Comme pour les autres organisations, « une cyberattaque peut rapidement mettre en péril la survie de l’organisation qui la subit ou, sans aller jusque-là, nuire gravement et durablement à son image et à la confiance qu’on lui accorde » [1].
Engagement de la responsabilité, atteinte à l’image, altération de la confiance des clients et partenaires de travail et pertes financières font partie des conséquences d’un incident cyber qu’il est essentiel de mesurer. Outre la limitation de ces impacts, essentielle pour la pérennité même de vos cabinets, se mobiliser pour assurer la sûreté numérique a une résonance particulière au regard des valeurs et obligations de la profession.

Mesurer les impacts d’un incident cyber au bénéfice de la pérennité du cabinet.

La détermination des impacts d’un incident cyber fait partie de l’analyse qu’un risk manager (expert interne ou partenaire spécialisé) sera en mesure de réaliser. Il fera le lien entre ce que peut raisonnablement craindre le cabinet et ce à quoi il est réellement exposé. Les événements redoutés (fuite de données, altération d’un fichier, usurpation d’identité, espionnage, etc.) seront étudiés avec précision et mis en scène, de manière réaliste, par rapport à l’activité du cabinet et aux valeurs de la profession.

La construction de ces scénarios permettra également d’évaluer la vraisemblance de la survenance des incidents, de les catégoriser selon une échelle de gravité propre à chaque structure d’exercice et de proposer la mise en place de mesures propres à réduire les risques à un niveau acceptable. « Le coût de la prévention, en faisant appel à des experts sera toujours moins important que le coût de la nécessité de réparer une fuite de données » [2].

Quels impacts ?

Les conséquences d’un incident cyber sont de plusieurs natures et peuvent revêtir différents niveaux de gravité. Elles peuvent aussi, sans surprise, se cumuler au détriment tant du cabinet, que de son/ ses client(s). Plus précisément, on y trouve des impacts sur le fonctionnement. Ceux- ci se mesurent, comme déjà évoqué, sur la capacité à réaliser les missions et fournir la prestation attendue. Un incident cyber peut également altérer les capacités de décision, avec une perte de la marge de manœuvres.

Des impacts humains peuvent également résulter d’un incident cyber, avec des conséquences directes ou indirectes sur l’intégrité physique des personnes (menaces de l’avocat lui-même ou de ses proches, mise en danger d’une personne bénéficiant de l’anonymisation de son témoignage, etc.) et sur le lien social interne (perte de confiance des collaborateurs et salariés, exacerbation de tensions, pression médiatique...).

Évidemment, s’agissant des avocats, surviendront vraisemblablement des impacts sur le patrimoine informationnel : perte de données, de savoir-faire et des capacités d’innovation, à la fois du cabinet lui-même (qui aurait créé une legaltech par exemple) et du client, dont les activités et les données pourraient être mises en péril.

Des impacts financiers seront aussi très probablement subis par le cabinet : perte de chiffre d’affaires (particulièrement en cas de clause d’honoraires de résultat, mais aussi en cas de faux ordre de virement), dépenses imprévues liée au rachat d’équipements informatiques, à la restauration des données, aux frais d’expertise (digital forensic), à la perte d’un appel d’offre (en raison d’un niveau de cybersécurité insuffisant par exemple3) et à d’autres "pénalités" (indemnisation du client pour perte de chance, en cas de faute de l’avocat, sanctions administratives/ pénales en cas de non-conformité au RGPD, etc.).

L’impact sur la réputation et l’image de marque, sur la notoriété et la renommée pourra être assez dévastateur, entraînant une perte de crédibilité vis-à-vis des clients, d’une position concurrentielle du cabinet, etc. Atteinte à la réputation et au renom qui, selon son retentissement médiatique et sur les réseaux sociaux, serait plus ou moins indélébile. Le cas échéant, cela pourrait d’ailleurs impliquer la mise en œuvre de voies de droit pour mettre un terme à l’atteinte à la réputation constatée.

D’autres effets préjudiciables des incidents cyber vont être décuplés en raison des missions de l’avocat et de l’étendue de sa responsabilité professionnelle au titre des devoirs et obligations déontologiques de la profession. On pense ici évidemment à l’impact juridique, lié à l’engagement potentiel de la responsabilité de l’avocat (faute civile, déontologique, pénale) et ce qui s’en suivra en termes financiers et réputationnels.

Se mobiliser pour la sûreté numérique au regard des valeurs et obligations de la profession.

Mettre la sûreté numérique en perspective des valeurs et obligations de la profession d’avocat permet de raisonner en replaçant le praticien au sein de son écosystème. Cette approche conduit à se demander quelles garanties l’avocat offre à son client, en termes de sécurité numérique, pour construire ou nourrir la relation de confiance indissociable de l’exercice de la profession. Elle renvoie ainsi aux principes essentiels de la profession, particulièrement en termes de prudence, de confidentialité et de secret professionnel.

L’état d’insécurité numérique résultant d’une protection insuffisante du cabinet incite en effet à s’interroger sur la responsabilité de l’avocat, à raison notamment des dommages qu’un cyber incident subi par le cabinet pourrait causer à ses membres et/ou aux tiers. En revanche, la construction d’une solide sûreté numérique du cabinet, associée à ces principes déontologiques qu’elle permettrait de consolider, pourrait permettre à l’avocat de se placer dans une situation privilégiée sur le marché de la prestation juridique.

Au niveau européen, comme au niveau national, les dispositions relatives aux principes essentiels de la profession évoquent le secret professionnel de l’avocat et la confidentialité de ses échanges et correspondances essentiellement sous l’angle d’une obligation déontologique pour le praticien et d’un droit fondamental du client.

Qu’en est-il du côté du client de l’avocat ? Les obligations imposées aux avocats eux- mêmes, en matière de sécurité informatique ne sont, pour l’instant du moins, exprimées qu’en termes de recommandations générales, sauf à s’inscrire dans le cadre précis de la protection des données personnelles au sens du RGPD. Cependant, le Code de déontologie des avocats européens prévoit que « les avocats doivent maintenir et développer leurs connaissances et leurs compétences professionnelles en tenant compte de la dimension européenne de leur profession » [3].

Et le Conseil des Barreaux européens en déduit explicitement que « de ces exigences découle un impératif de plus en plus présent pour les avocats d’acquérir les compétences pouvant s’avérer nécessaires pour garantir la protection des informations confidentielles des clients dans le monde virtuel » [4]. Certains estiment d’ailleurs qu’« il est regrettable que le règlement intérieur national n’intègre pas, parmi les obligations déontologiques de l’avocat, cette nécessité pour les avocats de protéger le secret professionnel de toutes les atteintes liées aux nouvelles technologies » [5].

Au-delà du seul cadre du RGPD et peut-être sans aller jusqu’à reconnaître la nécessité de consacrer un « devoir de l’avocat d’être technologiquement compétent » [6], il n’en reste pas moins presque certain qu’assurer la sûreté numérique du cabinet est, concrètement, le moyen de rendre plus effective l’obligation de confidentialité prévue à l’article 3 du Règlement Intérieur National (RIN).

Sans aller jusqu’à envisager une obligation de résultat, une obligation de moyens pourrait donc bien finir par émerger et devenir opposable au praticien en matière de cybersécurité. Et cette obligation aurait une portée d’autant plus large que l’avocat doit faire respecter le secret non seulement par les membres du personnel de son cabinet, mais aussi, sauf disposition contractuelle particulière, « par toute personne qui coopère avec lui dans son activité professionnelle ».

Lire également :
 Vers l’émergence d’une obligation de moyens, opposable à l’avocat, en matière de cybersécurité ?
 Assurances : êtes-vous bien protégé(es) contre le risque cyber ?

À première vue, il suffisait d’inverser le raisonnement sur les différents impacts d’un incident cyber pour mesurer les intérêts d’évaluer et de réduire son exposition aux risques cyber. Mais il s’avère que s’impliquer dans la cybersécurité et la cyberrésilience du cabinet a des incidences allant bien au-delà de la seule pérennité de la structure d’exercice : apportant une véritable plus-value à l’activité du praticien, replacé au cœur de son écosystème en tant que partenaire de confiance, la sûreté numérique permet aussi de promouvoir les valeurs et principes essentiels de la profession.

Les enjeux de la sûreté numérique ainsi évoqués, il reste à se pencher sur la manière dont il est possible d’agir concrètement. Comme nous l’avons vu, les solutions de réduction du risque cyber sont autant techniques (pare-feu, sauvegardes, chiffrement des données, etc.), que liées à la mise en place de processus d’analyse de risques notamment. Elles passent aussi par des actions de sensibilisation et de formation des utilisateurs qui vont permettre d’agir au quotidien pour prévenir les incidents cyber et, plus largement les fuites de données. Les dangers sont nombreux, mais ils peuvent « être fortement réduits par un ensemble de bonnes pratiques, peu coûteuses, voire gratuites, et faciles à mettre en œuvre au sein du cabinet » [7].

A suivre : Mettre en place des mesures d’hygiène numérique au sein des structures d’exercice...

Par A. Dorange Responsable éditoriale du Journal du Village de la Justice