Thibault DE MONTBRIAL, Avocat au Barreau de Paris Président du Centre de Réflexion sur la sécurité Intérieure (CRSI)

Benoit FAYET, Consultant dans un cabinet de conseil en transformation numérique Membre du Comité Stratégique du CRSI

La cybercriminalité est devenue en quelques années une délinquance de masse. Il en résulte pour les entreprises et les acteurs publics un impératif d’adaptation pour se protéger face à cette insécurité de type numérique. Au même titre que les autres opérateurs économiques, les professions libérales sont particulièrement exposées et doivent en conséquence s’adapter et trouver des solutions pour se protéger car il est désormais impératif de systématiser la prise en compte de cette menace. Penser son activité de professionnel libéral sans intégrer le risque cyber est aujourd’hui l’assurance de s’exposer à des consé-uences potentiellement dramatiques.

Plus de 6 000 PME françaises victimes de cybercriminalité en 2022

Les entreprises françaises, ETI, PME ou grands groupes, au même titre que des structures publiques (hôpitaux, écoles, …) sont aujourd’hui massivement victimes d’incidents de sécurité informatique. Ainsi, plus de 6 000 PME françaises ont été attaquées sur les 12 derniers mois. Des données sans doute sous-estimées, car pour une cyberattaque enregistrée et déclarée auprès des services de police, il y aurait en réalité plus de 100 cyberattaques (tentées ou réussies). Or, les conséquences sont désastreuses puisque 60 % des entreprises victimes de cybercriminalité déposent le bilan dans les 6 mois. Il est donc nécessaire que les entreprises et leurs dirigeants prennent avant tout conscience de la menace et du risque cyber, sans attendre de se faire attaquer pour réagir.

La cybercriminalité, un « marché » structuré et organisé

Le marché de la cybercriminalité s’est considérablement transformé et structuré depuis quelques années. 70 % des infractions cyber sont liées à des escroqueries, 25 % sont liées à l’image et à la vie privée (cyber harcèlement, pédopornographie, etc.) et 5 % sont constituées par du hacking. Ces agissements émanent de professionnels souvent liés à des groupes mafieux, voire à des États dans un marché criminel où la dimension internationale (Russie, Chine, …) des attaques est de plus en plus prégnante.

Désormais, en effet, des groupes de hackers sont constitués en véritables entreprises avec parfois des bureaux, et souvent une organisation, une hiérarchie, des stratégies et des objectifs pour réaliser un chiffre d’affaires et faire fructifier leurs activités. Aussi, ces groupes de hackers visent-ils en priorité les cibles les plus vulnérables, au premier rang desquelles les entreprises de taille réduite dont les données sensibles apparaissent les moins protégées. Or ces données sont cruciales pour le bon fonctionnement des activités de ces entreprises. De telles attaques exposent ainsi leurs victimes à un risque de paralysie et constituent donc des leviers pour des chantages fructueux.

Les professions libérales (avocats, notaires, professions médicales) et les structures publiques médicales (hôpitaux, cliniques…) sont particulièrement concernées en France. Les fichiers piratés sont revendus à prix d’or. Les données de santé figurent ainsi parmi les plus lucratives pour les cybercriminels. Le coût d’un dossier médical peut atteindre 350 dollars sur le darkweb.

Enfin, cette menace cyber s’est particulièrement renforcée avec la crise sanitaire. Le confinement a contraint les entreprises et les administrations à laisser leurs salariés et agents accéder aux réseaux depuis leurs appareils personnels, sans que, urgence oblige, les réseaux en question n’aient été durcis en conséquence. Plus généralement, la crise sanitaire a encore renforcé l’importance du numérique au cœur de nos sociétés, ce qui a accru la vulnérabilité de l’ensemble des acteurs publics, privés ou des simples citoyens.

De même, les entreprises payent aujourd’hui au prix fort l’accélération de la numérisation de la société alors même que leur écosystème informatique demeure trop souvent insuffisamment sécurisé. Cette situation est d’autant plus préoccupante que les écosystèmes informatiques des entreprises sont de plus en plus interconnectés avec l’internet des objets (IoT) qui prend de plus en plus de place dans de très nombreux outils, équipements ou solutions proposés par ces entreprises, générant d’énormes quantités de données qui sont autant de cibles.

Des réponses possibles face à la cybercriminalité

1. Un enjeu clé de souveraineté qui engage une réponse étatique

En France, la cybercriminalité est prise en compte dans le droit depuis la loi informatique et libertés (1978) et encadrée par un dispositif juridique prévoyant des peines allant jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende pour les attaques informatiques. La loi prévoit en outre une aggravation des peines dans le cas de cyberattaques visant directement l’État.

Dans ce contexte en tension, la France dispose de plusieurs structures dédiées à la répression de la cybercriminalité au sein d’un dispositif de défense particulièrement morcelé et complexe (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) au sein de la Police judiciaire, Centre de lutte contre les criminalités numériques (C3N) au sein de la Gendarmerie nationale ou encore la Brigade d’enquête sur les fraudes liées aux technologies de l’information (BEFTI) au sein de la préfecture de police de Paris. Il faut y ajouter l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui, depuis 2013, pilote la stratégie de défense et de sécurité des systèmes d’information de la France et vise au renforcement de la cybersécurité des infrastructures nationales stratégiques. Enfin, un dispositif national d’assistance aux victimes d’actes de cyber malveillance permet de mettre en relation des victimes de cyberattaques et des prestataires de services susceptibles de les aider dans leurs démarches (cybermalveillance.gouv.fr).

2. Un enjeu clé pour les professions libérales qui dis- posent de solutions pour se protéger et renforcer leur résilience au risque cyber

Les professions libérales hébergent des données particulièrement recherchées par les cybercriminels. Il s’agit de données dites sensibles, au sens du RGPD. Par exemple, dans le cas d’un cabinet d’avocats, ces données peuvent être celles d’entreprises clientes couvertes par le secret des affaires (savoir-faire industriel, technique ou technologique, brevet ou marque, fichiers clients, organigramme, activités commerciales, …). Il peut s’agir aussi de données personnelles confiées en vue d’une action en justice (données médicales, données d’identité, données financières, données liées à des activités professionnelles, …) qui sont des informations recherchées pour servir ensuite à des infractions liées à des usurpations d’identité.

Il faut enfin rappeler que des professions soumises au secret professionnel, telles que les avocats, sont d’autant plus exposées que leurs dossiers sont en plus, pour certains, soumis aux secrets de l’enquête ou de l’instruction, ce qui augmente encore le risque d’atteinte à leurs systèmes de données.

Les actions de prévention ou de limitation des impacts

La plupart des infractions cyber peuvent être évitées, en adoptant de bons réflexes et en mettant en place des systèmes de prévention. La cybersécurité d’une PME ou d’une petite entreprise doit reposer sur les axes suivants :

– Mettre en place des dispositifs amont de sécurité informatique

– Réaliser un audit de sécurité et une analyse des risques par un prestataire de service spécialisé

i. Identifier si sa structure dispose d’informations sensibles, s’interroger sur l’endroit où sont stoc- kées ces données
ii. Identifier les données sur lesquelles la struc- ture a des obligations de protection et de gestion aux termes du RGPD

iii. Évaluer la sécurité informatique des données utilisées et de ses équipements informatiques (lieux de stockage, propriété des informations, choix des outils type messageries électroniques, …)

– S’appuyer sur l’audit pour mettre en place un dispositif de protection

i. Mettre en place des outils numériques sécurisés garantissant la protection des données et des échanges au sein de sa structure et vers l’extérieur ii. Mettre en place des dispositifs de protection qui permettent en cas d’attaque de revenir rapidement à une situation acceptable (politique régulière de sauvegarde et back-up de ses données essentielles, plan de continuité de l’activité informatique, …).

– Mettre en place au sein de son organisation des actions d’acculturation, de sensibilisation et de formation des collaborateurs sur des règles d’hygiène numérique.

– Se référer à des guides, édités notamment par l’ANSSI et la CNIL (guide de l’ANSSI sur l’hygiène informatique, Guide de l’ANSSI des bonnes pratiques de l’informatique, guide de la CNIL dédié à la Cybersécurité)

– Mettre en place des formations par un prestataire de service spécialisé

– Intégrer le risque cyber dans les budgets pour l’achat de logiciels de protection, de matériel, mais aussi pour les moyens humains ou de formations pour mener les actions évoquées d’acculturation, de formations ou de plans de prévention.

Les actions en réaction à une attaque

En réponse à une attaque, il faut avoir les bons réflexes :

– Il convient de rapidement signaler les faits auprès des services de police et de systématiquement porter plainte. La transparence est ensuite clé dans ces cas-là afin de communiquer rapidement aux enquêteurs toute trace ou preuve numérique que le « cyberattaquant » aurait pu laisser comme sur une scène « physique » de crime.

– Il convient également de solliciter le dispositif national d’assistance aux victimes d’actes de cyber malveillance déjà cité, qui permet de se mettre en relation avec des prestataires de services susceptibles et de se faire aider (plateforme cybermalveillance. gouv.fr) et dans un second temps de mettre en place les actions de relance de l’activité (plan de continuité de l’activité informatique, …).

– Il est essentiel par ailleurs de s’appuyer sur les liens existants à un niveau interprofessionnel (Ex : CNB pour les avocats, CGPME ou MEDEF pour les entreprises, …) avec les institutions techniques et opérationnelles que l’État a mis en place comme l’ANSSI afin de remonter les incidents via ces canaux et à des niveaux qui permettront de faire en sorte que les structures représentatives de branches ou sectorielles intègrent le sujet cyber dans leurs actions et que les mesures élémentaires de sécurité ou d’hygiène numérique soient systématisées à terme. La cybersécurité ne peut être traitée de manière autonome et non homogène.

En conclusion, les cyberattaques spectaculaires et médiatisées contre les infrastructures (hôpitaux de Créteil et Versailles dernièrement, ou encore contre la FAA américaine qui a cloué les avions au sol pendant 2 heures aux États-Unis le 11 janvier 2023) sont les prémices de difficultés, voire de catastrophes qui peuvent désormais frapper tous les acteurs économiques.

Compte tenu des enjeux attachés à leurs secteurs d’activités respectifs, les professions libérales sont autant exposées que les autres au risque cyber. Elles figurent pourtant parmi les moins préparées à y faire face. Il incombe donc à chacun de s’organiser en conséquence, avec l’aide de techniciens et de processus de hauts niveaux, mais surtout en éduquant chacun des membres des sociétés, études et cabinets concernés. La première faille est humaine, et chacun doit être responsabilisé.