Les cyberattaques sont un véritable fléau à l’échelle mondiale et on ne compte plus le nombre d’entreprises victimes de failles de sécurité relatives aux informations sur leur clientèle : noms, adresses, numéros de téléphone ou encore données bancaires qui sont détruites, altérées, divulguées publiquement...

Les raisons sont multiples. Certes, il peut y avoir des motifs de vengeance à l’initiative d’anciens salariés, partenaires ou prestataires... mais il s’agit le plus souvent d’actes de négligences ou d’imprudence : un dispositif de protection trop léger, l’utilisation sans encadrement des objets connectés en lien avec les serveurs, le recours à des wifi publics non sécurisés, un manque de formation des collaborateurs aux règles essentielles de « l’hygiène informatique »... Quiconque disposant d’un ordinateur et de quelques connaissances pratiques peut infiltrer un écosystème mal protégé.

Or, en présence d’une faille de sécurité, le responsable du traitement se retrouve en première ligne. Il doit notifier à l’autorité de contrôle et aux personnes concernées la violation de données. Le défaut de sécurisation expose à de lourdes sanctions pénales et administratives. Il faut également compter avec les conséquences souvent désastreuses en termes d’image. Il est donc urgent de prendre conscience des risques liés à la cybersécurité.

Cette préoccupation prend un relief particulier avec le déploiement massif du télétravail à l’heure du Covid-19. En effet, 29% seulement des personnes interrogées dans le cadre d’un récent sondage indiquent prévoir une protection spécifique sur les PC des collaborateurs à domicile alors que les attaques sur les appareils personnels et les appareils mobiles des collaborateurs s’amplifient ! En d’autres termes, la pandémie de Covid-19 a provoqué celle de la cybercriminalité.

Tous les secteurs sont concernés. Les cabinets d’avocat n’y échappent donc pas, à l’exemple du cabinet new-yorkais Grubman Shire Meiselas & Sacks, victime d’une attaque de ransomware [1]. Ayant refusé de payer la rançon de 42 millions de dollars exigée par les hackers, des données confidentielles de clients médiatiques ont été rendues publiques, à l’instar de celles concernant Lady Gaga, occasionnant un très lourd préjudice économique et réputationnel au cabinet.

Les avocats sont donc directement responsables de la sécurité des données à caractère personnel de leurs clients, mais aussi de leurs données stratégiques, et il leur appartient d’anticiper et de circonscrire le risque des attaques qui peuvent survenir à tout moment.

Comme dans toute entreprise, ils doivent appliquer, au sein de leur cabinet, certaines règles : gérer strictement les accès aux serveurs et attribuer des niveaux d’habilitation en fonction des besoins réels des utilisateurs, supprimer les comptes des anciens collaborateurs, faire les mises à jour des logiciels de sécurité (même si cela oblige à redémarrer l’ordinateur !), disposer d’une politique de mots de passe robuste (imposer un nombre et une typologie de caractères, imposer une modification régulière des mots de passe, refuser leur communication à toute autre personne que son titulaire, etc.) ... autant de précautions basiques qui sont encore trop peu souvent mises en application.

De même, prendre des renseignements sur le prestataire informatique pressenti, sur les normes de sécurité qu’il propose, lui faire signer un engagement de confidentialité, encadrer les conditions d’intervention des services d’assistance (conditions d’accès à distance ou accès aux locaux), interdire toute sous-traitance sans accord préalable... sont autant de précautions indispensables pour prévenir les risques d’intrusion ou d’altération des données dont nous avons la responsabilité.

Il peut être utile de désigner un Délégué à la protection des données (DPD souvent désigné DPO : Data Protection Officer) pour veiller au respect des mesures de sécurité en conformité avec le RGPD. Celui-ci peut également avoir pour mission de sensibiliser et de former les collaborateurs et le personnel administratif. Le réflexe « sécurité » s’apprend et exige un suivi constant.

Il existe de nombreux guides pour instaurer les bonnes pratiques et les mesures de précaution standard. Ceux de l’ANSSI [2] ou encore de la CNIL [3]... et bien sûr celui du CNB, spécifique à la profession, mis en ligne depuis 2018 [4] qui précise les obligations à la charge des cabinets d’avocat. Il existe également des formations sur le sujet : les MOOC de l’ANSSI et de la CNIL évidemment, mais aussi les e-learning conçus par le Conseil National des Barreaux et proposés par les écoles d’avocats sur la protection des données personnelles, la cybersécurité et la cybercriminalité dont les prochaines sessions démarrent mi-septembre.

Les mesures à mettre en place sont certes contraignantes, mais elles sont indispensables pour préserver la confidentialité et le secret professionnel. Inutile en effet de se battre pour préserver le secret professionnel si on utilise des adresses e-mail non sécurisées et si les données de nos clients peuvent être appréhendées par des tiers !

C’est dire que désormais la cybersécurité fait partie de la pratique quotidienne de l’avocat et qu’il est indispensable de s’y former."

Christiane Féral-Schuhl, Présidente 2017-2020 du Conseil National des Barreaux.

Retrouvez le dossier de la Rédaction et les contributions d’experts dans le magazine en ligne ci-dessous.