Par Xavier LEONETTI, Magistrat, Substitut du Procureur (CA Aix-en Provence), Chef de la mission de prévention et de lutte contre la cybercriminalité

Les données personnelles constituent la matière première de l’économie numérique. Véritable mine d’or pour les sociétés commerciales, il s’agit également d’une source de profit pour les cybercriminels. Médecins, notaires et avocats sont parmi les professions libérales les plus exposées, car détentrices de données personnelles particulièrement sensibles. Dossiers de patients ou de clients, l’ensemble des informations qu’ils contiennent sont confidentielles et couvertes par un secret professionnel.

Pour autant, si le droit protège largement les contours de ce secret, la pratique numérique de ces professionnels laisse parfois entrevoir des failles dans la muraille de la confidentialité. Par un simple clic, un cyber-attaquant peut ainsi accéder au système informatique d’un cabinet d’avocat et désormais disposer librement des informations qu’il contient. Au-delà du préjudice et de la responsabilité encourue au titre du règlement général de la protection des données (RGPD), cette situation fait table rase du secret professionnel de l’avocat. Face à cette menace, plusieurs gestes de cyber bon sens sont à connaître.

Une activité professionnelle doit être cyber-sécurisée au même titre que les locaux d’un cabinet doivent disposer d’un système de protection. En effet, l’une des principales menaces est aujourd’hui liée aux attaques par rançongiciel. Il s’agit d’une forme d’atteinte à un système de traitement automatisé de données (ASTAD), autrement dit d’un piratage informatique. Prévus par les articles 323-1 à 323-4 du code pénal, ces infractions concernent notamment toutes les formes d’intrusion informatiques, d’exfiltration ou de modification de données.

La plus connue d’entre elles est en effet l’attaque par rançongiciel. Le rançonnage numérique est une activité criminelle qui mêle l’ancien et le moderne. Au moyen d’un programme informatique, il s’agit de réaliser une extorsion de fonds. La criminalité organisée à très tôt compris l’intérêt d’opérer cette mue du braquage vers le rançonnage. Même si certains demeurent nostalgiques des menaces arme au poing, l’intérêt des rançongiciel est lié à la distance qu’il opère entre l’auteur et sa victime.

Dans ce cas, des logiciels malveillants vont rendre inaccessibles les fichiers d’une entreprise ou d’un hôpital à partir du simple envoi d’un mail et du téléchargement d’un pièce-jointe infectée. Dès lors, le logiciel va pouvoir bloquer l’ensemble du système informatique de la victime par un chiffrement des données. Ensuite, le paiement d’une rançon en crypto-monnaies sera exigé en échange du déchiffrement. Une nouvelle version de l’attaque permet de pratiquer un second type d’extorsion : les cyber-criminels ne se limitent plus à rendre inaccessibles les systèmes, ils exfiltrent désormais les données de leurs victimes. Cette menace touche tous les secteurs : entreprises, hôpitaux, collectivités territoriales… En 2022, plusieurs cabinets d’avocats ont été victimes de ces attaques et les dossiers de leurs clients rendus publics sur le web.

De même, l’usurpation d’identité et/ou de qualité constitue un risque réel pour l’activité d’un avocat. A travers elle, l’usurpateur pourra tromper et détourner les clients d’un cabinet ou bien réclamer le paiement de sommes d’argent. Dernièrement, des faux mails transmis au nom de cabinets d’avocats accusent les destinataires d’avoir consulté des sites pédo-pronographiques. Cette pratique, qui usurpe également la qualité de magistrat ou de policier, conduit les victimes ayant payé ces fausses amendes à se retourner ensuite vers les personnes dont l’identité a été usurpée. Si leur responsabilité pénale est vite écartée, les désagréments sont nombreux. En particulier, le préjudice réputationnel est difficilement quantifiable, tant la confiance des clients peut être durablement rompue.

Pour se prémunir de ces cybermenaces, de nombreuses solutions existent. Il s’agit bien souvent d’adopter les gestes qui sauvent. Dans le cas d’une attaque par rançongiciel, il conviendra de disposer d’un archivage automatique de ses fichiers vers un serveur distinct. De même, la sensibilisation des salariés et des collaborateurs demeure indispensable. Une politique de « cyber compliance » doit ainsi favoriser l’acquisition d’actes réflexes individuels, comme le fait de ne pas ouvrir une pièce jointe inconnue.

Rappelons que 80% des défaillances de sécurité et des actes malveillants dans les environnements de travail sont le fait de négligences ou d’actes intentionnels d’employés, voire d’un premier cercle de proximité. Cela peut également être le cas de prestataires disposant facilement d’un accès au système d’information de l’entreprise. C’est dire à quel point la cybersécurité induit une culture de la prévention partagée, notamment fondée sur la capacité de chacun à respecter des principes essentiels d’hygiène numérique.

A cet égard, le chef d’entreprise qu’est l’avocat a une obligation générale de sécurité, qui englobe aujourd’hui la cybersécurité. Sa responsabilité peut être engagée s’il n’a pas mis son entreprise en conformité avec le RGPD, mais aussi s’il n’a pas su apprécier au cas par cas le niveau de sécurité requis, s’il n’a pas mis en œuvre des actions de prévention adaptées, s’il n’est pas en capacité de justifier de rapports réguliers évaluant la criticité de certaines applications. Dès lors que la sécurité de l’entreprise ou de ses parties prenantes (employés, fournisseurs, clients, partenaires) est mise à mal par un virus et qu’il est établi que les systèmes n’étaient pas protégés par des antivirus, ou que ceux-ci n’avaient pas été mis à jour, c’est la responsabilité du chef d’entreprise qui peut être engagée sur le plan pénal.

Fort heureusement, l’avocat n’est pas seul face au web. Les organisations professionnelles, telle que par exemple le barreau local ou le conseil national des barreaux, proposent des formations et des accompagnements dédiés. De même, les services de l’Etat, tel que cybermalveillance.gouv.fr ou la CNIL mettent à disposition des professionnels un ensemble d’outils et de méthodologies de cybersécurité directement accessibles en ligne. L’enjeu est donc de diffuser une culture de la cybersécurité depuis le comité stratégique des associés gérants d’un cabinet jusqu’à l’ensemble de ses collaborateurs et des salariés. Chaque maillon de la chaîne professionnelle doit être sensibilisée et renforcée. A défaut, c’est toute l’activité d’un cabinet qui est menacée car la probabilité d’éviter une cyber-attaque devient quasi nulle.

Plus d’articles