|
Village de la Justice www.village-justice.com |
 La cybersécurité des avocats à #transfodroit : marqueur d’une conscientisation des enjeux.
|
|
Parution : mardi 7 novembre 2023
Adresse de l'article original :
https://www.village-justice.com/articles/cybersecurite-des-avocats-transfodroit-marqueur-une-conscientisation-des-enjeux,47642.html Reproduction interdite sans autorisation de l'auteur. |
De très nombreux sujets ont été abordés lors de la 7e édition des Rendez-vous des Transformations du droit. L’un d’eux montre une transformation notable de l’univers des avocats, avec deux conférences dédiées à la cybersécurité des cabinets. Un petit pas pour #transfodroit, un grand pas pour la confidentialité et le renforcement du secret professionnel dans l’espace numérique !
Voici les points-clés des échanges sur la cybersécurité et la gestion de crise cyber, menés sous la houlette de l’Incubateur du barreau de Paris et du Cercle Informatique Juridique, invités par les organisateurs [1] à témoigner et partager, suivi de nos Replay.
Le sujet de la cybersécurité des cabinets d’avocats n’est certes pas nouveau. Nous vous en parlons d’ailleurs depuis près de 3 ans [2].
Mais une telle prise en considération du sujet lors des Rendez-vous des Transformations du Droit n’est pas anodine. Elle se veut aussi rassurante sur une prochaine transformation en profondeur des pratiques.
Le dernier rapport du CERT-FR (ANSSI) sur l’état de la menace informatique contre les cabinets d’avocats [3] aura-t-il eu un impact décisif dans la prise en considération, non plus seulement affichée, mais bel et bien assumée de la sûreté numérique des cabinets d’avocat ?
Rien n’est moins sûr, tant il est vrai que la profession s’est déjà, peu ou prou, emparée du sujet. Ce rapport n’en a pas moins – sans surprise ! – été cité lors de deux conférences en la matière.
Quoi qu’il en soit, le discours est unanime : les cabinets d’avocats sont exposés à plusieurs risques de cybersécurité et de cyberattaques. Qu’il s’agisse de prévenir les cyber incidents ou de gérer la survenance d’un incident cyber, les deux conférences, nourries de retours d’expérience, ont été l’occasion de rappeler et de partager, sans jargonnage, de bonnes pratiques d’hygiène numérique et de protection en la matière.
À consulter également, sur la cybersécurité des cabinets d’avocats :
- le Journal du Village de la Justice n°91 ;
- le Journal du Village de la Justice n°92 ;
- le dossier permanent #cybersécurité du Village de la Justice.
Conférence sur la cybersécurité des avocats - Incubateur du barreau de Paris
Vendredi 6 octobre, 12h-12h45
Intervenants :
- Pierre-Xavier Chomiac de Sas, avocat au barreau de Paris, membre de l’Incubateur du barreau de Paris ;
- RSSI du barreau de Paris.
La conférence de l’Incubateur du barreau de Paris avait pour objet la transition numérique dans la profession d’avocat et les enjeux de la cybersécurité des cabinets. Les intervenants ont d’abord rappelé la manière dont les évolutions des usages numériques affectent la société en général, et les activités des avocats en particulier.
Ils ont ainsi mentionné de nombreux exemples de cette digitalisation croissante de l’activité, de l’usage des smartphones aux réseaux sociaux, en passant par les nouveautés des legaltechs (par ex. pour la recherche de jurisprudence et les logiciels de gestion de cabinet), et bien sûr les outils d’intelligence artificielle.
Outre l’impact de la numérisation sur la profession d’avocat, la conférence a surtout été l’occasion de faire le point sur les cyberattaques et menaces récentes, ainsi que sur le devoir de cybersécurité des professionnels du droit avec les outils juridiques, légaux et techniques à leur disposition.
Et, en la matière, la panoplie est large, foi de RSSI ! De « l’artillerie lourde » (l’existence d’un département informatique au sein du cabinet), aux "basiques" de l’hygiène numérique, en passant par l’accompagnement par des professionnels du secteur, il existe de très nombreuses possibilités - non nécessairement coûteuses - pour protéger les secrets dont les avocats sont dépositaires et, partant, préserver la sécurité, la viabilité et la réputation du cabinet !
La gestion de crise en cas d’attaque cyber de cabinets d’avocats - Cercle Informatique Juridique
Vendredi 6 octobre, 15h-16h
Intervenants :
- Delphine Chevallier, présidente du cabinet de conseil en stratégie de cyber sécurité Thalia NeoMedia ;
- Marine Hardy, avocate au barreau de Paris, ITLAW ;
- Frédéric Soulier, RSSI de CMS, membre du Cercle Informatique Juridique (CIJ) ;
- Christophe Tallot, DSI Mazars, membre du Cercle Informatique Juridique (CIJ).
Un incident cyber survient. Que faire en priorité ? Faut-il mettre en place une cellule de crise ? Comment, quoi et à qui communiquer ? Quelles sont nos obligations ? Qui pouvons-nous appeler à la rescousse ? Quelles sont les spécificités pour les cabinets d’avocats ? Se préparer à gérer une crise de type cybersécurité c’est avoir anticipé et s’être entraîné. Le but ? Disposer d’un fil rouge pour réagir de manière appropriée et sortir de la crise aussi rapidement que possible !
Autant de sujets abordés lors de la conférence du Cercle Informatique Juridique, avec le retour d’expérience d’un cabinet dont les bureaux ont subi une cyberattaque. Un témoignage instructif, enrichi de nombreux conseils des autres intervenants de la table ronde.
Les impacts d’une crise cyber pour les cabinets d’avocats peuvent être multiples. Tout d’abord, en cas d’attaque, les ordinateurs peuvent être hors service, ce qui rend difficile, voire impossible, le travail quotidien, particulièrement la communication avec les clients et la gestion des procédures judiciaires.
Après avoir souligné que toutes les entreprises, y compris les cabinets d’avocats, sont susceptibles d’être victimes de cyber attaques, qui peuvent avoir des conséquences financières, affecter la réputation de l’entreprise et compromettre la sécurité des données des clients, la table ronde a permis de rappeler l’importance de la sensibilisation aux menaces, de la mise en place de mesures techniques et organisationnelles de protection contre les attaques cyber, et de l’élaboration d’un plan de gestion de crise en cas d’attaque.
Tous ont souligné l’importance d’une réponse rapide et bien coordonnée en cas de cyber crise. Pour cela, il est nécessaire de disposer d’un plan de gestion de crise préalablement élaboré afin de pouvoir répondre rapidement et efficacement à la situation : activation d’une cellule de crise composée d’une équipe dédiée, "plan B" pour assurer la continuité des dossiers juridictionnels (réseau de confrères par ex.), élaboration de procédures pour contacter des experts spécialisés dans la gestion des crises cyber, coordonner la réponse aux clients, souvent informés par d’autres canaux, et inquiets pour leurs données.Il sera également souvent nécessaire de signaler l’incident aux autorités et il pourra être utile d’avoir recours à des assurances cyber qui offrent une assistance et des experts pour vous aider à faire face à la crise.
L’anticipation et le bon sens (pratique) sont deux clés pour survivre à un incident cyber, mais les choses ne sont pas forcément complexes à mettre en œuvre. La première (bonne) question à se poser ? Si je n’ai plus d’ordinateur et/ou de téléphone, comment est-ce que je continue à travailler ?
A noter :
La 8e édition des Rendez-vous des Transformations du droit se tiendra en novembre 2024 à Paris.
[1] Village de la justice et Open Law*.
[2] Voir not. le Journal du Village de la Justice n°91, le Journal du Village de la Justice n°92 et le dossier permanent #cybersécurité du Village de la Justice