Inventorier le patrimoine informationnel du cabinet est une première étape (Comment faire ? C’est à lire ici) importante dans la construction de la sûreté numérique du cabinet. Ces actions sont nécessaires, mais elles ne suffisent malheureusement pas à garantir, dans le cyberespace, la confidentialité des informations et données détenues ou créées par les avocats. Il ne s’agit pas seulement de sécuriser les outils et systèmes informatiques et leur utilisation, mais aussi de protéger toute l’activité du cabinet, en lui permettant d’affronter efficacement une cyberattaque ou, plus largement, une fuite ou une altération de données. Et tels sont précisément les objets de la cybersécurité et de la cyberrésilience, qui doivent devenir un impératif pour les cabinets d’avocat. Pour être en mesure de gérer l’insécurité numérique du cabinet, il faut être prêt, le cas échéant, à changer de paradigme et à modifier ses habitudes.

S’informer sur les menaces.

Impossible, aujourd’hui, de nier l’ampleur du phénomène : les incidents cyber sont en augmentation croissante. La menace ne fléchît pas, bien au contraire, elle se renforce et se diversifie : « la cybercriminalité évolue à un rythme effréné, et de nouvelles tendances ne cessent d’apparaître » [1].

Les cybermenaces sont multiples. Utilisation illégale d’un mot de passe, vol ou perte d’équipements informatiques, logiciels malveillants et virus informatiques, hameçonnage, écoutes téléphoniques illégales, piratage d’objets connectés, comportements négligents et à risques ne sont, malheureusement, qu’une partie des cas auxquels les cabinets d’avocat peuvent, comme les autres organisations, être confrontés. Impossible donc d’en établir une liste exhaustive, tant leur variabilité est grande.

Indépendamment des motivations des cybercriminels (financières, idéologiques, reconnaissance sociale, espionnage industriel, surveillance, déstabilisation par atteinte à l’image et la réputation ou par sabotage) et des évolutions de leurs profils, il peut être admis que les actes de cybermalveillance sont, au sens large, des actions tentées ou commises contre ou grâce aux outils, systèmes et infrastructures informatiques et numériques.

Sans entrer dans un examen détaillé et exhaustif des différentes menaces pesant sur les données et informations détenues par les cabinets d’avocat, il est possible de retenir quelques idées directrices pour appréhender la matière.

Il faut avoir conscience que la source des menaces est diversifiée : ces dernières peuvent être techniques ou humaines, externes ou internes à la structure, sachant que près d’un incident pour trois est d’origine humaine et interne.

Dans tous les cas et comme pour les autres organisations, les besoins en cyberprotection se mesurent en termes de confidentialité, de disponibilité45 et d’intégrité des données et informations. Tels sont précisément le rôle et la finalité des audits techniques et organisationnels de cybersécurité : déterminer, avec précision et réalisme, si le cabinet est ou non exposé à chacune des sources de menaces, dans quelles proportions et de mesurer les risques afférents.

Du côté des menaces d’origine humaine, deux idées seraient principalement à retenir : d’une part, le fait que les personnes à l’origine de l’incident peuvent agir de façon intentionnelle ou accidentelle ; d’autre part, le fait que l’auteur de l’incident peut disposer de plus ou moins grandes capacités de nuisances selon notamment son expertise, ses ressources, le temps dont il dispose, ainsi que ses possibilités d’accès et d’action sur le système d’information.

Du côté des menaces d’origine technique, elles peuvent également être internes ou externes à l’organisation, les attaques pouvant être réalisées à distance ou non. Concentrons- nous plus spécifiquement sur les menaces pesant particulièrement sur les outils digitaux (équipements informatiques, logiciels, canaux informatiques et de téléphonie), ainsi que sur les supports papier. Tous peuvent être détournés, espionnés, modifiés ou perdus, ce qui va également affecter la disponibilité, l’intégrité et la confidentialité des données et informations.

 Le matériel peut être détourné, c’est-à-dire être utilisé à d’autres fins que celles prévues sans pour autant être modifié, ni endommagé.

 Le matériel peut être perdu par exemple lors d’un déménagement, d’un déplacement professionnel ou d’un envoi postal.

 Le matériel peut être modifié ou dégradé, par le retrait, l’ajout, la substitution ou la désactivation d’un élément.

 Le matériel peut être espionné : il s’agit ici d’être observé ou écouté à l’intérieur ou à l’extérieur de locaux.

On retrouve donc ici, sans véritable surprise, la dualité entre l’aspect technique et l’aspect comportemental de la cybermalveillance et de la cybercriminalité, évoquée en introduction. Mais aussi utile soit-elle, cette opposition technique/comportemental n’est pas suffisante pour rendre compte de l’état des menaces pesant sur les cabinets.

À côté des failles de sécurité et des moyens techniques utilisés, il faut impérativement prendre la mesure des dangers résultant de ce que l’on appelle l’ingénierie sociale (social engineering). Pour faire simple, dans ce dernier cadre, il n’est pas question de "pirater" directement les systèmes et réseaux, mais d’agir sur le comportement humain. La personne visée, considérée comme le « maillon faible de la sécurité du système d’information », est manipulée, influencée (corruption, chantage, harcèlement, embrigadement, satisfaction de l’ego, etc.). L’idée est de l’amener à divulguer une information ou des données confidentielles ou à réaliser d’autres types d’actions (exécution d’un virement bancaire, communication d’un mot de passe, autorisation d’accès physique aux locaux, etc.). Les moyens malveillants sont alors introduits au sein de l’organisation en exploitant la confiance, l’ignorance ou la naïveté de la victime, par voie numérique ou non d’ailleurs (e-mail, téléphone, courrier, contact direct, réseaux sociaux, etc.).

La question ne semble donc pas tant être de savoir si, mais quand on va être attaqué. Loin de nous, une fois encore, l’idée de vouloir véhiculer uniquement un discours alarmiste. Il est tout à fait possible de gérer efficacement un incident cyber. En sus des mesures de cybersécurité, qui se concentrent, au sens strict, sur les solutions techniques de sécurité informatique permettant de réduire les risques, il faut être prêt à réagir lorsque le risque se réalisera. Et, pour limiter la portée de l’incident, il est important d’avoir préalablement déterminé les actions à réaliser et les comportements à adopter avant, pendant et après l’événement.

Se préparer à réagir à un incident cyber.

En dépit d’une bonne sécurisation des équipements informatiques et d’une sensibilisation efficace et régulière des utilisateurs, le risque d’une cyberattaque ne peut pas être complètement écarté. Et, « en matière de protection des systèmes d’information, l’anticipation est la clé ». Il faut donc bâtir une véritable politique de sécurité, adaptées aux spécificités du cabinet. Et c’est ici que l’accompagnement par un spécialiste prendra particulièrement tout son sens (réalisation d’audits, construction d’un plan de gestion de crise, gestion de la crise cyber en temps réel), sans d’ailleurs que cela implique forcément un budget démesuré. Dans un monde idéal, toutes les organisations disposeraient de moyens et de ressources dédiées, auraient un plan de gestion de crise et de pouvoir s’appuyer sur une équipe interne qualifiée. Il est certain que la réalité est toute autre...

Un premier défi pour le non-spécialiste est de savoir réagir dans l’urgence, pour limiter les impacts d’une attaque.
En effet, si, en dépit des précautions prises, une cyberattaque survient, il faut avoir à l’esprit qu’une mauvaise réaction peut avoir pour conséquence, sinon d’aggraver la situation, du moins d’empêcher le traitement efficient du problème. En raison de la diversité des cybermalveillances, il serait inopportun – pour ne pas dire contreproductif – d’envisager une seule bonne manière de réagir à une cyberattaque. Il n’existe pas de solution universelle ; tout dépendra notamment de la nature de l’événement et de son ampleur. Évidemment, nous laissons (bien volontiers !) les experts en la matière déployer leur savoir- faire. Mais la connaissance de quelques principes de base peut permettre au cabinet d’agir rapidement pour « limiter les dégâts ». Une description succincte et toutes proportions gardées, de ce qu’il est préconisé de faire peut s’avérer salutaire.

Il est certain que pour pouvoir réagir à une cyberattaque, encore faut-il avoir pu la détecter... sachant que plus l’attaque s’étire dans le temps, plus elle sera complexe à gérer.

1) La détection est donc le point de départ de la gestion de l’incident. Le constat d’un comportement inhabituel d’un poste de travail est ici, sans surprise, un bon indicateur : ordinateur fortement ralenti, connexion impossible, problème de droits d’accès à une application métier, alertes de l’anti-virus, modifications non volontaires de fichiers ou de la page d’accueil du site du cabinet, fonctionnalités activées sans autorisation, multiples alertes de l’antivirus, publicités intempestives abondantes, perte de l’espace de stockage sur les serveurs, arrêt intempestif du poste de travail, etc. D’où l’importance d’utiliser a minima un antivirus et un pare-feu (firewall) et de maintenir à jour ces éléments, ainsi, d’ailleurs, que les applications et logiciels métiers utilisés.

Dans ce cas spécifique d’une attaque ransomware, ne pas payer la rançon ! Pour le reste, il faut exécuter les gestes de « premier secours », tout en gardant son calme... Le premier réflexe est de déconnecter l’ordinateur du réseau, mais non de l’éteindre. En débranchant le câble de connexion à internet ou en désactivant la connexion wifi, toutes les communications vers et depuis Internet seront bloquées. Cela permettra non seulement de stopper l’attaque et de réduire les risques de fuite de données, mais aussi de limiter sa propagation à d’autres appareils que celui qui est ainsi isolé. En revanche, il ne faut pas éteindre l’ordinateur, ni le redémarrer. Ce faisant, le risque est en effet de perdre des informations utiles pour l’analyse de l’attaque, en supprimant toute possibilité de remonter à l’auteur de l’attaque (préservation des preuves). Il n’est pas recommandé de procéder à une sauvegarde des données à ce moment-là, au risque d’amplifier le phénomène et de contaminer les supports de stockage amovibles.

2) Le deuxième réflexe est de commencer à documenter l’évènement, en retraçant les faits liés à l’incident .

Date et heure, nom de la personne à l’origine de l’action ou ayant été informée de l’évènement, description factuelle de ce qui s’est passé. L’idée est de pouvoir retrouver les circonstances dans lesquelles les données et outils ont évolué : traçabilité des actions menées, authentification des utilisateurs, imputabilité du responsable de l’action effectuée. Ce « journal » sera progressivement complété pour expliciter les actions réalisées au cours des périodes entourant la survenance de l’incident.

3) Le troisième réflexe est d’avertir (la hiérarchie, ses confrères, les membres du cabinet) et de trouver une assistance technique.

Auprès du référent en sécurité des systèmes d’information du cabinet, auprès du prestataire spécialisé en cybersécurité au titre du contrat conclu avec le cabinet ou bien encore par l’intermédiaire de la plateforme cybermalveillance.gouv.fr mise en place pour le gouvernement pour aider les entités ne disposant ni des ressources, ni de l’expertise nécessaire. La plateforme permet, après un diagnostic personnalisé, d’être mis en relation avec un réseau de professionnels en sécurité numérique de proximité. Une réaction rapide est essentielle à la maîtrise de l’incident. Mais pour échanger, il peut être prudent de ne plus utiliser les systèmes et réseaux habituels, qui peuvent avoir été compromis, et d’utiliser des outils alternatifs.

Concomitamment, il faut diagnostiquer l’incident, le traiter et évaluer la gravité des événements. Cela suppose la plupart du temps l’aide d’un spécialiste, voire l’activation d’une cellule de crise, si le fonctionnement du cabinet était fortement impacté par l’attaque. Leur tâche sera de définir et de piloter les actions nécessaires pour enrayer l’incident, sécuriser l’environnement informatique et sortir de la crise. En somme, d’organiser la réponse adéquate sur les plans à la fois technique, organisationnel et opérationnel.

Le contrôle de la communication, interne et externe, sera également essentiel. Il faut en effet non seulement organiser les échanges avec les personnes en charge de la gestion technique de l’incident et les associés du cabinet, mais aussi prévenir les autres membres du cabinet : leur communiquer les actions à réaliser à leur niveau, leur indiquer les personnes à qui s’adresser pour faire remonter les informations, les tenir régulièrement informés de l’évolution de la situation. Au besoin, il pourra être utile de rappeler la mise en œuvre de la clause de confidentialité pour maîtriser les échanges, particulièrement à l’égard des médias et sur les réseaux sociaux.

D’autres actions « de communication », quasi-intuitives chez les professionnels du droit, seront aussi à réaliser à bref délai :
 notifier la violation de données personnelles à la CNIL ;
 prendre contact avec les autorités policières pour envisager un dépôt de plainte ;
 et, le cas échéant, solliciter son assureur (Lire à ce sujet : "Assurances : êtes-vous bien protégé(es) contre le risque cyber ?" )

Il faudra aussi, une fois que l’incident sera globalement maîtrisé et en fonction des conséquences de ce dernier, songer à informer les clients et les partenaires du cabinet. Le cas échéant, il pourra également être opportun de penser à prévenir l’Ordre, ne serait-ce que pour qu’une communication soit adressée à l’ensemble des confrères du Barreau, aux fins de les inviter à une vigilance renforcée.

On l’aura compris, faire un inventaire précis des données et informations dont dispose le cabinet, s’informer sur les cybermalveillances, faire réaliser une analyse des risques et disposer d’un accompagnement par un spécialiste tendent à devenir un « passage obligé » pour assurer la sûreté numérique du cabinet.
Ne serait-ce que pour pouvoir affronter et surmonter la crise, bien que les avantages de la mise en place des mesures à la fois préventives et réactives pour gérer les risques auxquels le cabinet est exposé ne se mesurent pas qu’en termes techniques et opérationnels. La démarche a vocation à s’inscrire dans la durée, selon une logique continue d’amélioration et d’ajustement. Mais intégrer dès à présent la gouvernance du risque numérique dans le fonctionnement quotidien de sa structure d’exercice est une démarche qui s’avèrera, avec certitude, « payante » à plus ou moins long terme. C’est pourquoi l’avocat doit valoriser son engagement et les investissements qu’il réalise en la matière.

Par Aude Dorange Responsable éditoriale du Journal du Village de la Justice