La cybersécurité est l’affaire de tous. Les avocats doivent désormais faire les bons choix pour communiquer.

La souveraineté appliquée à la cybersécurité

Acheter une solution souveraine, c’est avant tout s’affranchir de solutions étrangères, soumises à des lois extra-territoriales qui s’imposent à l’ensemble des utilisateurs.

Sur le marché français, la conclusion revient logiquement à acheter une solution française ou européenne. Et c’est une excellente idée ! Simplement, la nationalité de la société qui porte le produit ou le service ne peut être le seul critère de choix pour garantir la souveraineté des données.

Prenons l’exemple du secteur des moyens de communication. En vertu de législations locales, la plupart des solutions peuvent être contraintes de fournir des données relatives à vos communications. C’est le cas de vos suites logicielles bien connues qui sont soumises au Cloud Act. Souhaitez-vous que l’intégralité de vos données leur soient accessibles en clair ? Dans un monde globalisé, il convient donc de rechercher des solutions qui dépassent les pures logiques nationales. Juxtaposer des solutions souveraines ne règlera en effet pas le problème.

Notre vision de la souveraineté consiste à considérer que le producteur des données en est l’unique propriétaire, qu’il est le seul à pouvoir décider avec qui il les partage, et qu’il faut donc mettre à sa disposition des moyens simples pour le faire. En particulier, il ne doit jamais être contraint de partager des données avec l’éditeur de la solution. C’est ce que permet Olvid, seule messagerie instantanée certifiée par l’ANS-SI, qui ne nécessite aucune donnée personnelle pour fonctionner et qui ne fait plus reposer la sécurité des communications sur des serveurs.

Ce faisant, les problématiques directement liées aux questions de souveraineté ne se posent plus : les questions de la localisation des serveurs, de la manière dont ils sont sécurisés, de la nationalité de la société qui les administre, et de l’imposition des réglementations locales deviennent secondaires.

Il est donc important de choisir des moyens de communication qui garantissent la protection absolue des données échangées, en sécurisant les communications internes et externes (avec les sous-traitants, prestataires, avocats, consultants, etc.).

La confiance ne se décrète pas. Elle doit être garantie par une technologie ouverte, auditée, certifiée, afin de permettre à tous de s’accorder sur les choix à faire et les solutions à adopter, quelle que soit la localisation des interlocuteurs.

La nécessaire implication des avocats

L’ampleur des cybermenaces doit amener l’ensemble des acteurs, directions générales au premier plan, mais également consultants et avocats, qui manipulent par essence des données forcément sensibles, à prendre conscience du phénomène et à se poser les bonnes questions. La responsabilité du choix des outils ne peut être portée uniquement par les DSI ou les RSSI, soumis à de fortes pressions. Dans le cadre de leurs missions, ils sont chargés de sélectionner les bons outils, en s’appuyant notamment sur les solutions certifiées ou qualifiées par l’ANSSI.

Tout un chacun devrait se poser des questions simples. À chacun de répondre en fonction de la nature de ses activités et du degré de confidentialité des sujets traités.

Où sont stockées les données ?

Les données sont-elles stockées sur des serveurs soumis à des lois extra-territoriales (comme le Cloud Act), sur un cloud souverain, sur site, ou on-device ? Chez Olvid, les messages et les pièces jointes sont stockés uniquement sur les smartphones. En transit, les données échangées via Olvid bénéficient systématiquement d’authentification de bout-en-bout et de chiffrement de bout-en-bout, de façon à ce que l’utilisateur ait la garantie cryptographique de l’identité de son interlocuteur et que seul ce dernier ait accès aux données échangées.

L’éditeur de la solution peut-il avoir accès à vos données ?

Si l’éditeur détient les clés de chiffrement (contrairement à des clés générées et conservées sur les appareils des utilisateurs), ou si vous accédez à vos données par identifiant et mot de passe, ou via une double authentification, vous devez nécessairement faire confiance à l’éditeur. Chez Olvid, nous n’avons accès à aucune donnée ou métadonnée.

Pouvez-vous poursuivre les communications, même en cas de crise informatique ?
Afin d’anticiper une crise cyber, l’ANSSI recommande de mettre en place des moyens de communications alternatifs (https://www.ssi.gouv.fr/ uploads/2021/12/anssi-guide-gestion_crise_cyber.pdf) afin de poursuivre les communications lorsque votre système d’information est dégradé ou doit être éteint. Les moyens de communications traditionnels deviennent inopérants en cas de cyberattaques du SI. Olvid permet de poursuivre les communications même en cas d’attaques informatiques, sans dégradation de la qualité de service ni de la sécurité des données échangées.

Les bonnes pratiques quant à l’usage des smartphones

De bonnes pratiques doivent désormais s’imposer pour limiter les menaces.

• Ne plus ouvrir de messages quand vous n’avez pas de garantie sur leur origine. Méfiez-vous des spams et du phishing ! La plupart des messageries (SMS, WhatsApp, Signal, Telegram, etc.) ne peuvent pas empêcher la réception de contenu sans consentement, provenant de n’importe quel émetteur, dès lors que celui-ci connaît votre numéro de téléphone. Ce sont donc des vecteurs idéaux pour l’exploitation de vulnérabilités.

• Éteindre régulièrement son téléphone, et si vous faites partie d’une population à risque, nous vous recommandons également de régulièrement réinitialiser votre téléphone.
• Mettre à jour systématiquement ses applications, logiciels et systèmes d’exploitation.
• Limiter la durée de vie des données sur votre smartphone. Il faut privilégier des outils qui vous permettent d’automatiser ce processus de nettoyage car il est illusoire d’espérer le faire correctement si cela est fait manuellement. Privilégiez le para- métrage de messages éphémères et les politiques de rétention qui fixent finement combien de temps les messages sont conservés sur votre téléphone.

• N’hésitez pas à prendre connaissance de l’ensemble des paramètres possibles avec Olvid (https://www. olvid.io/faq/messages-ephemeres/).

La cybersécurité est donc l’affaire de tous, et des avocats, en premier lieu. Adopter de nouveaux outils nécessite d’accompagner une culture du changement. Les changements doivent donc venir « du haut » et les dirigeants et avocats doivent montrer l’exemple en imposant à leurs interlocuteurs des solutions et services qui respectent de manière absolue les données produites.

La cybersécurité n’attend plus. La cyberguerre frappe toutes les entreprises et administrations, quels que soient la taille, le secteur d’activité ou la localisation. Il est urgent de ne plus attendre.

Plus d’articles