des mots de passe robustes et différents pour chaque service certes, mais humainement, il est impossible de tous les retenir ! Les noter sur un pense-bête (qui reste à proximité de l’ordinateur), les inscrire dans un fichier non protégé, les enregistrer dans son téléphone mobile ou se les expédier par e-mail, c’est certes pratique, mais imprudent.

Des solutions techniques existent fort heureusement pour nous y aider. Il est possible d’utiliser les gestionnaires de mots de passe des navigateurs Internet, qui chiffrent les données, permettent un remplissage automatique et se synchronisent entre les différents appareils. Mais l’accès à ce gestionnaire n’est pas, lui, forcément protégé.

C’est donc l’utilisation d’un gestionnaire de mot de passe sécurisé qui s’avère être la meilleure solution : avec un seul mot de passe à retenir et à saisir, il est possible d’accéder à tous les autres. Il est néanmoins préférable de ne pas utiliser n’importe lequel de ces "trousseaux de clés". S’il venait lui-même à être compromis, ce sont tous les codes d’accès qui seraient vulnérables... Un vrai cauchemar ! L’ANSSI incite à l’utilisation de Keepass, petit logiciel certifié, gratuit, et en français, permettant à la fois de stocker ses propres mots de passe en sécurité et de générer des mots de passe complexes aléatoires.

4) Garder le silence !

Pour être efficace, un mot de passe doit rester secret. Raison pour laquelle il ne faut pas les noter sur un support accessible facilement, de la même manière que l’on ne laisse pas « traîner » n’importe où les documents confidentiels. Dans ce cadre, deux bonnes pratiques sont à observer :
- La première est de ne jamais partager son mot de passe oralement ou par écrit, même pour des opérations de maintenance ou de dépannage informatique. D’ailleurs, si cela était demandé, ce serait peut-être l’occasion de s’interroger sur le professionnalisme du prestataire...

- En cas d’utilisation d’un appareil partagé ou public (salons professionnels, cybercafé, déplacements...), il faut configurer les navigateurs web, pour qu’ils ne se « souviennent » pas des mots de passe et utiliser le mode de navigation privée sur le web. Idéalement, il faudrait même changer tous les mots de passe utilisés sur l’ordinateur partagé dès que l’on a à nouveau accès à un ordinateur de confiance.

5) Du côté de la gouvernance de la structure.

Outre le rappel de ces règles « de droit commun » à tous les membres de votre structure, il est nécessaire de toujours modifier les éléments d’authentification définis par défaut sur les équipements (identifiants et mots de passe des box, ordinateurs, imprimantes, serveurs...). Il est aussi opportun de définir des règles de choix et de dimensionnement des mots de passe et d’instaurer une politique de renouvellement avec une fréquence raisonnable (par exemple tous les 90 jours). Pour les systèmes et supports contenant des données et informations sensibles/critiques, il est fortement recommandé de verrouiller les accès à double, voir à triple tour, avec une authentification forte (en plus du mot de passe : code provisoire par SMS, biométrie, réponse à une question secrète, etc.).

Sauvegarder ses données.

« Deux précautions valent mieux qu’une... »

L’immense majorité des avocats sauvegarde bien sûr régulièrement ses données [3]. Mais qui n’a jamais supprimé définitivement un fichier par erreur, enregistré la mauvaise version d’un document, fait une fausse manipulation, perdu une clé USB ou renversé sa tasse de café sur son ordinateur ?

Les causes de perte des données sont multiples : dysfonctionnement du système d’information, destruction, détérioration, perte, vol, démagnétisation du matériel, cyberattaque, sinistre (inondation, incendie). Pour éviter qu’elle ne soit irréversible et afin d’assurer la continuité de l’activité, il est important d’effectuer des sauvegardes régulières des données. Bon nombre de solutions existent sur le marché, qu’il convient d’étudier en fonction des besoins propres à la structure. Mais dans tous les cas, il est recommandé de prévoir plusieurs leviers : sauvegarde manuelle et automatique, sauvegarde sur des supports physiques classiques et à distance. Deux précautions valent mieux qu’une !

1) Déterminer les données à sauvegarder et la fréquence des sauvegardes. Cliquez pour lire ;)

Toutes les données n’ont pas besoin d’être sauvegardées avec la même fréquence, ni même d’être, toutes, sauvegardées. En cas de doute, se poser les trois questions suivantes permet de se décider :
- Quelles sont les données que j’utilise le plus souvent ?
- Quelles sont les données dont la disparition empêcherait la poursuite de l’activité ?
- Quelles données ne peuvent pas être récupérées par ailleurs en cas de perte ?

Avec un peu d’autodiscipline, l’habitude sera prise de ne pas enregistrer les fichiers contenant des informations sensibles sur le « bureau » de l’ordinateur, mais sur son disque dur. Cela facilitera la récupération en cas de panne. Ces fichiers sensibles ne seront pas non plus présents sur les espaces de stockage partagés avec les autres utilisateurs de la structure. Il sera aussi préférable de les stocker sur un espace régulièrement sauvegardé de manière automatique, accessible via votre propre réseau.

En ce qui concerne la fréquence des sauvegardes, il est certain qu’elles doivent l’être « régulièrement ». Quotidienne, hebdomadaire, mensuelle : la périodicité dépendra notamment de la fréquence de la modification des données et des risques auxquels la structure est exposée. Il faut quantifier la « perte de données maximale admissible », en s’interrogeant sur les conséquences que pourrait avoir la perte des données modifiées depuis leur dernière sauvegarde. Il pourra par exemple s’agir d’une sauvegarde différentielle chaque soir de la semaine et d’une sauvegarde complète juste avant le week-end. Ce qui compte, c’est de planifier les sauvegardes à échéance régulière, en fonction des besoins et de vérifier de temps en temps que tout est bien sauvegardé.

2) Utiliser un support de stockage externe ou le cloud computing.

La sauvegarde manuelle des données peut se faire en les copiant sur un support amovible. Les disques durs externes seront à privilégier par rapport aux clés USB et aux cartes mémoire, qui se perdent très facilement et sont vecteurs d’une grande majorité des incidents. Elles seront donc davantage utilisées pour le transfert des fichiers d’un appareil à un autre plutôt que pour sauvegarder des données. En outre, de la même manière que certains objets du quotidien sont à usage personnel, il est recommandé d’être le seul utilisateur du support et de le réserver exclusivement à l’usage pour lequel il est destiné.

L’informatique en nuage (cloud computing) est « un mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire » [4]. Il s’agit d’une « forme particulière de gérance informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients ». Cela renvoie à une large palette d’offres de services qui s’appuient sur de telles architectures à distance. En matière de sauvegarde des données comme ailleurs, il n’est pas utile d’« opposer sécurité et externalisation. En effet, le recours à un prestataire peut permettre de pallier l’absence ou l’insuffisance de moyens internes, à condition que le prestataire s’engage sur la sécurité » [5].

En dépit de ses avantages, notamment en termes de coût et de facilités d’utilisation, les risques sont en effet assez nombreux : perte de la maîtrise du système d’information (gouvernance des choix techniques, sous-traitance, dépendance technologique), risques liés à la mutualisation des données (pour assurer la confidentialité des données, il faut notamment les chiffrer avant de les copier dans le cloud) et dangers liés à la localisation des données (principe de territorialité : il sera préférable de s’assurer que les données sensibles restent sur des serveurs exclusivement situés en France ou dans un État membre de l’Union européenne).

3) Protéger, vérifier et tester les sauvegardes.

C’est certain, des sauvegardes compromises ne servent à rien. Il est donc important de protéger les sauvegardes de la même manière que les données originales. S’il s’agit de données sensibles, les chiffrer et/ou en limiter l’accès avec un mot de passe (robuste et unique) ne sera pas une précaution superflue.
En outre, pour éviter la disparition de la copie de sauvegarde en même temps que celles d’origine (sinistre ou vol du support externe en même temps que l’ordinateur portable), il est préférable de stocker les supports de sauvegarde amovibles dans un endroit sûr, éloigné de l’ordinateur avec les données d’origine. Il faut aussi avoir à l’esprit que les sauvegardes peuvent elles-aussi être affectées par un rançongiciel ou un virus informatique. Raison pour laquelle les supports amovibles doivent être non seulement analysés régulièrement, mais aussi déconnectés du système d’information ou mis hors ligne après usage.

S’agissant du cloud, une attention toute particulière sera évidemment portée aux conditions de cybersécurité et à la localisation des données. Il conviendra également de bien s’assurer de la présence d’une clause de réversibilité dans le contrat, qui permettra de retrouver, à sa convenance, l’intégralité des données dans leur dernier état de sauvegarde.

4) Du côté de la gouvernance du cabinet.

Pour être en mesure de gérer efficacement la problématique de la restauration des données, il est recommandé de définir une politique de sauvegarde applicable par tous les membres du cabinet. Ce plan de sauvegarde définira ce qui doit être sauvegardé, quand, par qui et comment. Il permettra de choisir les solutions de stockage externes et/ou en ligne qui seront utilisées au sein du cabinet, en fonction de ses besoins, de la taille des fichiers à conserver, de la fréquence de sauvegarde nécessaire, du prix des solutions et des risques inhérents à la solution choisie. Il abordera aussi la durée de la conservation des sauvegardes, le nombre de versions à conserver, la gestion de l’obsolescence du matériel, les règles communes relatives à l’organisation des fichiers et des espaces de stockage. Il prévoira aussi des tests réguliers de la qualité des processus de restauration des sauvegardes mis en place.

Sécuriser le système d’information.

« Pour vivre heureux vivons cachés... »

À la maison ou au bureau, vous ne laissez pas la porte ou les fenêtres ouvertes en permanence ; vous avez peut-être même fait installer une porte blindée. Vous vous assurez d’avoir fermé à clé et allez de temps en temps vérifier que l’accès à la cave est bien verrouillé. Vous disposez peut-être d’un coffre-fort pour vos objets et documents de valeur. Vous n’appréciez pas que vos voisins vous espionnent par la fenêtre ou que votre propriétaire puisse accéder chez vous sans votre consentement. Vous connaissez le principe d’une valise diplomatique. Vous respectez les zones interdites au public dans les établissements concernés... Tous ces réflexes de sécurité sont évidents dans le monde physique ; ils sont à transposer dans le monde numérique.

1) Protéger les postes de travail et les équipements mobiles. Cliquez pour lire ;)

Le premier des gestes simples à adopter pour sécuriser son ordinateur est de penser à verrouiller sa session de travail manuellement lorsque l’on quitte son bureau ou de paramétrer cette action pour qu’elle se fasse automatiquement en l’absence d’utilisation pendant un certain temps. Cela permet d’éviter que n’importe qui puisse accéder aux données stockées sur l’ordinateur et les serveurs du cabinet ou à la messagerie électronique de l’utilisateur imprudent. C’est exactement la même logique qui conduit à ranger les dossiers papier contenant des données sensibles à l’abri des regards, voire sous clef.

La protection de l’ordinateur est principalement assurée par l’antivirus, qui, s’il n’est pas déjà présent, doit être installé sur l’ordinateur, les tablettes, voire les smartphones. Il va vérifier, scanner les fichiers et les éléments cherchant à s’installer sur l’ordinateur et, le cas échéant, neutraliser le malware détecté. Les solutions sur le marché sont variables, à la fois en termes de coût et de fiabilité, même si aucun antivirus n’est infaillible.
Il n’est néanmoins pas utile de multiplier les antivirus, qui pourraient entrer en
conflit les uns avec les autres.

Utiliser les versions les plus récentes des logiciels, des navigateurs web, des applications, etc., et désinstaller les versions obsolètes seront aussi des mesures efficaces pour garantir la sécurité. Les modifications apportées par les éditeurs et fabricants peuvent en effet non seulement procurer une nouvelle expérience utilisateur (design, fonctionnalités, etc.), mais aussi apporter d’importants correctifs pour remédier à des failles de sécurité.

Comme nous l’avons déjà évoqué, les cybermenaces évoluent très vite et chaque faille de sécurité est susceptible d’être exploitée à mauvais escient. Pour que les dispositifs fonctionnent efficacement, il est donc indispensable de les maintenir à jour. L’application de ces « patchs » ne doit pas être négligée, même si l’opération est parfois contraignante (redémarrage de l’ordinateur, durée). Il est tentant de les ignorer ou de les repousser indéfiniment, alors qu’il suffit de les planifier pendant les périodes d’inactivité (déjeuner, réunion, la nuit...). Si le téléchargement et l’installation automatique ne sont pas activés (recommandé), il faudra faire preuve d’une attention particulière pour le téléchargement de la mise à jour, en ne consultant que le site internet officiel du développeur ; cela limitera les tentatives de phishing, qui réorientent l’utilisateur vers de « faux » sites de mise à jour (fake downloader).

2) Sécuriser et cloisonner les accès au système d’information.

Un système d’information doit être sécurisé pour réduire les conséquences d’une cyberattaque et limiter les risques de fuites de données. Vis-à-vis de l’extérieur et de l’intérieur, les accès doivent être réservés aux seules personnes qui ont le « droit d’en connaître ». Pour cela, il faut empêcher les intrusions par des personnes qui n’appartiennent pas ou plus au cabinet et restreindre les possibilités d’accéder aux différents espaces dans lesquels sont stockées les données.

Pour protéger le système d’information contre les connexions extérieures non autorisées, le plus efficace est l’utilisation d’un pare-feu (firewall), souvent préinstallé sur les ordinateurs. Il va agir comme un bouclier pour filtrer les connexions et surveiller le trafic informatique vers ou depuis le système. C’est une sorte de garde-frontières. Si un malware parvenait à contourner cette barrière, l’antivirus pourrait, dans certains cas, prendre le relai. Une intrusion pourrait donc malgré tout se produire. Compte tenu des enjeux de la cybersécurité pour des cabinets d’avocat, d’autres outils plus complets et plus efficaces [6] seront donc avantageusement installés.

Il est aussi généralement recommandé de contrôler les accès physiques aux locaux du cabinet lui- même, et de doter les salles hébergeant les serveurs informatiques et les éléments du réseau, de dispositifs de sécurité (habilitation, digicode, badge nominatif, etc.). Ce dernier cas ne concernera évidemment pas la quasi-totalité des cabinets, mais elle reste concevable pour les très grandes structures et les espaces de coworking.

La sécurisation des échanges passera aussi, le cas échéant, par celle du Wi-Fi du cabinet. La configuration de la box Internet, au besoin avec l’assistance technique du fournisseur d’accès, se fait en se connectant à l’interface de configuration : modification de l’identifiant de connexion et du mot de passe par défaut, vérification du protocole de chiffrement (WPA2 et non WEP ; modification de la clé de connexion par défaut, activation du pare-feu de la box, etc. Il n’est en outre pas recommandé de laisser les clients, fournisseurs ou autres tiers se connecter au réseau internet du cabinet. Si cela était impératif, il faudrait préférer installer une borne d’accès dédiée.

Par ailleurs, une sage précaution est de cloisonné les espaces sur lesquels sont stockées les données. En cas d’intrusion (ou de panne), la segmentation du réseau permet de la cantonner au seul sous- ensemble qui la subit. On sépare donc ce qui est public (par exemple les programmes permettant de gérer le site internet du cabinet), de ce qui est « privé » (les applications utilisées par tous les membres du cabinet) et de ce qui est confidentiel (documents comportant des données confidentielles, comptabilité du cabinet, supports RH, etc.). On utilise plusieurs serveurs (serveur de fichiers, serveur de messagerie, serveur web, serveur administration, serveur cloud, etc.). Comme le dit la sagesse populaire, « on ne met pas tous ses œufs dans le même panier » et « on ne mélange pas les torchons et les serviettes » !

Le cloisonnement permet également de pouvoir limiter l’accès aux ressources au sein même du cabinet. En effet, il importe aussi de protéger les données contre les utilisations et accès inappropriés en interne. Pour cela, il faut d’abord s’assurer que chaque utilisateur autorisé est doté d’un identifiant qui lui est propre : exit donc les comptes partagés, qui sont des pratiques courantes et les codes d’accès génériques utilisés par tous les membres du cabinet. L’affaire Snowden suffit à se convaincre de la nécessité de lutter contre les échanges de mots de passe... Outre les risques de fuite vers l’extérieur, ces pratiques ne favorisent pas la traçabilité des opérations permettant, le cas échéant, d’identifier un accès frauduleux, une utilisation abusive des données ; elles ne permettent pas de déterminer l’origine d’un incident. Il faut ensuite s’assurer que chacun puisse accéder aux données dont il a besoin pour l’exercice de ses fonctions, mais uniquement à celles-ci. La logique de restriction des permissions d’accès est la même que celle adoptée lors de la mise en conformité au RGPD, mais il faut l’étendre à toutes les autres données détenues par le cabinet. La confiance n’exclut pas le contrôle !

L’état des lieux complet du patrimoine informationnel du cabinet et l’inventaire exhaustif des comptes utilisateurs, maintenus à jour, seront donc des outils précieux. Enfin, les recrutements évoluant régulièrement dans la majorité des cabinets, au gré notamment des promotions d’élèves-avocats, il est recommandé de formaliser des procédures d’arrivée, de départ et de changement de poste pour ce qui concerne le système d’information. En plus de la gestion des accès physiques aux locaux et de l’affectation/restitution des équipements mobiles, il faudra donc penser à la création/suppression des comptes informatiques et messageries, à l’attribution/ retrait des droits d’accès aux documents sensibles et au transfert/modification des mots de passe.

3) Chiffrer les données et les échanges électroniques.

Comme le souligne la CNIL, « la messagerie électronique ne constitue pas un moyen de communication sûr pour transmettre des données personnelles, sans mesure complémentaire ». Outre les fréquentes erreurs de destinataires, il faut bien avoir conscience que toute entité ayant accès aux serveurs de messagerie concernés (notamment ceux des émetteurs et destinataires) peut avoir accès à leur contenu. Chiffrement des données et signature électronique sont autant d’outils abordables qui permettent aujourd’hui de garantir la sécurité numérique des documents, leur authenticité, leur intégrité et leur confidentialité.

Le chiffrement est une sorte d’enveloppe scellée numérique. Il consiste à traiter des données grâce à un algorithme de cryptage, qui va les convertir dans un format « codé ». Pour qu’elles soient à nouveau intelligibles, il faudra effectuer l’opération inverse : le déchiffrement, qui ne peut être fait que par les personnes possédant la clé appropriée (le même que celle utilisée pour le chiffrement ou non). C’est le moyen le plus simple et le plus efficace pour s’assurer que les données ne puissent pas être lues et utilisées par toute personne (ou machine !) non autorisée. Il est donc essentiel pour faire face aux fuites de données résultant de vol, de la perte ou du partage du matériel informatique ou de cyberattaque. C’est pourquoi il est nécessaire, lorsque l’on utilise des données sensibles, professionnelles ou personnelles, de les chiffrer avant leur enregistrement sur un support physique à transmettre à un tiers (DVD, clé USB, disque dur portable) et avant de les transmettre par mail. Une autre bonne pratique est de transmettre le fichier chiffré par e-mail et de communiquer du mot de passe par téléphone ou SMS. Il existe de nombreux logiciels et applications qui permettent aujourd’hui de chiffrer ses données ; le chiffrement doit devenir une pratique courante des avocats.

La signature électronique est une sorte de « stylo numérique », régie notamment par le règlement « eIDAS10 ». Elle permet non seulement d’authentifier l’émetteur d’un message, mais aussi de vérifier l’intégrité du document signé ou du courriel transmis. Elle fonctionne sur la base d’une empreinte électronique, qui est, pour un document, l’équivalent de l’empreinte digitale ou génétique pour une personne. Elle permet donc d’assurer la sécurité à la fois juridique et technique des échanges dématérialisés. Il existe plusieurs degrés dans l’authentification nominative du signataire, permettant de procéder à une signature simple, avancée ou qualifiée (cas de l’acte d’avocat dématérialisé), selon le besoin de protection requis. La réalisation d’une signature électronique nécessite l’obtention préalable d’un certificat, délivré par un prestataire spécialisé et reconnu comme prestataire de confiance, avec des coûts variables.

4) Faire preuve de circonspection avec ses mails et les sites web.

Internet et la messagerie sont les deux voies les plus fréquentes de propagation des malwares. Vous le savez, l’utilisation d’un pare-feu, d’un antivirus et le chiffrement des données, ne dispense pas de toute autre forme de précaution. Il faut donc rester prudent lors du téléchargement des fichiers et éviter de naviguer sur des sites douteux ou illicites.

Courriels frauduleux et pièces jointes piégées sont monnaie courante aujourd’hui, particulièrement depuis le début de la crise sanitaire liée à l’épidémie de Covid-19. Le phishing et les autres tentatives de fraudes et escroqueries en tout genre évoluent constamment et sont de plus en plus sophistiqués. Il est d’ailleurs possible que votre filtre anti-spam (qui déplace automatiquement certains mails dans les courriers indésirables) se soit laissé berné. Comme l’évoque la CNIL, si un message évoque un dossier, une facture, un sujet qui ne vous parle pas, il s’agit très probablement d’un courriel malveillant [7]. Il faut aussi se méfier des expéditeurs inconnus ; il peut certes s’agir d’un nouveau client, mais son intention n’est pas forcément de solliciter conseils et accompagnement par le praticien... Et quand bien même il s’agirait d’une adresse mail connue, une usurpation d’identité est si vite arrivée...

La précaution est donc toujours, avant d’ouvrir un mail, une pièce jointe ou de cliquer sur un lien contenu dans le courriel, de vérifier la cohérence du message, l’orthographe et la syntaxe employés, les fautes de frappes, etc. Ce sont en général de bons indicateurs. Les formats de fichiers inconnus ou inhabituels sont également suspects. Il faut donc absolument désactiver l’ouverture automatique des documents téléchargés et mettre en place une analyse antivirus systématique.

Si des liens internet figurent dans l’e-mail, il peut s’agir d’une tentative de redirection vers un site non fiable. En cas d’hésitation, il suffit de passer la souris sur le lien sans cliquer dessus, l’adresse complète du site devrait s’afficher pour en vérifier la légitimité. En cas de doute sur un mail, il ne faut donc ni ouvrir les pièces jointes, ni cliquer sur les liens, ni y répondre. Au besoin, il ne faut pas hésiter à le transférer au service informatique du cabinet ou au prestataire qui vous accompagne et attendre sa réponse avant de le supprimer. Si le cabinet n’est pas dans cette situation, il est possible de contacter Signal Spam, avant de supprimer le message et de vider la corbeille de sa messagerie.

Dans le même souci de protection, il ne faudra jamais répondre par courriel aux demandes relatives à des informations confidentielles, même si elles semblent émaner d’institutions. Il ne faut pas non plus mentionner de données sensibles non chiffrées dans ses propres courriels ou la signature du mail (par exemple, les coordonnées, mêmes partielles, du compte bancaire du cabinet). Il sera également sage de ne pas relayer les messages de type chaînes de mails, appels à la solidarité, alertes virales, etc. sans s’être véritablement assuré de leur légitimité.

En qui concerne la navigation sur internet, la même vigilance est de mise. Plusieurs bonnes pratiques sont à encourager. Nous l’avons déjà évoqué, il est important de ne consulter que les sites et plateformes officiels pour télécharger les logiciels et applications, ainsi que d’utiliser un mot de passe complexe différent pour chaque compte, avec une double authentification si possible et de le changer régulièrement. Pour la navigation elle-même, il est essentiel de rappeler la nécessaire séparation des usages professionnels et personnels. Si la brève utilisation d’une connexion professionnelle à des fins personnelles peut être tolérée, elle n’est évidemment pas recommandée et le cabinet aura, comme toutes les autres organisations, tout intérêt à rester attentif sur ce point.

La consultation ponctuelle de la messagerie personnelle ou la connexion à un site pour une démarche administrative, pourquoi pas, mais le shopping en ligne ou le visionnage de films et vidéos sur les ordinateurs du cabinet, c’est non !

Plus généralement, il faut bien sûr être attentif aux adresses des sites consultés (le protocole « https» garantit un chiffrement qui protège la confidentialité des échanges pour les services en ligne) et prendre l’habitude de toujours passer par la page d’accueil du site vers lequel on a été redirigé. Toujours dans le cadre d’une utilisation courante d’internet, un bon conseil est de penser au mode de navigation privée, tant sur les ordinateurs que les tablettes et smartphones, particulièrement s’ils sont en usage partagé (salons professionnels, déplacements, etc.). Cela permettra de limiter les traces laissées par l’internaute au cours de sa navigation. Dans la même optique et, dans le prolongement de la directive ePrivacy [8], il faudra prendre quelques secondes pour refuser l’utilisation des cookies non obligatoires et penser à effacer régulièrement ceux déposés sur les appareils. Tout en protégeant la vie privée, cela pourrait bien éviter aux hackers de tenter de piéger l’utilisateur en exploitant les informations sur les sites régulièrement consultés.

S’adapter aux nouvelles façons de travailler.

« Qui trop légèrement se fie, mal à propos se défie ! »

La cybersécurité est « une démarche globale [qui] concerne tous les services ainsi que leurs partenaires extérieurs à la structure » [9]. L’usage du numérique, la mobilité et l’externalisation sont au cœur des évolutions de la profession. Mais pour les cabinets comme pour les autres organisations, elles font peser de nombreux risques sur les informations et les données détenues par les avocats. Aux menaces extérieures, souvent malveillantes, s’ajoutent les imprudences internes.

1) Séparer les usages pro-perso et gérer le BYOD. Cliquez pour lire ;)

Avec la transformation numérique, « la frontière entre la vie professionnelle et personnelle devient de plus en plus poreuse » [10]. Séparer les usages professionnels et les usages personnels est indispensable, à plusieurs égards. Il s’agira évidemment, d’abord, de préserver la vie privée de l’utilisateur et de protéger la sécurité du système d’information du cabinet. Ainsi que nous l’avons déjà évoqué, il est très fortement conseillé d’avoir une utilisation raisonnable et responsable d’internet sur son poste de travail et de bien séparer le stockage des données professionnelles et celui des données personnelles.

De la même manière, les supports de sauvegarde externes seront utilisés soit à des fins professionnelles, soit à des fins personnelles, non les deux. Dans le même ordre d’idée, il est recommandé de ne pas mélanger sa messagerie professionnelle et sa messagerie personnelle. Outre les risques de piratage accrus des messages personnels, ce sera aussi un bon moyen d’éviter de commettre des erreurs, telles que l’envoi d’informations professionnelles à un destinataire de son cercle privé, peu compatible avec le respect du secret professionnel, ou l’inverse...

Idéalement, il faudrait disposer, même en mobilité, d’un équipement réservé exclusivement à l’exercice de la profession, configuré de façon à ce que les données soient fortement protégées. Mais les contraintes budgétaires que peuvent représenter l’acquisition et la maintenance de multiples équipements informatiques, particulièrement pour les petites structures professionnelles des indépendants libéraux, rendent la situation bien différente. L’utilisation professionnelle et personnelle des équipements informatiques n’est pas un choix, c’est une nécessité.

L’utilisation professionnelle des équipements personnels peut être permise au sein du cabinet : c’est ce que l’on appelle le BYOD (Bring your own device). Chacun est autorisé à apporter ses équipements personnels sur son lieu de travail et à les utiliser à des fins personnelles. Véritable cauchemar des services informatiques des organisations, le BYOD présente de très nombreux risques pour la sécurité des données et informations confiées ou créées par le cabinet (vol, dégradation et perte des appareils, cybersécurité insuffisante, manque de contrôle sur l’utilisation, fuite de données lors du départ de la personne, etc.). Elle n’est donc pas à encourager pour la profession, quelle que soit la taille de la structure.

Une configuration spécifique des équipements pourrait néanmoins être une solution de compromis permettant d’assurer la séparation du pro-perso sur un équipement informatique. C’est ce que l’on appelle la COPE (corporate owned, personnaly enabled) : le cabinet achète les équipements pour son propre compte et en assure la maintenance, mais ceux-ci ont aussi, par définition, vocation à servir pour l’usage personnel des membres du cabinet. La sécurité sera assurée par la création de deux espaces différenciés et complètement étanches l’un par rapport à l’autre. Néanmoins, compte-tenu des enjeux pour la profession, il sera indispensable qu’un expert en la matière se charge de la configuration des équipements. La sécurisation professionnelle pourrait néanmoins affecter très sensiblement certaines possibilités d’usage personnel.

2) Gérer les risques liés au « nomadisme numérique ».

Le nomadisme numérique « désigne toute forme d’utilisation des technologies de l’information permettant à un utilisateur d’accéder au système d’information de son entité d’appartenance ou d’emploi, depuis des lieux distants, ces lieux n’étant pas maîtrisés par l’entité » [11]. Il concerne donc à la fois les déplacements professionnels, le déploiement du télétravail et le développement des espaces de coworking. Les chiffres du bilan numérique des Avocats 2020 réalisé par le Village de la Justice le montrent : 95 % des praticiens sondés utilisent d’ailleurs le numérique professionnel en mobilité. La pratique du « droit à distance » se vérifie.

Les lieux de travail de « l’avocat nomade » peuvent présenter des niveaux de sécurité variables selon l’environnement : protection physique et règles d’accès aux locaux, espaces plus ou moins ouverts au public (cafétéria, bibliothèque, hôtels, domicile, etc.). Dans tous ces lieux et pendant les trajets en transports en commun, les risques de compromission sont exacerbés, tant en ce qui concerne la perte ou le vol du matériel, qu’en matière d’interception des données et informations. Pour « faire rimer mobilité avec sécurité » [12], plusieurs précautions doivent être prises avant, pendant et après les déplacements pour répondre notamment aux besoins de confidentialité.

Dans tous les cas, il faut proscrire l’utilisation des réseaux Wi-Fi publics et penser à désactiver les fonctions Wi-Fi et Bluetooth des appareils lorsqu’elles ne sont pas utilisées. La bonne sécurisation informatique préalable des équipements, le recours systématique au chiffrement des données et l’utilisation de protections pour masquer les écrans sont autant de mesures indispensables pour assurer la sûreté numérique du cabinet en mobilité. La limitation du transport des données sensibles/ critiques à celles qui sont indispensables et leur sauvegarde préalable sont des recommandations particulièrement importantes pour les professionnels soumis au secret. Plus généralement, il s’agira de mettre en œuvre les conseils prodigués à tous, de ne pas laisser ses équipements sans surveillance (bureaux ouverts, coffre d’hôtel, consignes, etc.), d’éviter autant que possible d’utiliser des appareils et supports prêtés, d’effacer l’historique des appels et de navigation et de changer les mots de passe utilisés pendant un voyage.

Pour les besoins de l’activité, particulièrement avec le développement massif du télétravail, il est désormais aussi nécessaire de prévoir l’ouverture d’un accès à distance au système d’information. Ceci « augment[ant] forcément la surface d’attaque » [13], c’est évidemment une passerelle sécurisée qui sera mise en place pour permettre la connexion entre les serveurs du cabinet et les ordinateurs de ses membres. Tel est le but du VPN (virtual private network), qui va créer une sorte de tunnel de communication privé et chiffré pour permettre l’accès à distance, par les utilisateurs authentifiés. C’est d’ailleurs le principe même sur lequel repose le fonctionnement du RPVA.
Pour l’équipement du cabinet, il faudra être vigilant : beaucoup de solutions existent sur le marché, là encore pour un coût variable, certains VPN étant même gratuits. Mais bon nombre ne sont pas fiables, soit parce que la connexion est mal sécurisée, soit parce qu’elles sont créées à des fins malveillantes, ce que l’on cherche à tout prix à éviter.

3) Maîtriser la communication sur les réseaux sociaux.

Les règles limitatives qui régissaient jusqu’ici les modes de communication des avocats ont été récemment modifiées [14], en supprimant notamment la distinction faite entre l’information professionnelle et la publicité personnelle de l’avocat. Et, ce, notamment parce qu’elles ne paraissaient « plus adaptées à l’exercice professionnel, compte tenu de l’évolution du contexte sociétal et économique dans lequel les avocats sont amenés à intervenir » [15].

Au-delà de la « vitrine virtuelle » que constitue le site internet du cabinet, les réseaux sociaux sont désormais des outils efficaces pour toucher rapidement une audience large et ciblée, ainsi que pour valoriser l’expertise du cabinet. Notoriété, élargissement du réseau professionnel, veille juridique et concurrentielle, les bénéfices sont nombreux, nos équipes rédactionnelles s’en font très régulièrement l’écho. Mais au regard de la sûreté numérique du cabinet, les risques sont également élevés. Les réseaux sociaux exposent nécessairement le cabinet aux dangers inhérents à ce mode de communication : infections et intrusions, usurpation d’identité, chantage, vol d’informations, cyberharcèlement, diffamation, désinformation... La construction d’une stratégie « social media » du cabinet doit donc impérativement intégrer des aspects de sécurité, d’autant plus que « les règles relatives à la communication de l’avocat, parce qu’il n’est pas un « marchand du droit ordinaire », relèvent de la déontologie ». [16]

Plus encore que pour les autres utilisateurs, les paramètres de confidentialité devront être surveillés de très près. Il sera notamment essentiel de protéger l’accès à ses comptes d’accès, avec les mêmes règles de précaution que pour les autres mots de passe (complexité, différenciation, double authentification) et de garder la maîtrise de ses publications. Celles-ci pourraient être rediffusées ou interprétées différemment de l’intention initiale. Outre la capacité des réseaux sociaux à s’enflammer et les dommages réputationnels que cela pourrait causer, les publications pourraient avoir la fâcheuse tendance à attirer l’attention des cybercriminels, qui utilisent fréquemment les réseaux sociaux, particulièrement dans le cadre de la social engineering.

De la même manière que dans le cadre d’un usage personnel, la discrétion sera de mise, particulièrement pendant les vacances. Il sera donc recommandé de ne pas indiquer que l’accueil du cabinet est fermé et que tous les collaborateurs sont en télétravail... Des formulations plus neutres seront préférées, telles que le fait que les équipes restent mobilisées. En période de congés, l’externalisation de l’accueil téléphonique pourrait peut-être être une bonne solution.

Enfin, la sensibilisation de tous les membres du cabinet sera un vecteur indispensable à la fois pour la préservation de l’identité numérique et pour la sûreté numérique du cabinet. Par exemple, un chantage exercé à l’encontre d’un membre de la structure ou de l’un de ses partenaires, au sujet de ses activités dans un cadre privé, pourrait en effet ne pas lui laisser d’autre choix que de porter atteinte notamment à la confidentialité des informations et données confiées ou créées par le cabinet.

4) Savoir bien s’entourer.

L’avocat est, en toutes circonstances, tenu de respecter et de faire respecter les règles déontologiques de la profession, par l’ensemble des membres du cabinet et par les prestataires extérieurs auxquels il fait appel pour les besoins de son activité. Et cette obligation concerne évidemment en premier lieu la confidentialité des données et informations qu’il détient. Or « les menaces visant la sécurité informatique couvrent un large périmètre : tous les systèmes d’information internes (bureautique, industriel, de gestion, etc.) mais aussi leurs interactions avec l’ensemble des partenaires de l’écosystème (y compris ceux de la maintenance, de l’entretien, etc.) » [17]. Et force est de constater que l’avocat ne travaille pas seul la plupart du temps.

Accueil, standard téléphonique, secrétariat, reprographie, comptabilité, facturation, paie, archivage, ménage et entretien sont autant de prestations non-juridiques qui sont couramment externalisées par les cabinets d’avocat. Certaines prestations juridiques le sont également, lorsque le praticien est amené à travailler avec des confrères postulants et correspondants, en province ou à l’étranger, avec d’autres professionnels du droit (huissiers, notaires, conseils en propriété intellectuelle, universitaires), avec des experts et autres consultants, avec des traducteurs.
En outre, si les avocats ont encore très largement recours au papier, les échanges avec les juridictions et les clients se font de plus en plus sous forme dématérialisée. Les outils numériques à la disposition des avocats sont de plus en plus nombreux : visioconférence et consultations à distance, transfert et de partage de documents, dictée vocale, prise de rendez-vous en ligne, paiement en ligne, cloud... Ils sont tous, à différents degrés, entrés dans la pratique quotidienne des avocats.

« La virtualisation du cabinet semble en marche » [18] et la tendance s’est, sans surprise, renforcée avec les mesures de confinement prises pour lutter contre l’épidémie de Covid-19. Dans le monde de la cybersécurité, il est courant de dire « si c’est gratuit, c’est vous le produit ! ». Outre ce mot d’ordre appelant à la méfiance, on se souviendra utilement que le Conseil National des Barreaux s’efforce d’enrichir progressivement les fonctionnalités du e-barreau pour offrir aux praticiens des solutions leur permettant de garantir la sécurité de leurs échanges.

Il est donc indispensable, pour toutes ces opérations, de faire appel à des prestataires qui vont s’engager sur la question de la sécurité des données et en garantir la confidentialité. Compte tenu des enjeux pour la profession, les avocats doivent savoir bien s’entourer, en choisissant avec soin les outils et les prestataires d’externalisation, dont le manque de sérieux pourrait les conduire à manquer à l’une de leurs obligations déontologiques ou professionnelles : confidentialité/ secret professionnel, indépendance/conflits d’intérêts, prudence/diligence. Il importe donc de se renseigner sur le prestataire et son environnement : sa nationalité, son recours à la sous-traitance (qui sera à interdire), le lieu d’hébergement des données, ses propres mesures de cybersécurité, son éventuelle certification ISO, etc. S’il n’est pas lui-même soumis à un secret professionnel strict, il sera indispensable de faire signer un engagement de confidentialité au prestataire.

5) Du côté du cabinet : former pour sensibiliser.

La très grande majorité des incidents cyber et des fuites de données est d’origine humaine, négligence ou intention frauduleuse. La sécurité doit être l’affaire de chacun des membres du cabinet : avocats collaborateurs et associés, secrétaires et assistants juridiques, stagiaires... Une personne avertie en vaut deux ! La politique de sécurité informatique du cabinet doit être partagée et comprise par tous : il est indispensable de lutter contre le sentiment d’infantilisation et le point de vue selon lequel une conduite prudente entrave la productivité, repose sur la paranoïa ou émane d’un esprit trop pointilleux.

La mise en place d’une charte pour l’utilisation responsable des outils numériques peut être envisagée dans ce cadre. Elle précisera les règles et consignes que doivent respecter les utilisateurs pour l’utilisation des outils informatiques (mots de passe, sauvegardes, mises à jour des logiciels, chiffrement des données, etc.) et des moyens de communication numérique (téléphonie, messagerie électronique, internet). Le document sera idéalement accompagné d’un engagement signé par chaque utilisateur. Outre sa valeur informative, la charte pourrait aussi être un document utile dans les cas d’engagement de la responsabilité.

La gestion de la sûreté numérique du cabinet suppose, plus largement, une acculturation en matière de sécurité de l’information. La sensibilisation à la cybersécurité peut, il est vrai, être assez peu attrayante lorsqu’elle prend la forme de sessions de formation obligatoires. Il n’est pas certain qu’elle soit efficiente au travers de la diffusion de notes, de fiches pratiques ou de l’incitation à suivre des cours en ligne pour s’initier, approfondir ou actualiser ses connaissances. La bonne nouvelle est que les acteurs publics et privés de la cybersécurité rivalisent aujourd’hui d’originalité pour assurer la bonne diffusion des messages en la matière, en misant, notamment sur l’acculturation par le jeu et la mise en situation. Ateliers de simulation, quizz, vidéos, bandes dessinées, infographies, jeux de société... La cybersécurité ne rime pas avec ennui ! Il ne faut pas hésiter à varier les plaisirs, en diversifiant les supports et les méthodes d’apprentissage. En les personnalisant aux couleurs du cabinet, il sera même possible d’associer les clients à cette démarche de vigilance, de les faire adhérer à la démarche de protection cyber, voire de les convaincre de la nécessité de s’adapter aux protocoles et outils utilisés par le cabinet.

Conclusion.

À la fois en termes de prévention et de réponse aux incidents cyber, « plus les choses auront été préparées en amont, notamment la cartographie des risques, l’analyse des vulnérabilités et des vecteurs et modes d’attaques, plus la gestion de la crise pourra être efficiente » [19]. Plus largement, la construction d’une véritable stratégie de gestion du risque cyber va permettre de réaliser la sûreté numérique du cabinet. Et, à ce titre, les bénéfices seront importants.

Positionné en tant que partenaire de confiance au sein de son écosystème, l’avocat travaillant à la sûreté numérique de son cabinet pourra garantir à ceux dont il assure la défense et le conseil que leurs échanges demeureront aussi confidentiels que possibles. En protégeant non seulement son patrimoine informationnel propre, mais aussi celui de ses clients, il consolidera aussi sa position sur un marché de plus en plus concurrentiel.

Or, ce souci de protection des données répond à un enjeu plus global : « qu’on le veuille ou non, la cybersécurité est devenue un enjeu sociétal » [20]. Outre la problématique de la compétence territoriale des juridictions en cas de litige, choisir des outils grand public, souvent gratuits et peu fiables, contient une part d’acceptation d’une souveraineté étrangère. Il suffira par exemple qu’une procédure de discovery soit mise en œuvre aux États-Unis dans une affaire impliquant l’un des clients français du cabinet ayant des liens là-bas, pour aboutir inéluctablement à une violation de la confidentialité des données, pourtant protégée en France notamment au titre du secret professionnel. Ce n’est donc « pas la peine de parler de souveraineté nationale et de souveraineté numérique si on n’intègre pas les verrous pour donner du sens à ce qu’elle doit être » [21]. Construire la sûreté numérique du cabinet n’est pas seulement une manière de traduire, dans le monde virtuel, certaines des valeurs les plus essentielles de la profession. C’est aussi une façon de s’engager volontairement dans une démarche collective et qui pourrait bien, à terme, devenir un pan de la responsabilité sociétale de ces acteurs essentiels que sont les avocats.

Par Aude Dorange
Responsable éditoriale du Journal du Village de la Justice

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes

Notes de l'article:

[1Cigref, 2016, Le cyber risque dans la gouvernance de l’entreprise (précité).

[2Ces recommandations sont à caractère général et n’entendent donc pas prendre en considération les situations particulières. Elles ne sauraient se substituer aux conseils d’un expert et n’offrent aucune garantie quant à la sûreté de la protection. Ces informations sont principalement issues de différents guides et fiches pratiques mis à la disposition des organisations et des particuliers, notamment par la CNIL, l’ANSSI, le GIP Actions contre la cybermalveillance (ACYMA) et le CLUSIF. Voir not. le site de la CNIL, le site www.cybermalveillance.gouv.fr ; ANSSI, 2017, « Guide de l’hygiène informatique. Renforcer la sécurité de son système d’information en 42 mesures » ; ANSSI-CPME, 2018 (MàJ 2020), « Guide des bonnes pratiques de l’informatique : 12 règles essentielles pour sécuriser vos équipements numériques » ; CLUSIF, 2020, Livre blanc La cybersécurité à l’usage des dirigeants.

[387 % selon notre Bilan numérique des avocats.

[4« Commission générale de terminologie et de néologie, Vocabulaire de l’informatique et de l’internet », NOR : CTNX1012892X, JO 6 juin 2010.

[5ANSSI, 2010, « Externalisation des systèmes d’information. Maîtriser les risques de l’infogérance » (www.ssi.gouv.fr).

[6Sondes de détection d’intrusion (IDS, pour Intrusion Detection System), contrôleurs d’accès au réseau (NAC, pour Network Access Control), protections contre la fuite de données sensibles (DLP, pour Data Leak Protection), etc.

[7CNIL, Fiche « Phishing : Détecter un message malveillant » (www.cnil.fr).

[8Dir. 2002/58/CE, 12 juill. 2002, JOCE n° L 201/37, 31 juill.

[9Conseil général de l’économie, janv. 2018, « La cyber résilience », Rapp. n° 2017/02/CGE/SR (www.economie.gouv.fr).

[10Cybermalveillance.gouv.fr, 2019, Fiche « Apprendre à séparer ses usages pro-perso ».

[11ANSSI, 2018, « Recommandations sur le nomadisme numérique » (www.ssi.gouv.fr).

[12ANSSI, 2014, « Sécurité numérique. Bonnes pratiques à l’usage des professionnels en déplacement » (www.ssi.gouv.fr).

[13CLUSIF-OSSIR, « La cybersécurité à l’usage des dirigeants », précité.

[14Réforme de l’article 10 du RIN, par CNB, 28 mai 2020, NOR : JUSC2012913S, JO 13 juin.

[17CIGREF, oct. 2018, « Cybersécurité. Visualiser – Comprendre – Décider » (www.cigref.fr).

[19INHESJ, juill. 2015, « Comment organiser une cellule de crise en cas de cyberattaque ? », Travaux des auditeurs (www.cigref.fr).

[20CLUSIF-OSSIR, janv. 2020, « La cybersécurité à l’usage des dirigeants, Livre blanc » (https://clusif.fr)

[21C. Féral-Schuhl, e-débats du CNB du 25 juin 2020 sur la cybersécurité, précité.

Cet article est extrait du Dossier Cybersécurité

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 260 membres, 23236 articles, 126 583 messages sur les forums, 4 080 annonces d'emploi et stage... et 2 000 000 de visites du site par mois en moyenne. *


FOCUS SUR >

[Dernières tendances de l'emploi dans le Droit] +78% d'annonces d'emploi et stages au 1er semestre 2022 !

A LIRE AUSSI >

Pourquoi publier sur Le Village de la Justice ?




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs