La sécurité et la responsabilité sont aujourd’hui des notions capitales dans une entreprise. Pour garder la confiance de ses clients, dans un monde où les données personnelles s’accumulent dans les équipements numériques, il est nécessaire de s’armer pour contrer les attaques informatiques. Dans le monde du droit aussi ces risques existent, notamment pour les cabinets d’avocats. Mais sont-ils armés pour y faire face ?

Deux occasions de faire le point sur la cybersécurité nous ont été récemment données, la parution du Bilan numérique des Avocats et la Journée co-organisée par Secib et Microsoft en décembre 2019 sur le thème de "la data au cœur de la décision des cabinets d’avocats." Voici les enseignements principaux pour les métiers du droit.

La cybersécurité est devenue une crainte pour tous ! Combien d’articles fleurissent chaque jour sur la toile pour conseiller les lecteurs sur les nouvelles pratiques de protection. Les attaques sont en augmentation et les dommages causés par celles-ci entrainent parfois l’arrêt des activités, un cauchemar pour l’économie et l’entreprise.

D’autant que, selon un sondage, 51% des responsables de la cybersécurité des entreprises françaises ne sont pas confiants en leur capacité à faire face aux attaques informatiques, et les cabinets d’avocats sont de plus en plus fréquemment la cible d’attaques, du fait des informations qu’ils possèdent. En cause, la tâche qui devient de plus en plus complexe pour eux [1].

Un bilan numérique pauvre chez les avocats.

Dans le milieu du droit, et notamment chez les avocats, l’appétence pour la cybersécurité n’est pas répandue. Peu de structures ont à disposition des responsables en sécurité informatique, et quand elles en ont, le bouclier n’est pas infranchissable.

Le Village de la Justice a établi il y a peu un bilan sur les pratiques numériques des avocats, en donnant la parole à plusieurs professionnels pour avoir leurs avis sur les différentes problématiques.
Il en ressort, selon notamment Martin Bussy, que « le bilan numérique des avocats est proche de celui de l’artisan, plus que celui de la PME ». Un constat qui pose beaucoup de questions, notamment parce que le paradoxe du métier d’avocat est qu’il implique de garantir la confidentialité des dossiers et des données sensibles dans un environnement qui se digitalise de plus en plus, comme le rappelait Alexandre Roumieu [2] lors de la conférence organisée par Secib chez Microsoft en décembre 2019 sur le thème "La data au centre de la décision des cabinets d’avocats",

Or les nouvelles technologies impactent cette déontologie d’une manière telle que ces lacunes techniques fragilisent la garantie du client d’avoir une protection des données. Dan Kohn, directeur de la prospective et de l’innovation du groupe Secib allait dans ce sens : « Que ce soit sur l’aspect de la confidentialité ou au niveau de l’image de l’avocat, il est impensable aujourd’hui que près d’un peu moins d’un avocat sur deux communique avec une messagerie non sécurisée ; de même les échanges doivent être hébergés sur un serveur de messagerie cryptée. » Une situation qui paraît aller à contre-courant des préconisations, alors que l’informatique, à l’ère du digital, doit surtout s’orienter « vers la création de valeur. » D’autant que comme le disait Alexandre Roumieu lors de la conférence Secib, « la perte de données est une catastrophe en termes de réputation et de business. »

Repenser sa sécurité informatique en investissant à long terme.

Dans le même bilan numérique, Martin Bussy rappelait qu’il est nécessaire pour ces professionnels de réaliser « un changement symbolique » pour se voir « comme un métier de services ou des entrepreneurs. » Une prise de conscience qui serait salutaire alors que les données des indicateurs retenus ne sont pas flatteurs : seulement 44% des avocats maintiennent à jour périodiquement leur équipement informatique, et 55% n’ont jamais suivi de formation informatique (17% en ont fait une il y a plus de 5 ans, mais c’est trop loin) ; ils ne sont que 9% à crypter leurs échanges mails ; seulement 32% des avocats utilisent le cloud ; enfin 93% connaissent un peu le sujet ou n’ont pas une bonne connaissance du sujet du chiffrement des données.

Une situation qu’a confirmé Alexandre Roumieu : « la majorité des confrères est aveugle face au risque et ils considèrent la protection comme une charge inutile », or « il faut voir cela comme un investissement sur le long terme. » Mais alors comment faire en sorte de protéger efficacement sa structure et les données qu’elle renferme contre les attaques informatiques ?

Il ne faut pas se voiler la face, comme le rappelait Hervé Chemouli, avocat : « La notion de données de sécurité et toute l’organisation qui gravite autour sont lourdes. » En effet, entre les changements réguliers de mots de passe, l’utilisation fortement recommandée d’une plateforme cloud pour héberger ses données, et l’emploi d’une personne pouvant gérer le flux de données, « forcément, cela impacte la gestion des dossiers car c’est une succession de procédures qui nous obligeait à attendre une période de 48h avant de pouvoir accepter le client. » Autre exemple, pour les cartes de visites professionnelles collectées lors d’événements professionnels, si l’on entre les données personnelles inscrites sur ces documents dans le logiciel interne, il est impératif d’en informer la personne en charge de la sécurité dans l’entreprise...Qui le fait systématiquement ?

C’est une question de culture et d’organisation. Ce processus pourrait paraître contreproductif car chronophage mais qui « finalement nous apprend les bonnes méthodes. » D’autant que les nouvelles formes de structures comme l’interprofessionnalité, finissent par poser des questions concernant les données. Globalement, l’idée est partagée qu’« il faut que la technologie s’adapte à l’interprofessionnalité car c’est une évolution qui concerne l’équipement mais aussi les personnes. Pour les professionnels les plus âgés par exemple, il faut simplifier l’utilisation du numérique, apprendre à travailler avec ces outils. »

Les cabinets sont-ils tous égaux en termes de cybersécurité ? Pour Jean-Charles Simon, avocat chez Simon Associés également intervenu lors de la Journée Secib, « personne n’échappera au traitement de la donnée car elle permet aux professionnels du droit de prendre des décisions, que ce soit sur notre production, le développement de notre activité ou encore le management du cabinet. » Cette vague de la transformation digitale finira par toucher l’ensemble des professionnels du droit. Dans ce cas, il est « préférable de faire appel à un directeur des services informatiques » pour garantir une gestion des systèmes optimale. De même pour l’équipement informatique, il semble acté que « la salle informatique doit être le back up et le cloud va être la plateforme de travail principale. »

La sécurité est avant tout un travail d’équipe.

L’ANSSI et l’AMRAE ont publié en 2019 un guide sur la « Maîtrise du risque numérique » dans lequel ils revenaient sur la marche à suivre pour se prémunir des risques survenant par les nouvelles technologies. Premier enseignement, et non des moindres, il faut placer l’humain au cœur du jeu avec des actions de sensibilisation pour permettre un engagement des collaborateurs.
En interne, l’engagement de l’avocat ou du juriste de manière générale repose sur trois axes : d’abord la communication auprès des collaborateurs et parties prenantes sur les informations de contexte, de risques et des enjeux de sécurité numérique ; ensuite, les collaborateurs doivent être entrainés et formés ; enfin, il faut des moyens. Il est aussi important de pouvoir mesurer cet engagement de façon à adapter les formations aux lacunes et aux avancées de chacun. Les enquêtes, questionnaires internes et audits peuvent ainsi être une aide précieuse pour s’informer des connaissances de chacun et intégrer les évolutions de l’organisation et de son environnement.

La confiance dans ces nouvelles technologies et leur capacité à protéger efficacement les données hébergées repose sur l’information du client et la transparence à son égard. Le prestataire de services se doit de mettre au courant le cabinet des potentiels dangers qui menacent les équipements et sur la marche à suivre en cas d’attaque.

Si les budgets alloués à la sécurité informatique ne sont pas les mêmes, l’avantage que les petites structures possèdent réside dans le fait que « les process de management sont facilités et moins contraints. Cela leur permet de mettre en place très tôt les bons réflexes. »

On le voit, l’image de l’avocat change. Il passe du rôle de sachant à celui d’entrepreneur, avec ce versant business de plus en plus prégnant. Une nouvelle donne que soulignait Dan Kohn lors de la conférence Secib : « Avant j’allais voir un avocat pour son expertise. Maintenant je vais le voir pour ses compétences c’est-à-dire sa capacité à mobiliser des ressources, des équipes transverses et de la technologie adaptées à ma problématique. » Un profil qui évolue grandement, avec de nouvelles compétences.

Une collaboration entre le juriste et le client.

Il est primordial que les premiers clients du cabinet que sont les associés et les avocats bénéficient du meilleur confort. C’est un argument de recrutement puissant dans l’optique d’attirer les talents, car ce sont eux qui vont pouvoir montrer en quoi ils sont différents et fidéliser ensuite, en créant de la valeur. Leur assurer ainsi de pouvoir travailler dans un environnement sécurisé, avec une collaboration de toutes les parties prenantes, peut permettre d’engager un cercle vertueux. Cela peut passer par « une plateforme dédiée à un dossier avec la liste des personnes qui travaillent dessus, les clients, les adversaires, etc. On va pouvoir tout partager : la donnée, l’image, le son. Envoyer un mail avec un aspect multiplateformes pour recevoir les réponses et continuer à travailler. »

Un ensemble de dispositifs qui in fine doivent mettre de concert le professionnel et le client, lequel peut accéder à ces outils et suivre l’avancement du dossier. L’enjeu ici porte sur une sorte de responsabilisation du client, grâce à une pédagogie adaptée du professionnel qui accompagne sans infantiliser.

C’est ce même processus qui doit guider les juristes en entreprise, et encore plus depuis l’instauration du RGPD et de ses protections. Olivier Dos Reis, juriste chez Microsoft avait lors de la table-ronde organisée par Secib fait part de son expérience dans la prise en compte du règlement. Un travail de pédagogie qui était devenu obligatoire, et même salutaire pour couper avec cette image tout en distance du professionnel du droit au sein de l’entreprise. Couplé à cette innovation collaborative qui avait pris place et qui permettait de connecter l’ensemble des départements de l’entreprise, cela donnait plus d’envergure à la direction juridique. Une nécessité car « en tant que direction juridique, on a souvent besoin de se justifier en tant que département. Identifier notre valeur ajoutée, nos coûts et ce que l’on peut apporter, est un atout. »

Simon Brenot Rédaction du Village de la Justice {Crédit photo Fotolia.}