Le rapport de la mission « Perben » [1], comme d’autres avant lui [2] a formulé des propositions sur l’avenir de la profession d’avocat qui intègrent très largement l’analyse du marché du droit et des perspectives de développement du « legal business ». Indépendamment du clivage profond que provoque l’analyse économique des activités des professionnels du droit, « tous les acteurs qui offrent des services juridiques, en particulier les avocats et leurs organisations professionnelles, savent bien qu’ils opèrent dans un environnement concurrentiel » [3]. La cybersécurité ne serait-elle pas en passe de devenir un avantage concurrentiel pour les avocats ? Gage de professionnalisme, la cybersécurité devient surtout un moteur de restructuration du marché. Tel est en tout cas le point de vue de Nicolas Zubinski, Expert en stratégie et intelligence économique.

« La conviction que le droit n’est pas une simple marchandise n’impose (...) pas obligatoirement d’ignorer les règles du marché, ou d’imaginer qu’on peut y échapper » [4]. Or, la grande majorité du marché des cabinets avocats est constitué de structures d’exercice équivalentes, en taille, à des TPE-PME [5]. Leurs capacités d’investissement et fonctions supports sont réduites. Et, dans ce contexte, la cybersécurité est souvent perçue comme un énième centre de coût.

Il importe donc, pour commencer, de se débarrasser d’une croyance communément partagée, selon laquelle la sécurité informatique, et plus généralement celle de l’information, serait coûteuse. Or tel n’est pas forcément le cas [6]. Prenons deux hypothèses usuelles, la protection contre les atteintes aux outils de production puis la fuite d’informations critiques.

Dans le premier cas, la sécurité s’acquiert essentiellement par l’adaptation des comportements humains aux risques inhérents de l’environnement informatique. Ce qui s’avère peu onéreux et particulièrement efficace. Ainsi, maintenir une bonne hygiène numérique permet d’atteindre un seuil acceptable de protection.
L’application des guides de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) relatifs aux « bonnes pratiques de l’informatique » [7] et au « nomadisme numérique » [8] permet, à elle seule, de considérablement réduire l’exposition des cabinets d’avocats aux cyber-attaques.

Dans le second cas, pour prévenir le risque de divulgation des informations détenues par les cabinets d’avocats, notamment couvertes par le secret professionnel, le recours à des technologies de chiffrement permet de neutraliser les possibilités d’exploitation de fuites d’informations (celles-ci rendant les données illisibles pour toute personne ne disposant pas de la clé de déchiffrement). Or les technologies de chiffrement à des fins professionnelles sont, elles-aussi, peu onéreuses. Elles permettent en outre de protéger aussi bien les canaux de communications, que les documents de travail (brouillon de jeu d’écritures, dossier de plaidoirie ou de preuve, stratégie de négociation, compte rendu d’investigation, etc.). En somme, un investissement bien modeste, pour un large champ d’application et d’importants effets bénéfiques.

Pour saisir ces enjeux, il faut en revenir au secret professionnel de l’avocat. Cette obligation se fonde sur la détention, par les avocats, d’informations qui sont critiques pour les intérêts de leurs clients et dont la confidentialité doit être impérativement préservée. Par conséquent, la capacité des cabinets à déployer et à utiliser convenablement des environnements virtuels sécurisés se révèle être une garantie de mise en œuvre du secret professionnel.

Alors, le paradigme s’inverse : il ne s’agit plus (seulement) pour l’avocat de se protéger d’une menace hypothétique, mais surtout d’exploiter un avantage qualitatif dans une démarche de business development. Grâce à la cybersécurité, les cabinets d’avocats – peu important la taille de la structure – vont pouvoir renforcer leur image de marque et se créer de nouvelles opportunités (dossiers à plus forts enjeux stratégiques ou particulièrement médiatisés).

Or, il est piquant de constater que cette profession n’offre toujours pas, dans sa très large globalité, des standards de sécurité informatique et informationnelle satisfaisant au regard de la criticité des informations qu’elle manipule. Sachant que l’intuitu personae et le capital réputationnel sont des facteurs clefs du choix d’un avocat, la cybersécurité s’avère être un enjeu commercial méconnu et sous-estimé.

Pourtant, elle est un critère décisionnel pour le client, d’autant plus présent dans les secteurs d’activités manipulant de l’information à haute criticité, au sein desquels se développent de manière croissante des écosystèmes de confiance. L’avocat y prend une place particulière du fait des impératifs et garanties liés au secret professionnel.
C’est pourquoi - rappelons-le, quelle que soit la taille de la structure -, les cabinets adoptant des standards élevés de protection de l’information pourront accéder à de nouvelles niches et accéder à des affaires pour lesquels les taux de marge sont plus élevés. La cybersécurité est à ce titre un moyen peu coûteux d’élargir son réseau d’affaires et d’accéder à de nouveaux profils de clientèle et d’accroître ses honoraires.

Il s’agit d’évacuer le prisme sécuritaire qui occulte l’intérêt commercial de la cybersécurité. La cybersécurité est aujourd’hui un moteur de restructuration du marché de la prestation juridique. Le regain de sensibilité du marché de la prestation juridique aux risques informatiques et informationnels s’exprime par des indices profondément impactants. Il se concrétise par l’évolution, d’une part, des régimes de couverture en cyber-assurance et, d’autre part, des pratiques d’achats de prestations juridiques chez les professionnels.
Prenons spécifiquement le cas de l’émergence du cyber-rating, c’est-à-dire de la notation des standards informatiques appliqué par une organisation. Elle est de nature à impacter directement le régime de cyber-assurance [9] en fournissant aux assureurs des outils d’évaluation et de notation de la maturité informatique de leurs assurés. Ce faisant, le cyber-rating favorise l’introduction de nouvelles clauses d’exonération de garantie dans leur police d’assurance. Et, ceci, notamment en visant la négligence de l’assuré (ou de ses préposés) ou l’insuffisance manifeste des moyens de protection de la donnée...

L’augmentation constante de la cybermenace et sa diversification font de la cyber-assurance un enjeu financier ne pouvant plus être négligé. Outre les assureurs, les cabinets d’avocats eux-mêmes ne tarderont pas à se voir imposer des standards de notation cyber. Si la notation financière des cabinets d’avocats impacte peu le processus décisionnel de leur client, la notation cyber, elle, le sera bien davantage. En effet, plus les conditions de couverture des cyber-assurances se durcissent, plus la cybersécurité devient un paramètre de contractualisation pour les entreprises. Et ceci devrait conduire à une modification de leurs politiques achats et, en conséquence, faire de la cybersécurité un critère pertinent d’éligibilité des candidatures dans les appels d’offre des prestations de conseil juridiques.

Article initialement paru dans le Journal du Village de la Justice n° 91, spécial sûreté numérique des cabinets d’avocat.

Nicolas Zubinski Directeur Général chez Ogma Intelligence Conseil en intelligence stratégique, sécurité économique & communication d'influence