Cyber-risque : la riposte des avocats

Lorsqu’en décembre dernier, sept firmes internationales basées à New York sont les cibles de cyberattaques et se font extorquer les données de leurs clients préparant des opérations d’acquisition, la panique s’empare aussi bien des avocats que des entreprises concernées. En revendant ces informations sur les marchés financiers, les hackers empochent alors plus de quatre millions de dollars. Ils seront condamnés par la justice américaine pour piratage et recel. Fin de l’affaire ? Pas tout à fait. Car entre temps le fait divers s’est transformé en signal d’alarme chez des avocats pour qui le risque de cyberattaque constitue une véritable épée de Damoclès. «?C’est un sujet explosif?!?», réagit l’avocat Alain Bensoussan – la référence en matière de droit informatique. Et ce, d’autant plus qu’une obligation déontologique de secret professionnel pèse sur la profession.

Cibles de choix

«?Le risque pour les avocats paraît minime par rapport aux entreprises du secteur bancaire et de la défense, tempère Michael Bittan, associé responsable du département cyber risk services chez Deloitte, une des plus importantes équipes de Paris avec cent vingt collaborateurs. Mais il existe néanmoins, et ce, quelle que soit la taille de la structure.?» Les cabinets d’avocats sont en effet des cibles de choix, car chez eux transitent des informations confidentielles sur des «?entreprises à hauts risques?».

La plupart des cabinets positionnés sur des deals à forts enjeux financiers ne prennent pas le problème à la légère. Pour eux, la sécurité informatique est une question de survie. D’ailleurs, ils font l’objet d’audits de la part de leurs clients et prospects. Des questionnaires destinés à contrôler l’accès aux locaux, à connaître le mode d’hébergement des données ou à vérifier leur cryptage dans les appareils mobiles sont envoyés à chaque appel d’offres. «?Une pratique pas très française?» pour Béatrice Delmas-Linel, associée chez Osborne Clark. «?Une tendance inspirée des compagnies anglo-saxonnes de plus en plus répandue dans les grandes entreprises françaises?», complète Patrick Ramon, secrétaire général chez August Debouzy.

«?Une condition non négociable?»

Les grands cabinets d’avocats ont compris qu’ils devaient s’armer comme n’importe quelle entreprise. C’est une donnée inhérente à leur organisation, conformément aux recommandations d’un digital champion à la Commission européenne, Gilles Babinet. «?La défense doit être en amont, à la fois technique et éthique, estime-t-il. C’est non seulement par la stratégie d’entreprise, mais aussi à travers les différents outils informatiques de prévention qu’on doit lutter contre le cyber-risque.?» Quant au dispositif de défense en aval, certaines structures mettent en place un «?disaster plan?» en interne, afin de limiter les pertes et de les cerner. D’autres encore font appel à des prestataires externes de gestion de crise.

L’Agence nationale de sécurité des systèmes d’information (Anssi) guide les petites structures dans la recherche de ces partenaires. «?L’Anssi qualifie des prestataires de sécurité informatique, dont les prestataires d’audit de la sécurité des systèmes d’information (Passi) en charge des audits?», explique Cyrille Tesser, référent Île-de-France de l’agence, qui recommande aux cabinets de consulter cette liste de prestataires compétents et de confiance sur le site internet ssi.gouv.fr.

Selon la taille de la structure, le budget sécurité varie. «?Osborne Clark y consacre 5?% de son chiffre d’affaires, équipements informatiques compris. C’était une condition non négociable de la charte d’engagement relative à la franchise du cabinet?», confie Béatrice Delmas-Linel. De même chez Bird & Bird?: «?Notre système de sécurité informatique est certifié ISO 27001 depuis 2004, déclare Ariane Mole, associée spécialiste de l’IP/IT. Il s’agit de la politique de sécurité globale de la firme?», souligne-t-elle. De vrais outils sont mis en place mais uniquement par des structures qui ont les moyens d’investir dans leur système informatique.

« Certains avocats ne sont pas du tout outillés, d’autres ont encore une adresse gmail.?»

«?Un cloud privé est offert à tous les avocats?»

«?L’équipement informatique varie d’un cabinet à l’autre, explique Patrick Le Donne, président de la commission dédiée au numérique du Conseil national des barreaux (CNB). Certains avocats ne sont pas du tout outillés, d’autres ont encore une adresse gmail.?» Difficile donc de garantir un système de protection de haut niveau dans un paysage aussi disparate. D’autant plus que les avocats entre eux ne semblent pas se préoccuper des méthodes utilisées par leurs confrères, pas même des bonnes pratiques. Comme si le sujet était trop sensible pour être discuté. Chacun s’organise sans communiquer sur les outils déployés.

Quant aux plus petites structures, elles se retrouvent isolées face à un risque réel. Les instances représentatives de la profession peuvent-elles leur servir de refuge?? Le CNB se penche sur le cyber-risque depuis 2012. Il met à disposition des avocats un «?guide de l’avocat numérique?» comprenant recommandations et bonnes pratiques. «?Depuis 2016, un cloud privé est offert à tous les avocats. Ils bénéficient d’un package informatique sécu­risé, indique Patrick Le Donne. Il comprend une boîte mail avec espace de stockage sécurisé, un drive, une messagerie instantanée ainsi qu’un carnet d’adresses.?» Le barreau de Paris, qui regroupe plus de la moitié des avocats de France, ne peut quant à lui fournir d’assistance en raison de son modèle?: «?Nous sommes beaucoup sollicités à la suite de piratages, confirme le directeur de sa DSI Christophe Bacoup. Mais nous ne pouvons pas vendre nos services aux avocats. Nous nous assurons de la sécurité des données de l’Ordre, et c’est déjà beaucoup?», confie celui qui est arrivé il y a quelques mois pour remplir cette mission de sécurisation.

Responsabilité professionnelle

Événement marginal ou risque répété, impossible de quantifier ni même d’évaluer le nombre de cyberattaques ou de tentatives visant les cabinets d’avocats. Tous en ont entendu parler, aucun dans le détail. Lorsque cela se produit, la police d’assurance peut alors faire office de bouée de secours. À Paris, le contrat d’adhésion négocié par l’Ordre ne garantit pas le risque contre les cyberattaques. Cependant, «?les avocats ont la liberté de s’assurer individuellement face à ce risque en souscrivant une complémentaire à leur couverture de base. Cet extra contient des volets de garantie dédiés au cyber-risque variant entre 150?000 et deux millions d’euros, explique Jérôme Tajan. Une étude “sur mesure” permet de porter cette garantie à plusieurs dizaines de millions d’euros en fonction de la taille et des besoins du cabinet?», précise le directeur du département des professions libérales et réglementées d’AON, l’assurance professionnelle de l’ordre des avocats de Paris. Pour le moment, seule une vingtaine de cabinets parisiens y ont souscrit. Une prise de conscience qui devrait s’accélérer à mesure que se multiplient les cyberattaques. Car, comme le souligne Alain Bensoussan, «?l’arsenal déployé face aux attaques va devenir un véritable argument marketing pour les cabinets.?» Message passé.

Pascale D’Amore et Nour Bensalah