Lorsqu’on intervient en fiscalité et à plus forte raison dans le secteur de l’innovation et du Web3, la question de la cybersécurité des données arrive vite.
Si je ne suis pas experte sur ces questions, j’ai toutefois dû mettre en place différentes solutions pour préserver au mieux mon cabinet (cartographie de nos risques, assurance spécifique, process internes, sécurisation de nos données, formation régulière de mes équipes etc). Et forcément, j’ai pu susciter la curiosité auprès de mes confrères. Pour beaucoup d'avocats, le risque cyber demeure hypothétique, une situation qui n’interviendra probablement pas avant plusieurs années. Les avocats n’ont pas conscience qu’ils détiennent entre leurs mains des données particulièrement sensibles, que ce soit celles de leurs clients ou celles de leurs propres équipes. Et même lorsque nous en parlons ensemble, cette phase de découverte reste souvent la plus difficile à faire accepter.
C’est pourquoi j’ai été particulièrement ravie de découvrir que le CNB organisait le 3 novembre dernier une formation spécifique sur les risques en matière de cybersécurité pour les cabinets d’avocats et publiait son guide à destination des avocats souhaitant protéger leurs cabinets. L’occasion parfaite pour moi, grâce à l’audience de SEPTEO, de vous présenter les enjeux de la cybercriminalité pour nos cabinets d’avocats, et de vous présenter les solutions que nous avons mis en place au sein du cabinet pour limiter au maximum le risque d’attaque.
Je précise qu'en tant qu'avocate fiscaliste, je ne suis pas une experte en cybercriminalité. Je suis toutefois sensible à ces questions depuis quelques années et partage simplement avec vous mon appréciation de la situation et mon vécu. Rien ne vaudra l’étude plus précise de votre situation et de vos enjeux par des professionnels qualifiés.
Entrons dans le vif du sujet et répondons à notre première question : quels sont les risques véritables ?
Oui.
Votre première réflexion pourrait-être : "les données de mes clients ne sont pas considérées comme sensibles, mes risques sont nuls." Ce n’est pas vrai.
Pour commencer, il faut savoir que de plus en plus d’entreprises sont visées par les cybercriminels, dans tous les secteurs d’activités. De nombreux artisans pourront en témoigner : leurs emails sont piratés le temps d’un weekend, de nouveaux RIB sont transmis et les acomptes disparaissent avant même que la victime n’ait le temps de s’en apercevoir le lundi matin. Plus proche de nos métiers, la fraude au RIB chez les notaires qui cause chaque année plusieurs millions d’euros de préjudice. Vous comprendrez ainsi que nos cabinets ne sont et ne seront pas épargnés.
Si initialement, les attaques sur les cabinets d’avocats étaient ciblées (plutôt les cabinets d’avocats anglo-saxons ou les avocats défendant des célébrités, des politiciens etc), plus aucun cabinet n’est à l’abri et de plus en plus de confrères pourront en témoigner : ce ne sont pas nécessairement les plus grosses structures qui sont touchées. Au contraire, celles-ci étant désormais sensibilisées à ces questions, elles ont fini par se doter de moyens, notamment humains, pour limiter les risques de cyberattaque. Non, aujourd’hui, les hackers ciblent tout le monde et plus particulièrement ceux qui n'ont pas les moyens de s’en préserver, les cibles "faciles". La taille de votre cabinet ne vous mettra donc pas à l'abri de ces risques.
Lorsque l’on pense à un risque cyber, la première idée des avocats est "je suis trop petit, je ne travaille pas pour des boîtes du CAC 40, je ne détiens pas de données importantes". Tous les avocats détiennent des données sensibles : données personnelles ou confidentielles, RIB ou coordonnées bancaires, documents d’identité, coordonnées postales, téléphoniques et web, avis d’imposition etc. Ces données se revendent très bien sur le darknet pour ouvrir un compte bancaire, souscrire un prêt à la consommation etc.
Vous pouvez également détenir des informations plus sensibles telles que des numéros des comptes bancaires, épargnes et crypto de vos clients détenues pour calculer exemple une pension alimentaire dans le cadre d’un divorce, pour calculer les impôts de votre client ou encore intervenir sur des procès à retombées médiatiques (on pense notamment à l’affaire Charlie HEBDO où des avocats des parties civiles ont vu des données particulièrement confidentielles être divulguées – coordonnées personnelles des magistrats et enquêteurs, photos des victimes etc). Bref, pas besoin d’être avocat de politiciens ou de groupes internationaux pour détenir des données monnayables.
Les cabinets d’avocats peuvent subir plusieurs types d’attaque :
Le Guide du CNB, de plus de 50 pages, partage les pratiques que vous pourrez mettre en place pour sécuriser votre cabinets. La première étape indiquée est la cartographie de vos risques. Toutefois, je considère qu'en matière de cybersécurité et quelque soit le type d'entreprise, la plus grande faille reste l’humain.
Vous pourrez mettre en place toutes les mesures adéquates, tous les outils pour protéger vos échanges et votre infrastructure au maximum et changer les mots de passe toutes les semaines. Si votre équipe ne comprend pas les enjeux, elle n’adhèrera pas aux propositions faites et le risque restera entier.
Un exemple ?
C’est pourquoi la première chose que j’ai voulu mettre en place au sein du cabinet, avant même d’évoquer les process, a été la sensibilisation de mes équipes (actuelles et futures) aux enjeux et aux risques de cybercriminalité. Mes équipes sont régulièrement formées et chaque nouvelle personne en intégrant la structure doit signer un document au sein duquel elle confirme comprendre les enjeux, les mesures prises et s’engage à les respecter. Bien sûr, les formations doivent être régulièrement renouvelées et nous faisons un point sur ces questions au moins une fois par mois.
Si vous ne vous sentez pas suffisamment à l'aise avec ces questions, vous pouvez demander à vos équipes qu’elles se forment en utilisant le MOOC gratuit proposé par l’ANSSI ici : https://secnumacademie.gouv.fr
Par la suite, et comme l’expose le guide réalisé par le CNB, nous avons cartographié nos risques.
Ceux-ci sont plus faibles que pour d'autres structures : nos équipements informatiques, les outils utilisés pour les contrôler et sécuriser à distance, mais également la localisation de nos données, l’interdiction d’usage de wifi public, la modification régulière de nos mots de passe, nos process de facturation etc nous permettent d’en réduire significativement la portée. Nous n’avons toutefois pas éliminés tous les risques mais cette première réflexion nous a permis de contracter avec notre assureur une police d’assurance spécifique, adaptée à la taille de notre entreprise et à nos risques réels.
Ensuite, la question est venue de celle des habilitations et autorisations. Il est aujourd’hui possible d’ouvrir des accès aux permissions variables selon nos collaborateurs parfois restreints, parfois entièrement ouverts pour faciliter la délégation mais également limiter les risques. On ne peut par exemple souscrire un nouveau logiciel au sein de mon cabinet, même une solution gratuite, sans m’en parler au préalable. On ne peut non plus utiliser certains outils (ou y renseigner certaines données) sans mon aval. Et bien sûr, on n’utilise pas Canva pour faire un joli tableau récapitulatif de tous les mots de passe (histoire vraie !). Si cela a pu créer un peu de frustration au départ, les équipes le comprennent désormais très bien.
Enfin, et c'est le plus important pour moi, nous avons mis en place un process pour que toute personne de l’équipe puisse savoir ce qu’elle peut faire seule, avec aval préalable ou pas du tout. Et ça paye : mes équipes identifient désormais lorsqu’un lien parait anormal et vont vérifier son origine. Mieux encore elle n’hésite pas à contacter notre client, prospect ou fournisseur pour vérifier s’il s’agit d’un envoi réel de leur part(en utilisant les données qu’ils connaissent et qui sont sécurisées autre part, et non directement sur l’email suspecté). Et bien sûr, nous limitons les envois de pièces par email.
Je reçois souvent des demandes de confirmation pour s’assurer qu'un demande formulée en mon nom est bien légitime : même mes clients sont sensibilisés aux enjeux de la cybersécurité et vérifient à l'origine d'une demande lorsque le process habituel n'est pas respecté.
Mieux encore, les équipes peuvent en toute autonomie mettre en place les mesures adéquates pour s’assurer qu’il n’y a pas eu de risques de fuite de données. Pour exemple, à la suite d'un cambriolage, je n’ai pas eu besoin d’expliquer aux équipes quoi faire. Avant même que j'arrive au cabinet pour constater l’état du cabinet, elles avaient d’elles-mêmes consulté les process pour vérifier si nos ordinateurs avaient été infectés, quelle démarche en place et si des données, physiques ou dématérialisées, avaient été collectées ou compromises.
Enfin, il vous faudra également sensibiliser vos clients :
En plus de vous protéger en cas de fuites de données ou de fonds, ces outils vous permettrons de garantir une bonne relation avec vos clients et de les sensibiliser aux enjeux de la cybersécurité.
Il est essentiel de prévoir des solutions pour préserver votre infrastructure et prévenir vos équipes de la manière dont il faudra réagir.
Pour exemple, sous réserve du type d’infection et de la taille de votre cabinet, il pourra s’agir de déconnecter votre ordinateur ou votre imprimante du réseau (wifi ou filaire) sans pour autant éteindre votre machine, d’ouvrir une cellule de crise, d’avertir le responsable informatique, votre prestataire de services ou la plateforme cybermalveillance.gouv.fr, d’avertir les autorités étatiques et ordinales, etc.
Nous avons mis en place des process pour que chaque membre de l’équipe, constatant une faille ou une fuite, puisse savoir immédiatement comment réagir, qui prévenir, que faire.
Si vous avez un doute ou ne savez pas par où commencer, vous pouvez d’ores et déjà transmettre la liste des actions à mettre en place en cas de crise telle que communiquée par le CNB.
Noter qu’il faut agir VITE : vous avez 72h pour avertir la CNIL et votre assurance, à défaut de quoi vous encourez des pénalités (CNIL) et un défaut de couverture (assurance). Si votre ordre n’imposent pas de délai spécifique, il est toutefois conseillé de contacter votre bâtonnier dès que possible pour l’avertir de la situation.
Vous devez bien sûr avertir vos clients. Mais pour éviter de les faire paniquer, pensez d’abord à récupérer toutes les informations utiles (ce qui a été piraté ou non, etc.) pour les informer des démarches à réaliser. Pensez à tout noter : type d’attaques, données compromises, date des constats, personnes ayant constaté la faille etc.
N’incriminez personne et faites comprendre aux personnes concernées qu’il est essentiel qu’elles soient le plus exhaustives possibles, sans que cela ne puisse leur porter préjudice à l’avenir. Il vous faudra une collaboration pleine et entière de vos équipes si vous voulez limiter au maximum les conséquences de l'incident.
Je vous invite à aller consulter :
{{auteurs}}
Vous souhaitez en savoir plus sur ce que vous pouvez mettre en place au sein de votre cabinet ? Inscrivez-vous sans attendre à notre webinar du 24 mai "Avocats et cybersécurité : protégez votre cabinet grâce à des pratiques simples"
.svg)
