[Cybersécurité] Professionnels du droit : comment mettre en place les bonnes pratiques dans vos structures ?

Les mots de passe robustes sont ceux qui sont difficiles à deviner ou à retrouver avec l’aide d’outils automatisés. Exit donc, le prénom des enfants, sa propre date anniversaire ou son groupe de musique préféré, ainsi que les suites logiques simples comme 123456, azerty, abcdef...

Pour créer un mot de passe solide, deux méthodes sont conseillées. Avec celle « des premières lettres », la phrase « Un tiens vaut mieux que deux tu l’auras » donnerait « 1tvmQ2tl’A ». Avec la méthode phonétique, « J’ai acheté huit CD pour cent euros cet après-midi » donnerait « ght8CD%E7am ». Libre à chacun, bien sûr, d’inventer sa méthode, en veillant, idéalement, à ce que les mots de passe soient composés de 12 caractères (au minimum) et de type différent (majuscules, minuscules, chiffres et caractères spéciaux).

En utilisant un mot de passe (robuste) différent pour chacun des outils et services, vous cloisonnez les comptes. Ainsi, en cas de piratage d’un des codes d’accès, les autres ne seront pas exposés. En particulier, il est hautement recommandé de ne pas utiliser le même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle (qui ne doivent pas être les mêmes...). En cas de doute sur la sécurité de l’un des comptes ou si un partenaire chez qui vous avez un compte s’est fait pirater, changer immédiatement le mot de passe concerné est résolument une bonne habitude à prendre.

Des mots de passe robustes et différents pour chaque service certes, mais humainement, il est impossible de tous les retenir ! Les noter sur un pense-bête (qui reste à proximité de l’ordinateur), les inscrire dans un fichier non protégé, les enregistrer dans son téléphone mobile ou se les expédier par e-mail, c’est certes pratique, mais imprudent.

Des solutions techniques existent fort heureusement pour nous y aider. Il est possible d’utiliser les gestionnaires de mots de passe des navigateurs Internet, qui chiffrent les données, permettent un remplissage automatique et se synchronisent entre les différents appareils. Mais l’accès à ce gestionnaire n’est pas, lui, forcément protégé.

C’est donc l’utilisation d’un gestionnaire de mot de passe sécurisé qui s’avère être la meilleure solution : avec un seul mot de passe à retenir et à saisir, il est possible d’accéder à tous les autres. Il est néanmoins préférable de ne pas utiliser n’importe lequel de ces "trousseaux de clés". S’il venait lui-même à être compromis, ce sont tous les codes d’accès qui seraient vulnérables... Un vrai cauchemar ! L’ANSSI incite à l’utilisation de Keepass, petit logiciel certifié, gratuit, et en français, permettant à la fois de stocker ses propres mots de passe en sécurité et de générer des mots de passe complexes aléatoires.

Pour être efficace, un mot de passe doit rester secret. Raison pour laquelle il ne faut pas les noter sur un support accessible facilement, de la même manière que l’on ne laisse pas « traîner » n’importe où les documents confidentiels. Dans ce cadre, deux bonnes pratiques sont à observer :
 La première est de ne jamais partager son mot de passe oralement ou par écrit, même pour des opérations de maintenance ou de dépannage informatique. D’ailleurs, si cela était demandé, ce serait peut-être l’occasion de s’interroger sur le professionnalisme du prestataire...

 En cas d’utilisation d’un appareil partagé ou public (salons professionnels, cybercafé, déplacements...), il faut configurer les navigateurs web, pour qu’ils ne se « souviennent » pas des mots de passe et utiliser le mode de navigation privée sur le web. Idéalement, il faudrait même changer tous les mots de passe utilisés sur l’ordinateur partagé dès que l’on a à nouveau accès à un ordinateur de confiance.

Outre le rappel de ces règles « de droit commun » à tous les membres de votre structure, il est nécessaire de toujours modifier les éléments d’authentification définis par défaut sur les équipements (identifiants et mots de passe des box, ordinateurs, imprimantes, serveurs...). Il est aussi opportun de définir des règles de choix et de dimensionnement des mots de passe et d’instaurer une politique de renouvellement avec une fréquence raisonnable (par exemple tous les 90 jours). Pour les systèmes et supports contenant des données et informations sensibles/critiques, il est fortement recommandé de verrouiller les accès à double, voir à triple tour, avec une authentification forte (en plus du mot de passe : code provisoire par SMS, biométrie, réponse à une question secrète, etc.).

Toutes les données n’ont pas besoin d’être sauvegardées avec la même fréquence, ni même d’être, toutes, sauvegardées. En cas de doute, se poser les trois questions suivantes permet de se décider :
 Quelles sont les données que j’utilise le plus souvent ?
 Quelles sont les données dont la disparition empêcherait la poursuite de l’activité ?
 Quelles données ne peuvent pas être récupérées par ailleurs en cas de perte ?

Avec un peu d’autodiscipline, l’habitude sera prise de ne pas enregistrer les fichiers contenant des informations sensibles sur le « bureau » de l’ordinateur, mais sur son disque dur. Cela facilitera la récupération en cas de panne. Ces fichiers sensibles ne seront pas non plus présents sur les espaces de stockage partagés avec les autres utilisateurs de la structure. Il sera aussi préférable de les stocker sur un espace régulièrement sauvegardé de manière automatique, accessible via votre propre réseau.

En ce qui concerne la fréquence des sauvegardes, il est certain qu’elles doivent l’être « régulièrement ». Quotidienne, hebdomadaire, mensuelle : la périodicité dépendra notamment de la fréquence de la modification des données et des risques auxquels la structure est exposée. Il faut quantifier la « perte de données maximale admissible », en s’interrogeant sur les conséquences que pourrait avoir la perte des données modifiées depuis leur dernière sauvegarde. Il pourra par exemple s’agir d’une sauvegarde différentielle chaque soir de la semaine et d’une sauvegarde complète juste avant le week-end. Ce qui compte, c’est de planifier les sauvegardes à échéance régulière, en fonction des besoins et de vérifier de temps en temps que tout est bien sauvegardé.

La sauvegarde manuelle des données peut se faire en les copiant sur un support amovible. Les disques durs externes seront à privilégier par rapport aux clés USB et aux cartes mémoire, qui se perdent très facilement et sont vecteurs d’une grande majorité des incidents. Elles seront donc davantage utilisées pour le transfert des fichiers d’un appareil à un autre plutôt que pour sauvegarder des données. En outre, de la même manière que certains objets du quotidien sont à usage personnel, il est recommandé d’être le seul utilisateur du support et de le réserver exclusivement à l’usage pour lequel il est destiné.

L’informatique en nuage (cloud computing) est « un mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire » [4]. Il s’agit d’une « forme particulière de gérance informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients ». Cela renvoie à une large palette d’offres de services qui s’appuient sur de telles architectures à distance. En matière de sauvegarde des données comme ailleurs, il n’est pas utile d’« opposer sécurité et externalisation. En effet, le recours à un prestataire peut permettre de pallier l’absence ou l’insuffisance de moyens internes, à condition que le prestataire s’engage sur la sécurité » [5].

En dépit de ses avantages, notamment en termes de coût et de facilités d’utilisation, les risques sont en effet assez nombreux : perte de la maîtrise du système d’information (gouvernance des choix techniques, sous-traitance, dépendance technologique), risques liés à la mutualisation des données (pour assurer la confidentialité des données, il faut notamment les chiffrer avant de les copier dans le cloud) et dangers liés à la localisation des données (principe de territorialité : il sera préférable de s’assurer que les données sensibles restent sur des serveurs exclusivement situés en France ou dans un État membre de l’Union européenne).

C’est certain, des sauvegardes compromises ne servent à rien. Il est donc important de protéger les sauvegardes de la même manière que les données originales. S’il s’agit de données sensibles, les chiffrer et/ou en limiter l’accès avec un mot de passe (robuste et unique) ne sera pas une précaution superflue.
En outre, pour éviter la disparition de la copie de sauvegarde en même temps que celles d’origine (sinistre ou vol du support externe en même temps que l’ordinateur portable), il est préférable de stocker les supports de sauvegarde amovibles dans un endroit sûr, éloigné de l’ordinateur avec les données d’origine. Il faut aussi avoir à l’esprit que les sauvegardes peuvent elles-aussi être affectées par un rançongiciel ou un virus informatique. Raison pour laquelle les supports amovibles doivent être non seulement analysés régulièrement, mais aussi déconnectés du système d’information ou mis hors ligne après usage.

S’agissant du cloud, une attention toute particulière sera évidemment portée aux conditions de cybersécurité et à la localisation des données. Il conviendra également de bien s’assurer de la présence d’une clause de réversibilité dans le contrat, qui permettra de retrouver, à sa convenance, l’intégralité des données dans leur dernier état de sauvegarde.

Pour être en mesure de gérer efficacement la problématique de la restauration des données, il est recommandé de définir une politique de sauvegarde applicable par tous les membres du cabinet. Ce plan de sauvegarde définira ce qui doit être sauvegardé, quand, par qui et comment. Il permettra de choisir les solutions de stockage externes et/ou en ligne qui seront utilisées au sein du cabinet, en fonction de ses besoins, de la taille des fichiers à conserver, de la fréquence de sauvegarde nécessaire, du prix des solutions et des risques inhérents à la solution choisie. Il abordera aussi la durée de la conservation des sauvegardes, le nombre de versions à conserver, la gestion de l’obsolescence du matériel, les règles communes relatives à l’organisation des fichiers et des espaces de stockage. Il prévoira aussi des tests réguliers de la qualité des processus de restauration des sauvegardes mis en place.

Le premier des gestes simples à adopter pour sécuriser son ordinateur est de penser à verrouiller sa session de travail manuellement lorsque l’on quitte son bureau ou de paramétrer cette action pour qu’elle se fasse automatiquement en l’absence d’utilisation pendant un certain temps. Cela permet d’éviter que n’importe qui puisse accéder aux données stockées sur l’ordinateur et les serveurs du cabinet ou à la messagerie électronique de l’utilisateur imprudent. C’est exactement la même logique qui conduit à ranger les dossiers papier contenant des données sensibles à l’abri des regards, voire sous clef.

La protection de l’ordinateur est principalement assurée par l’antivirus, qui, s’il n’est pas déjà présent, doit être installé sur l’ordinateur, les tablettes, voire les smartphones. Il va vérifier, scanner les fichiers et les éléments cherchant à s’installer sur l’ordinateur et, le cas échéant, neutraliser le malware détecté. Les solutions sur le marché sont variables, à la fois en termes de coût et de fiabilité, même si aucun antivirus n’est infaillible.
Il n’est néanmoins pas utile de multiplier les antivirus, qui pourraient entrer en
conflit les uns avec les autres.

Utiliser les versions les plus récentes des logiciels, des navigateurs web, des applications, etc., et désinstaller les versions obsolètes seront aussi des mesures efficaces pour garantir la sécurité. Les modifications apportées par les éditeurs et fabricants peuvent en effet non seulement procurer une nouvelle expérience utilisateur (design, fonctionnalités, etc.), mais aussi apporter d’importants correctifs pour remédier à des failles de sécurité.

Comme nous l’avons déjà évoqué, les cybermenaces évoluent très vite et chaque faille de sécurité est susceptible d’être exploitée à mauvais escient. Pour que les dispositifs fonctionnent efficacement, il est donc indispensable de les maintenir à jour. L’application de ces « patchs » ne doit pas être négligée, même si l’opération est parfois contraignante (redémarrage de l’ordinateur, durée). Il est tentant de les ignorer ou de les repousser indéfiniment, alors qu’il suffit de les planifier pendant les périodes d’inactivité (déjeuner, réunion, la nuit...). Si le téléchargement et l’installation automatique ne sont pas activés (recommandé), il faudra faire preuve d’une attention particulière pour le téléchargement de la mise à jour, en ne consultant que le site internet officiel du développeur ; cela limitera les tentatives de phishing, qui réorientent l’utilisateur vers de « faux » sites de mise à jour (fake downloader).

Un système d’information doit être sécurisé pour réduire les conséquences d’une cyberattaque et limiter les risques de fuites de données. Vis-à-vis de l’extérieur et de l’intérieur, les accès doivent être réservés aux seules personnes qui ont le « droit d’en connaître ». Pour cela, il faut empêcher les intrusions par des personnes qui n’appartiennent pas ou plus au cabinet et restreindre les possibilités d’accéder aux différents espaces dans lesquels sont stockées les données.

Pour protéger le système d’information contre les connexions extérieures non autorisées, le plus efficace est l’utilisation d’un pare-feu (firewall), souvent préinstallé sur les ordinateurs. Il va agir comme un bouclier pour filtrer les connexions et surveiller le trafic informatique vers ou depuis le système. C’est une sorte de garde-frontières. Si un malware parvenait à contourner cette barrière, l’antivirus pourrait, dans certains cas, prendre le relai. Une intrusion pourrait donc malgré tout se produire. Compte tenu des enjeux de la cybersécurité pour des cabinets d’avocat, d’autres outils plus complets et plus efficaces [6] seront donc avantageusement installés.

Il est aussi généralement recommandé de contrôler les accès physiques aux locaux du cabinet lui- même, et de doter les salles hébergeant les serveurs informatiques et les éléments du réseau, de dispositifs de sécurité (habilitation, digicode, badge nominatif, etc.). Ce dernier cas ne concernera évidemment pas la quasi-totalité des cabinets, mais elle reste concevable pour les très grandes structures et les espaces de coworking.

La sécurisation des échanges passera aussi, le cas échéant, par celle du Wi-Fi du cabinet. La configuration de la box Internet, au besoin avec l’assistance technique du fournisseur d’accès, se fait en se connectant à l’interface de configuration : modification de l’identifiant de connexion et du mot de passe par défaut, vérification du protocole de chiffrement (WPA2 et non WEP ; modification de la clé de connexion par défaut, activation du pare-feu de la box, etc. Il n’est en outre pas recommandé de laisser les clients, fournisseurs ou autres tiers se connecter au réseau internet du cabinet. Si cela était impératif, il faudrait préférer installer une borne d’accès dédiée.

Par ailleurs, une sage précaution est de cloisonné les espaces sur lesquels sont stockées les données. En cas d’intrusion (ou de panne), la segmentation du réseau permet de la cantonner au seul sous- ensemble qui la subit. On sépare donc ce qui est public (par exemple les programmes permettant de gérer le site internet du cabinet), de ce qui est « privé » (les applications utilisées par tous les membres du cabinet) et de ce qui est confidentiel (documents comportant des données confidentielles, comptabilité du cabinet, supports RH, etc.). On utilise plusieurs serveurs (serveur de fichiers, serveur de messagerie, serveur web, serveur administration, serveur cloud, etc.). Comme le dit la sagesse populaire, « on ne met pas tous ses œufs dans le même panier » et « on ne mélange pas les torchons et les serviettes » !

Le cloisonnement permet également de pouvoir limiter l’accès aux ressources au sein même du cabinet. En effet, il importe aussi de protéger les données contre les utilisations et accès inappropriés en interne. Pour cela, il faut d’abord s’assurer que chaque utilisateur autorisé est doté d’un identifiant qui lui est propre : exit donc les comptes partagés, qui sont des pratiques courantes et les codes d’accès génériques utilisés par tous les membres du cabinet. L’affaire Snowden suffit à se convaincre de la nécessité de lutter contre les échanges de mots de passe... Outre les risques de fuite vers l’extérieur, ces pratiques ne favorisent pas la traçabilité des opérations permettant, le cas échéant, d’identifier un accès frauduleux, une utilisation abusive des données ; elles ne permettent pas de déterminer l’origine d’un incident. Il faut ensuite s’assurer que chacun puisse accéder aux données dont il a besoin pour l’exercice de ses fonctions, mais uniquement à celles-ci. La logique de restriction des permissions d’accès est la même que celle adoptée lors de la mise en conformité au RGPD, mais il faut l’étendre à toutes les autres données détenues par le cabinet. La confiance n’exclut pas le contrôle !

L’état des lieux complet du patrimoine informationnel du cabinet et l’inventaire exhaustif des comptes utilisateurs, maintenus à jour, seront donc des outils précieux. Enfin, les recrutements évoluant régulièrement dans la majorité des cabinets, au gré notamment des promotions d’élèves-avocats, il est recommandé de formaliser des procédures d’arrivée, de départ et de changement de poste pour ce qui concerne le système d’information. En plus de la gestion des accès physiques aux locaux et de l’affectation/restitution des équipements mobiles, il faudra donc penser à la création/suppression des comptes informatiques et messageries, à l’attribution/ retrait des droits d’accès aux documents sensibles et au transfert/modification des mots de passe.

Comme le souligne la CNIL, « la messagerie électronique ne constitue pas un moyen de communication sûr pour transmettre des données personnelles, sans mesure complémentaire ». Outre les fréquentes erreurs de destinataires, il faut bien avoir conscience que toute entité ayant accès aux serveurs de messagerie concernés (notamment ceux des émetteurs et destinataires) peut avoir accès à leur contenu. Chiffrement des données et signature électronique sont autant d’outils abordables qui permettent aujourd’hui de garantir la sécurité numérique des documents, leur authenticité, leur intégrité et leur confidentialité.

Le chiffrement est une sorte d’enveloppe scellée numérique. Il consiste à traiter des données grâce à un algorithme de cryptage, qui va les convertir dans un format « codé ». Pour qu’elles soient à nouveau intelligibles, il faudra effectuer l’opération inverse : le déchiffrement, qui ne peut être fait que par les personnes possédant la clé appropriée (le même que celle utilisée pour le chiffrement ou non). C’est le moyen le plus simple et le plus efficace pour s’assurer que les données ne puissent pas être lues et utilisées par toute personne (ou machine !) non autorisée. Il est donc essentiel pour faire face aux fuites de données résultant de vol, de la perte ou du partage du matériel informatique ou de cyberattaque. C’est pourquoi il est nécessaire, lorsque l’on utilise des données sensibles, professionnelles ou personnelles, de les chiffrer avant leur enregistrement sur un support physique à transmettre à un tiers (DVD, clé USB, disque dur portable) et avant de les transmettre par mail. Une autre bonne pratique est de transmettre le fichier chiffré par e-mail et de communiquer du mot de passe par téléphone ou SMS. Il existe de nombreux logiciels et applications qui permettent aujourd’hui de chiffrer ses données ; le chiffrement doit devenir une pratique courante des avocats.

La signature électronique est une sorte de « stylo numérique », régie notamment par le règlement « eIDAS10 ». Elle permet non seulement d’authentifier l’émetteur d’un message, mais aussi de vérifier l’intégrité du document signé ou du courriel transmis. Elle fonctionne sur la base d’une empreinte électronique, qui est, pour un document, l’équivalent de l’empreinte digitale ou génétique pour une personne. Elle permet donc d’assurer la sécurité à la fois juridique et technique des échanges dématérialisés. Il existe plusieurs degrés dans l’authentification nominative du signataire, permettant de procéder à une signature simple, avancée ou qualifiée (cas de l’acte d’avocat dématérialisé), selon le besoin de protection requis. La réalisation d’une signature électronique nécessite l’obtention préalable d’un certificat, délivré par un prestataire spécialisé et reconnu comme prestataire de confiance, avec des coûts variables.

Internet et la messagerie sont les deux voies les plus fréquentes de propagation des malwares. Vous le savez, l’utilisation d’un pare-feu, d’un antivirus et le chiffrement des données, ne dispense pas de toute autre forme de précaution. Il faut donc rester prudent lors du téléchargement des fichiers et éviter de naviguer sur des sites douteux ou illicites.

Courriels frauduleux et pièces jointes piégées sont monnaie courante aujourd’hui, particulièrement depuis le début de la crise sanitaire liée à l’épidémie de Covid-19. Le phishing et les autres tentatives de fraudes et escroqueries en tout genre évoluent constamment et sont de plus en plus sophistiqués. Il est d’ailleurs possible que votre filtre anti-spam (qui déplace automatiquement certains mails dans les courriers indésirables) se soit laissé berné. Comme l’évoque la CNIL, si un message évoque un dossier, une facture, un sujet qui ne vous parle pas, il s’agit très probablement d’un courriel malveillant [7]. Il faut aussi se méfier des expéditeurs inconnus ; il peut certes s’agir d’un nouveau client, mais son intention n’est pas forcément de solliciter conseils et accompagnement par le praticien... Et quand bien même il s’agirait d’une adresse mail connue, une usurpation d’identité est si vite arrivée...

La précaution est donc toujours, avant d’ouvrir un mail, une pièce jointe ou de cliquer sur un lien contenu dans le courriel, de vérifier la cohérence du message, l’orthographe et la syntaxe employés, les fautes de frappes, etc. Ce sont en général de bons indicateurs. Les formats de fichiers inconnus ou inhabituels sont également suspects. Il faut donc absolument désactiver l’ouverture automatique des documents téléchargés et mettre en place une analyse antivirus systématique.

Si des liens internet figurent dans l’e-mail, il peut s’agir d’une tentative de redirection vers un site non fiable. En cas d’hésitation, il suffit de passer la souris sur le lien sans cliquer dessus, l’adresse complète du site devrait s’afficher pour en vérifier la légitimité. En cas de doute sur un mail, il ne faut donc ni ouvrir les pièces jointes, ni cliquer sur les liens, ni y répondre. Au besoin, il ne faut pas hésiter à le transférer au service informatique du cabinet ou au prestataire qui vous accompagne et attendre sa réponse avant de le supprimer. Si le cabinet n’est pas dans cette situation, il est possible de contacter Signal Spam, avant de supprimer le message et de vider la corbeille de sa messagerie.

Dans le même souci de protection, il ne faudra jamais répondre par courriel aux demandes relatives à des informations confidentielles, même si elles semblent émaner d’institutions. Il ne faut pas non plus mentionner de données sensibles non chiffrées dans ses propres courriels ou la signature du mail (par exemple, les coordonnées, mêmes partielles, du compte bancaire du cabinet). Il sera également sage de ne pas relayer les messages de type chaînes de mails, appels à la solidarité, alertes virales, etc. sans s’être véritablement assuré de leur légitimité.

En qui concerne la navigation sur internet, la même vigilance est de mise. Plusieurs bonnes pratiques sont à encourager. Nous l’avons déjà évoqué, il est important de ne consulter que les sites et plateformes officiels pour télécharger les logiciels et applications, ainsi que d’utiliser un mot de passe complexe différent pour chaque compte, avec une double authentification si possible et de le changer régulièrement. Pour la navigation elle-même, il est essentiel de rappeler la nécessaire séparation des usages professionnels et personnels. Si la brève utilisation d’une connexion professionnelle à des fins personnelles peut être tolérée, elle n’est évidemment pas recommandée et le cabinet aura, comme toutes les autres organisations, tout intérêt à rester attentif sur ce point.

La consultation ponctuelle de la messagerie personnelle ou la connexion à un site pour une démarche administrative, pourquoi pas, mais le shopping en ligne ou le visionnage de films et vidéos sur les ordinateurs du cabinet, c’est non !

Plus généralement, il faut bien sûr être attentif aux adresses des sites consultés (le protocole « https» garantit un chiffrement qui protège la confidentialité des échanges pour les services en ligne) et prendre l’habitude de toujours passer par la page d’accueil du site vers lequel on a été redirigé. Toujours dans le cadre d’une utilisation courante d’internet, un bon conseil est de penser au mode de navigation privée, tant sur les ordinateurs que les tablettes et smartphones, particulièrement s’ils sont en usage partagé (salons professionnels, déplacements, etc.). Cela permettra de limiter les traces laissées par l’internaute au cours de sa navigation. Dans la même optique et, dans le prolongement de la directive ePrivacy [8], il faudra prendre quelques secondes pour refuser l’utilisation des cookies non obligatoires et penser à effacer régulièrement ceux déposés sur les appareils. Tout en protégeant la vie privée, cela pourrait bien éviter aux hackers de tenter de piéger l’utilisateur en exploitant les informations sur les sites régulièrement consultés.

Avec la transformation numérique, « la frontière entre la vie professionnelle et personnelle devient de plus en plus poreuse » [10]. Séparer les usages professionnels et les usages personnels est indispensable, à plusieurs égards. Il s’agira évidemment, d’abord, de préserver la vie privée de l’utilisateur et de protéger la sécurité du système d’information du cabinet. Ainsi que nous l’avons déjà évoqué, il est très fortement conseillé d’avoir une utilisation raisonnable et responsable d’internet sur son poste de travail et de bien séparer le stockage des données professionnelles et celui des données personnelles.

De la même manière, les supports de sauvegarde externes seront utilisés soit à des fins professionnelles, soit à des fins personnelles, non les deux. Dans le même ordre d’idée, il est recommandé de ne pas mélanger sa messagerie professionnelle et sa messagerie personnelle. Outre les risques de piratage accrus des messages personnels, ce sera aussi un bon moyen d’éviter de commettre des erreurs, telles que l’envoi d’informations professionnelles à un destinataire de son cercle privé, peu compatible avec le respect du secret professionnel, ou l’inverse...

Idéalement, il faudrait disposer, même en mobilité, d’un équipement réservé exclusivement à l’exercice de la profession, configuré de façon à ce que les données soient fortement protégées. Mais les contraintes budgétaires que peuvent représenter l’acquisition et la maintenance de multiples équipements informatiques, particulièrement pour les petites structures professionnelles des indépendants libéraux, rendent la situation bien différente. L’utilisation professionnelle et personnelle des équipements informatiques n’est pas un choix, c’est une nécessité.

L’utilisation professionnelle des équipements personnels peut être permise au sein du cabinet : c’est ce que l’on appelle le BYOD (Bring your own device). Chacun est autorisé à apporter ses équipements personnels sur son lieu de travail et à les utiliser à des fins personnelles. Véritable cauchemar des services informatiques des organisations, le BYOD présente de très nombreux risques pour la sécurité des données et informations confiées ou créées par le cabinet (vol, dégradation et perte des appareils, cybersécurité insuffisante, manque de contrôle sur l’utilisation, fuite de données lors du départ de la personne, etc.). Elle n’est donc pas à encourager pour la profession, quelle que soit la taille de la structure.

Une configuration spécifique des équipements pourrait néanmoins être une solution de compromis permettant d’assurer la séparation du pro-perso sur un équipement informatique. C’est ce que l’on appelle la COPE (corporate owned, personnaly enabled) : le cabinet achète les équipements pour son propre compte et en assure la maintenance, mais ceux-ci ont aussi, par définition, vocation à servir pour l’usage personnel des membres du cabinet. La sécurité sera assurée par la création de deux espaces différenciés et complètement étanches l’un par rapport à l’autre. Néanmoins, compte-tenu des enjeux pour la profession, il sera indispensable qu’un expert en la matière se charge de la configuration des équipements. La sécurisation professionnelle pourrait néanmoins affecter très sensiblement certaines possibilités d’usage personnel.

Le nomadisme numérique « désigne toute forme d’utilisation des technologies de l’information permettant à un utilisateur d’accéder au système d’information de son entité d’appartenance ou d’emploi, depuis des lieux distants, ces lieux n’étant pas maîtrisés par l’entité » [11]. Il concerne donc à la fois les déplacements professionnels, le déploiement du télétravail et le développement des espaces de coworking. Les chiffres du bilan numérique des Avocats 2020 réalisé par le Village de la Justice le montrent : 95 % des praticiens sondés utilisent d’ailleurs le numérique professionnel en mobilité. La pratique du « droit à distance » se vérifie.

Les lieux de travail de « l’avocat nomade » peuvent présenter des niveaux de sécurité variables selon l’environnement : protection physique et règles d’accès aux locaux, espaces plus ou moins ouverts au public (cafétéria, bibliothèque, hôtels, domicile, etc.). Dans tous ces lieux et pendant les trajets en transports en commun, les risques de compromission sont exacerbés, tant en ce qui concerne la perte ou le vol du matériel, qu’en matière d’interception des données et informations. Pour « faire rimer mobilité avec sécurité » [12], plusieurs précautions doivent être prises avant, pendant et après les déplacements pour répondre notamment aux besoins de confidentialité.

Dans tous les cas, il faut proscrire l’utilisation des réseaux Wi-Fi publics et penser à désactiver les fonctions Wi-Fi et Bluetooth des appareils lorsqu’elles ne sont pas utilisées. La bonne sécurisation informatique préalable des équipements, le recours systématique au chiffrement des données et l’utilisation de protections pour masquer les écrans sont autant de mesures indispensables pour assurer la sûreté numérique du cabinet en mobilité. La limitation du transport des données sensibles/ critiques à celles qui sont indispensables et leur sauvegarde préalable sont des recommandations particulièrement importantes pour les professionnels soumis au secret. Plus généralement, il s’agira de mettre en œuvre les conseils prodigués à tous, de ne pas laisser ses équipements sans surveillance (bureaux ouverts, coffre d’hôtel, consignes, etc.), d’éviter autant que possible d’utiliser des appareils et supports prêtés, d’effacer l’historique des appels et de navigation et de changer les mots de passe utilisés pendant un voyage.

Pour les besoins de l’activité, particulièrement avec le développement massif du télétravail, il est désormais aussi nécessaire de prévoir l’ouverture d’un accès à distance au système d’information. Ceci « augment[ant] forcément la surface d’attaque » [13], c’est évidemment une passerelle sécurisée qui sera mise en place pour permettre la connexion entre les serveurs du cabinet et les ordinateurs de ses membres. Tel est le but du VPN (virtual private network), qui va créer une sorte de tunnel de communication privé et chiffré pour permettre l’accès à distance, par les utilisateurs authentifiés. C’est d’ailleurs le principe même sur lequel repose le fonctionnement du RPVA.
Pour l’équipement du cabinet, il faudra être vigilant : beaucoup de solutions existent sur le marché, là encore pour un coût variable, certains VPN étant même gratuits. Mais bon nombre ne sont pas fiables, soit parce que la connexion est mal sécurisée, soit parce qu’elles sont créées à des fins malveillantes, ce que l’on cherche à tout prix à éviter.

Les règles limitatives qui régissaient jusqu’ici les modes de communication des avocats ont été récemment modifiées [14], en supprimant notamment la distinction faite entre l’information professionnelle et la publicité personnelle de l’avocat. Et, ce, notamment parce qu’elles ne paraissaient « plus adaptées à l’exercice professionnel, compte tenu de l’évolution du contexte sociétal et économique dans lequel les avocats sont amenés à intervenir » [15].

Au-delà de la « vitrine virtuelle » que constitue le site internet du cabinet, les réseaux sociaux sont désormais des outils efficaces pour toucher rapidement une audience large et ciblée, ainsi que pour valoriser l’expertise du cabinet. Notoriété, élargissement du réseau professionnel, veille juridique et concurrentielle, les bénéfices sont nombreux, nos équipes rédactionnelles s’en font très régulièrement l’écho. Mais au regard de la sûreté numérique du cabinet, les risques sont également élevés. Les réseaux sociaux exposent nécessairement le cabinet aux dangers inhérents à ce mode de communication : infections et intrusions, usurpation d’identité, chantage, vol d’informations, cyberharcèlement, diffamation, désinformation... La construction d’une stratégie « social media » du cabinet doit donc impérativement intégrer des aspects de sécurité, d’autant plus que « les règles relatives à la communication de l’avocat, parce qu’il n’est pas un « marchand du droit ordinaire », relèvent de la déontologie ». [16]

Plus encore que pour les autres utilisateurs, les paramètres de confidentialité devront être surveillés de très près. Il sera notamment essentiel de protéger l’accès à ses comptes d’accès, avec les mêmes règles de précaution que pour les autres mots de passe (complexité, différenciation, double authentification) et de garder la maîtrise de ses publications. Celles-ci pourraient être rediffusées ou interprétées différemment de l’intention initiale. Outre la capacité des réseaux sociaux à s’enflammer et les dommages réputationnels que cela pourrait causer, les publications pourraient avoir la fâcheuse tendance à attirer l’attention des cybercriminels, qui utilisent fréquemment les réseaux sociaux, particulièrement dans le cadre de la social engineering.

De la même manière que dans le cadre d’un usage personnel, la discrétion sera de mise, particulièrement pendant les vacances. Il sera donc recommandé de ne pas indiquer que l’accueil du cabinet est fermé et que tous les collaborateurs sont en télétravail... Des formulations plus neutres seront préférées, telles que le fait que les équipes restent mobilisées. En période de congés, l’externalisation de l’accueil téléphonique pourrait peut-être être une bonne solution.

Enfin, la sensibilisation de tous les membres du cabinet sera un vecteur indispensable à la fois pour la préservation de l’identité numérique et pour la sûreté numérique du cabinet. Par exemple, un chantage exercé à l’encontre d’un membre de la structure ou de l’un de ses partenaires, au sujet de ses activités dans un cadre privé, pourrait en effet ne pas lui laisser d’autre choix que de porter atteinte notamment à la confidentialité des informations et données confiées ou créées par le cabinet.

L’avocat est, en toutes circonstances, tenu de respecter et de faire respecter les règles déontologiques de la profession, par l’ensemble des membres du cabinet et par les prestataires extérieurs auxquels il fait appel pour les besoins de son activité. Et cette obligation concerne évidemment en premier lieu la confidentialité des données et informations qu’il détient. Or « les menaces visant la sécurité informatique couvrent un large périmètre : tous les systèmes d’information internes (bureautique, industriel, de gestion, etc.) mais aussi leurs interactions avec l’ensemble des partenaires de l’écosystème (y compris ceux de la maintenance, de l’entretien, etc.) » [17]. Et force est de constater que l’avocat ne travaille pas seul la plupart du temps.

Accueil, standard téléphonique, secrétariat, reprographie, comptabilité, facturation, paie, archivage, ménage et entretien sont autant de prestations non-juridiques qui sont couramment externalisées par les cabinets d’avocat. Certaines prestations juridiques le sont également, lorsque le praticien est amené à travailler avec des confrères postulants et correspondants, en province ou à l’étranger, avec d’autres professionnels du droit (huissiers, notaires, conseils en propriété intellectuelle, universitaires), avec des experts et autres consultants, avec des traducteurs.
En outre, si les avocats ont encore très largement recours au papier, les échanges avec les juridictions et les clients se font de plus en plus sous forme dématérialisée. Les outils numériques à la disposition des avocats sont de plus en plus nombreux : visioconférence et consultations à distance, transfert et de partage de documents, dictée vocale, prise de rendez-vous en ligne, paiement en ligne, cloud... Ils sont tous, à différents degrés, entrés dans la pratique quotidienne des avocats.

« La virtualisation du cabinet semble en marche » [18] et la tendance s’est, sans surprise, renforcée avec les mesures de confinement prises pour lutter contre l’épidémie de Covid-19. Dans le monde de la cybersécurité, il est courant de dire « si c’est gratuit, c’est vous le produit ! ». Outre ce mot d’ordre appelant à la méfiance, on se souviendra utilement que le Conseil National des Barreaux s’efforce d’enrichir progressivement les fonctionnalités du e-barreau pour offrir aux praticiens des solutions leur permettant de garantir la sécurité de leurs échanges.

Il est donc indispensable, pour toutes ces opérations, de faire appel à des prestataires qui vont s’engager sur la question de la sécurité des données et en garantir la confidentialité. Compte tenu des enjeux pour la profession, les avocats doivent savoir bien s’entourer, en choisissant avec soin les outils et les prestataires d’externalisation, dont le manque de sérieux pourrait les conduire à manquer à l’une de leurs obligations déontologiques ou professionnelles : confidentialité/ secret professionnel, indépendance/conflits d’intérêts, prudence/diligence. Il importe donc de se renseigner sur le prestataire et son environnement : sa nationalité, son recours à la sous-traitance (qui sera à interdire), le lieu d’hébergement des données, ses propres mesures de cybersécurité, son éventuelle certification ISO, etc. S’il n’est pas lui-même soumis à un secret professionnel strict, il sera indispensable de faire signer un engagement de confidentialité au prestataire.

La très grande majorité des incidents cyber et des fuites de données est d’origine humaine, négligence ou intention frauduleuse. La sécurité doit être l’affaire de chacun des membres du cabinet : avocats collaborateurs et associés, secrétaires et assistants juridiques, stagiaires... Une personne avertie en vaut deux ! La politique de sécurité informatique du cabinet doit être partagée et comprise par tous : il est indispensable de lutter contre le sentiment d’infantilisation et le point de vue selon lequel une conduite prudente entrave la productivité, repose sur la paranoïa ou émane d’un esprit trop pointilleux.

La mise en place d’une charte pour l’utilisation responsable des outils numériques peut être envisagée dans ce cadre. Elle précisera les règles et consignes que doivent respecter les utilisateurs pour l’utilisation des outils informatiques (mots de passe, sauvegardes, mises à jour des logiciels, chiffrement des données, etc.) et des moyens de communication numérique (téléphonie, messagerie électronique, internet). Le document sera idéalement accompagné d’un engagement signé par chaque utilisateur. Outre sa valeur informative, la charte pourrait aussi être un document utile dans les cas d’engagement de la responsabilité.

La gestion de la sûreté numérique du cabinet suppose, plus largement, une acculturation en matière de sécurité de l’information. La sensibilisation à la cybersécurité peut, il est vrai, être assez peu attrayante lorsqu’elle prend la forme de sessions de formation obligatoires. Il n’est pas certain qu’elle soit efficiente au travers de la diffusion de notes, de fiches pratiques ou de l’incitation à suivre des cours en ligne pour s’initier, approfondir ou actualiser ses connaissances. La bonne nouvelle est que les acteurs publics et privés de la cybersécurité rivalisent aujourd’hui d’originalité pour assurer la bonne diffusion des messages en la matière, en misant, notamment sur l’acculturation par le jeu et la mise en situation. Ateliers de simulation, quizz, vidéos, bandes dessinées, infographies, jeux de société... La cybersécurité ne rime pas avec ennui ! Il ne faut pas hésiter à varier les plaisirs, en diversifiant les supports et les méthodes d’apprentissage. En les personnalisant aux couleurs du cabinet, il sera même possible d’associer les clients à cette démarche de vigilance, de les faire adhérer à la démarche de protection cyber, voire de les convaincre de la nécessité de s’adapter aux protocoles et outils utilisés par le cabinet.