La lettre d'Option Droit & Affaires

Focus

Cybercriminalité : avocats, vous êtes aussi concernés

Lettre Option Droit & Affaires - 25 mai 2016 - Delphine Iweins

Ransomware, phishing, spear phishing, défiguration de sites, vols de données personnelles, fraude au président. Autant de termes, plus ou moins connus, qui représentent les menaces actuelles de cybercriminalité. Et les avocats sont aussi visés.

Selon une récente étude de Consio Technologies, 77 % des attaques cybercriminelles ont concerné, en 2015, les systèmes d’information de PME. Les études concernant les cabinets d’avocats se font plus rares, mais la problématique principale reste la même: comment bien sécuriser ses données ? «Compte tenu des obligations de confidentialité et de protection du secret professionnel, très accentuées par les règles déontologiques régissant la profession d’avocat (ce qui fait d’ailleurs la force de la profession), les cabinets doivent mettre en œuvre les moyens raisonnables pour sécuriser tant les échanges avec leurs clients que les documents confiés», insiste Brigitte Van Dorsselaere, fondatrice d’Image Juridique.

Nul n’est à l’abri d’un pirate ou d’un virus.
Sécuriser sa messagerie et ses échanges. «Il faut accepter l’idée qu’une messagerie ne peut pas être 100 % sécurisée. Structurellement, ces outils laissent entrer tous les virus. Les virus peuvent être indirects, ils peuvent venir de personnes qui ignorent être infectées», développe Jérôme Cazes, président de MyCercle. Sécuriser pleinement sa boîte mail ou ne pas en utiliser du tout sont donc deux solutions à exclure. Des réflexes simples peuvent, en effet, permettre de restreindre les attaques. «Le danger concerne la pièce jointe et tout ce qui est cliquable dans le corps du mail. Or l’expérience prouve qu’à partir du moment où le corps du mail est bien présenté, n’importe qui va cliquer», continue Jérôme Cazes. C’est pourquoi l’Agence nationale de la sécurité des services d’information (ANSSI) préconise de veiller à l’identité des expéditeurs des mails. Une pièce jointe reçue doit être une pièce jointe attendue d’une personne connue. Si ce n’est pas le cas, mieux vaut supprimer le courriel. Les cabinets peuvent aussi mettre en place des campagnes de sensibilisation de l’ensemble de leurs avocats et de leur personnel. «Nous rappelons régulièrement à nos collaborateurs les réflexes à avoir», témoigne Caroline Arène, avocate au barreau de Paris et fondatrice d’une petite structure. Comme les entreprises, notamment du secteur bancaire, les avocats peuvent mettre en place, sur leur site internet ou sur un serveur externe, des espaces sécurisés pour échanger des documents avec leurs clients. Les tiers, munis d’un nom d’utilisateur et d’un mot de passe personnalisé, ont ainsi accès à l’ensemble de leurs dossiers en ligne. Une solution utilisée aujourd’hui par seulement un cabinet sur 100, selon la dernière étude de MyCercle réalisée auprès de 1 840 cabinets dans 13 barreaux. «Les avocats doivent comprendre que la sécurité d’un échange doit prendre en compte le partenaire», insiste Jérôme Cazes. Tout l’enjeu pour l’avocat va donc être de trouver un outil, qui va être accepté par le client et qui réduira les risques de piratages. Au-delà des virus et de la perte des données, c’est aussi la question de la confidentialité des échanges qui est en jeu. «La plupart des avocats utilisent leur messagerie comme stockage d’information, le pirate peut donc y trouver tout l’historique des dossiers», précise le président de MyCercle. Le cabinet d’avocat panaméen, Mossack Fonseca, en est la dernière illustration médiatique. A la suite du scandale dit des «Panama Papers», le cabinet a précisé à ses clients que le pirate s’était introduit par le serveur de la messagerie personnelle de la structure, trouvant ainsi l’ensemble des mails et pièces jointes échangés depuis plusieurs années.

Sauvegarder quotidiennement ses données.

Ces précautions d’usages sont utiles, mais ne représentent pas l’unique solution pour lutter contre des attaques cybercriminelles. En effet, les dangers se glissent aussi, et surtout, dans des mails d’expéditeurs connus. «Très souvent, les virus de type rançon sont portés par des mails d’avocats ou d’experts-comptables», explique Gérard Halfon, fondateur de la société A’Prim Informatique. Les courriels échangés entre confrères deviennent alors aussi une menace. Ces «ransomware» derniers-nés de la famille des crypto-virus, ont comme particularité de chiffrer l’ensemble des données de l’ordinateur infecté. Ainsi, si l’utilisateur de l’ordinateur en question est connecté à son espace client sécurisé, à un cloud, à son disque dur externe ou à son serveur au moment de l’attaque, ces données pourraient aussi être infectées. Ensuite, le pirate adresse un message expliquant que pour récupérer les données il faut payer une certaine somme en bitcoin (une monnaie virtuelle dont le taux fluctue quotidiennement). En contrepartie de cette rançon, la victime pourra, a priori, obtenir une clé de déchiffrement, nécessaire pour inverser le processus. Néanmoins, dans la majorité des cas, cette clé de chiffrement ne sera jamais remise et les données définitivement perdues. «Quelle que soit la taille de sa structure, il faut toujours mettre en place une sauvegarde. Pour les petites structures, le plus simple est de faire des sauvegardes régulières sur des disques durs externes. Sinon, pour les structures plus importantes, il est préférable d’avoir un serveur d’entreprise, ce qui permettra de mettre en place des stratégies de sauvegarde infaillible ainsi qu’une très bonne confidentialité des fichiers clients», recommande le fondateur d’A’Prim Informatique. Le serveur d’entreprise, même s’il est aussi attaqué par le virus, ne verra pas l’ensemble de son contenu chiffré. Ainsi, il sera possible pour les utilisateurs de récupérer leurs données dans l’une des dernières versions sauvegardées, grâce à leur mot de passe. La sauvegarde sur des disques durs externes et clés USB peut s’avérer très vite fastidieuse. Aussi, les avocats individuels et les petites structures peuvent opter, par exemple, pour le cloud privé mis en place par le Conseil national des barreaux. L’instance représentative propose un espace de stockage respectueux de la déontologie, à tous les avocats qui le souhaitent. Les données archivées y sont automatiquement cryptées. Quelle que soit la forme adoptée pour sauvegarder ses données, le plus important est qu’elles ne se situent plus sur l’espace de travail.