IncentAct

Société d'Avocat

Risques Cyber : une faille dans mon système d’information?

Nous pouvons tous être victimes d’une faille dans notre système d’information et dans la sécurité de nos outils connectés.

Le risque principal que nous encourons est matérialisé par une perte de données, une altération de données, une interception de données par un tiers non autorisé, une divulgation de ces données à un tiers non autorisé.

I- Le contexte de notre défaillance

Les nouveaux enjeux de la confidentialité

Les juristes ont fait de considérables efforts pour tenter d’obtenir la reconnaissance légale de la confidentialité de leurs actes (au sens large) au sein de l’entreprise, à l’instar des avocats. Le secret professionnel a été réservé aux seuls avocats.

Seul le droit faisait l’objet de toutes les attentions, sans prise en compte de la réalité technique.

Et finalement, avocats et juristes vont peut être devoir repositionner le débat face à la commune fragilité de leurs systèmes d’information, les juristes devant s’assurer de la protection de leurs échanges avec leurs clients internes et externes ; les avocats bénéficiant quant à eux, du secret professionnel, avec leurs confrères, leurs clients,… dans les conditions fixées dans la loi n° 71-1130 du 31 décembre 1971, portant réforme de certaines professions judiciaires et juridiques.

Notre profession, en général, est tout particulièrement exposée et totalement démunie, face aux évolutions technologiques d’une part, et face au langage et à l’environnement des systèmes d’information, d’autre part.

Une nécessaire prise de conscience

Nous ne nous sommes pas suffisamment intéressés au parcours de nos flux d’informations, via nos outils connectés, ni même au matériel ; voire même, nous n’y avons trouvé aucun intérêt, sauf un intérêt utilitaire pour recevoir, communiquer sur des informations, ou pour transmettre des informations.

Nous n’avons pas dissocié le matériel acheté de son utilisation, de la maintenance associée, ni réfléchi à la cohérence d’ensemble des matériels achetés, dans l’intérêt de la protection de la confidentialité. C’était un ensemble dissociable nous promettant un fonctionnement assuré, une inter-opérabilité.

Cependant, nos risques sont infiniment plus importants qu’un simple mauvais fonctionnement. Le mauvais fonctionnement était réparable, les effets rattrapables.

Nous n’avons pas imaginé un seul instant qu’il eut été nécessaire de comprendre la logique d’un système d’information propre à notre profession, pour éviter la pire des catastrophes pour notre activité, à savoir, au final, l’absence de protection des données, la perte du secret professionnel attaché à notre profession, la fragilisation de la confidentialité de nos correspondances, la mise à risque potentielle de notre capital « crédit » face au client.

L’écran de l’entreprise peut bénéficier au juriste salarié ; la fragilisation de la confidentialité pourrait entraîner un cabinet d’avocats dans cette perte de crédit face au client.

Nos croyances

Nous avons pensé que le prix attaché au matériel vendu et aux services associés eurent suffi à garantir la sécurité de nos systèmes d’information. Nous avons effectué des dépenses d’investissement en pensant nous protéger.

Nous avons privilégié le Hardware, méconnu le chiffrement de nos courriers, oublié des mises à jour.
C’était une question de maintenance annuelle.

Le fonctionnement continu de nos divers appareils nous a laissé penser que tout fonctionnait parfaitement bien, même sans maintenance.

Or, les outils connectés mis ensemble dans l’écosystème travail-maison, travail-associés, interagissant ensemble par de simples connexions, et même, incrémentés de nouvelles applications, ont besoin de mises à jour, comme un nettoyage quotidien, pour fonctionner de manière optimale et nous garantir une sécurité constante.

A qui la faute ?
Les vendeurs ne sont pas payés pour nous sensibiliser à la cohérence de nos achats. Ils attendent nos questions et pourront, selon leurs compétences-métier, y répondre et nous conseiller.

Ils ne pourront pas nous aider à assurer la confidentialité des flux d’information, ni à maîtriser, a minima, les risques de divulgation d’une information non cloisonnée, dans l’enceinte que nous lui avons réservée ; à savoir un dossier client, ni même ne nous apprendront à reprendre la main sur une information perdue, ou modifiée.

Nous sommes exposés à de nouveaux risques. Les erreurs des autres nous alertent et nous obligent à devoir comprendre tout cet environnement, dans son ensemble.

II – Le risque de la profession

Où se situe notre risque ?

Le risque, propre à notre profession, se situe à plusieurs niveaux :

  • enfreindre nos règles de déontologie en n’assurant pas techniquement les conditions du respect du secret professionnel et de la confidentialité des échanges ?
  • manquer à nos devoirs de conseil,
  • voire, perdre notre liberté de parole.
  • La confidentialité des correspondances

Le secret des correspondances est fragilisé par les potentiels risques d’ouverture de nos documents, via des infiltrations dans notre boîte à outils d’objets connectés (ordinateurs, téléphone, les « sans-fils », applications,…), sans trace d’infraction, sans vol, et avec des moyens simples. Le stamp « avocat-confidentiel » ne suffit plus. Cette infiltration peut s’accompagner de modifications apportées à nos documents.
Nous avons bien évidemment une obligation de conservation des documents (les archives traditionnelles), ou dit autrement, avec l’utilisation de l’ordinateur, une obligation de sauvegarde des informations. C’est la perte de données qui pouvait inquiéter les avocats. A l’heure même, ce serait également la protection de l’accès au système d’information.
Pour l’exercice professionnel dans certaines spécialités, telles que fiscale, comptable, financière ou dans le cadre d’un exercice interprofessionnel, la vulnérabilité doit être prise en compte dans le système d’information.

Le conseil donné aux clients

Prendre conscience des faiblesses, acquérir une connaissance du vocabulaire, de la logique des sachants du domaine est un premier pas à faire. Sécuriser un système d’information, est un second pas.

En revanche, il faut être deux pour échanger. Le client doit sécuriser sa propre maison, de son côté. Pour l’avocat, il s’agit bien d’une double contrainte multipliée par le nombre de clients, les confrères, qui s’impose, pour assurer efficacement :

  • la sécurité des mots de passe, en termes d’accès (l’identité de l’émetteur du courrier et l’identité du destinataire du courrier)
  • la sécurité des échanges, en termes de transport du flux d’informations, (le transporteur du courrier et ses intermédiaires)
  • la sécurité des sauvegardes, en termes de conservation de données, (la boîte aux lettres, le lieu de stockage du courrier)

Une information préalable auprès des clients, des confrères, associés ou autre, des autres professionnels de la structure inter-professionnelle, sera peut-être un prérequis nécessaire, afin de limiter les accès non autorisés aux documents échangés de part et d’autre, et limiter ainsi les responsabilités.

Un champ de liberté restreint

Au-delà des accès non autorisés à une documentation, la surveillance des mouvements (via GPS), la surveillance de la parole des individus, à leur insu, (les écoutes, les prises de contrôle de clavier), sans manifestation de celui qui intercepte l’information, sans divulgation de son identité, est un réel sujet d’attention et de réflexion qui entrave la liberté des acteurs de la profession.

  • Pourquoi avons-nous besoin d’une sphère de confidentialité absolue ?

Notre capacité à raisonner en termes de stratégie fait partie de nos compétences et de notre savoir-faire, dans le conseil et dans la défense des intérêts du client, dans l’intérêt général.

Ce poids stratégique peut être contrebalancé par l’anticipation de nos mouvements (localisation de nos rendez-vous), de nos arguments par une acquisition anticipée de nos mots, de nos échanges (Keylogger). 
Quelques fois, le tiers intercepteur peut leur donner une portée différente de celle que nous aurions pu imaginer.

  • Est-ce que je me serais exprimée de la même manière sur un dossier avec un client interne ou avec mon client en tant qu’avocat, si j’avais su que je n’aurais eu pour seule liberté de parole que celle d’une discussion conventionnelle ?
  • Est-ce que j’aurais bien perçu la nature des arguments de mon client, aurai-je gagné la confiance du client pour mieux assurer sa défense ?

Cette liberté dont nos professions bénéficient, et souhaiteraient bénéficier encore, peut donc être entravée. Toute entrave créera une situation d’effritement progressif dans la qualité des débats contradictoires, dans l’exercice des droits de la défense, dans le droit des justiciables à un procès équitable…

Bien entendu, le secret professionnel de l’avocat est consacré par l’article 66-5 de la loi n° 71-1130 du 31 décembre 1971, portant réforme de certaines professions judiciaires et juridiques,… Il inclut les correspondances et les consultations en toutes matières. Il bénéficie d’une protection absolue.

Et pourtant, le risque est prégnant, quelque soit le domaine de compétence, et sans que l’avocat ait été, soit négligent ou défaillant, dans ses obligations déontologiques.

Des armes techniques inégales

L’accès technique aux outils de surveillance des faits et gestes des individus est simplifié. Le matériel utilisé par des criminels est vendu à des prix modiques (balise GPS, mouchards satellitaires). La détection de cette surveillance est impossible, du fait de l’utilisation concomitante par les mêmes acteurs de brouillards GPS.
Il revêt également la forme d’applications dédiées à la surveillance (historique de navigation, hauts parleurs, sms). L’équivalent en matière de protection n’existe pas sur le marché. Vous faire croire qu’il existe, c’est vous inviter à des dépenses d’investissements inconsidérées et non raisonnées.

Seule une prise de conscience et un autre regard sur nos habitudes, une information technique adaptée pourrait atténuer ce risque.
Afin d’obtenir la réponse adéquate, il faut bien entendu pouvoir s’exprimer sur son besoin.

III – Le langage et l’éco-système informationnel

La nouvelle génération maîtrise ces outils avec une facilité déconcertante. Continuer à imaginer le monde informatique comme un monde de techniciens, dévoués à leurs outils, peu communicants, est une belle erreur.
L’ouverture des magazines dédiés, l’écoute des podcasts dédiés montrent la richesse de la réflexion des ingénieurs, la précision des cas pratiques, des langages, des logiques, des raisonnements extrêmement poussés, s’accompagnant d’une approche très juridique, notamment en matière de vie privée.

Alors, les sachants se moquent de notre ignorance au sujet de ces questions. Nous commettons des erreurs majeures. Le champ des non-conformités techniques, dans la protection de nos systèmes d’information est une étrangeté qu’ils n’arrivent pas à comprendre.

Sans une meilleure connaissance de notre environnement technique, il est à craindre que la recherche d’une exclusion de responsabilité sur fond de piratage informatique, ou de déloyauté de la preuve, ne fasse pas le poids, face au manque de sécurisation d’un système d’information.

Ce sont des questions qui méritent une compréhension de notre part, avant de nous intéresser aux détails techniques et à la qualification juridique des faits. En cas d’intrusion dans le système d’information, s’agira t-il d’une faille dans notre système d’information ou d’une action de piratage de notre système d’information ?

Celine

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *