Cybersécurité des cabinets d’avocats : sensibilisation et action, les barreaux se mobilisent.

Disposez-vous de données sur les incidents cyber subis par les cabinets d’avocats ?

David Di Mascio : « Oui, absolument. Ces éléments sont issus des remontées effectuées par le formulaire de déclaration d’incident accessible via l’espace professionnel, par un formulaire de sécurité dédié et par la boîte aux lettres RSSI où les cabinets peuvent aussi nous écrire (rssi chez avocatparis.org).

Selon les informations dont nous disposons pour l’instant, il y aurait deux ou trois incidents par mois en moyenne pour les cabinets eux-mêmes, sans compter les éléments relatifs aux infrastructures de l’Ordre lui-même.
Ce chiffre n’est certes pas très élevé, mais cela ne veut pas dire que tout se passe bien ou que le risque est faible, nous sommes bien d’accord sur ce point. C’est précisément pour avoir une vision plus précise que nous constituons actuellement une base de remontées solide, qui centralisera tous les incidents de sécurité. Et les avocats ne doivent pas hésiter à nous contacter en cas de besoin ! »

Pensez-vous que la cybersécurité soit en train de devenir une réelle préoccupation des praticiens ? Le récent rapport du CERT-FR (ANSSI) sur l’état des menaces [4] a-t-il eu un impact ?

Sandy Mockel : « Au niveau individuel, je ne suis pas totalement certaine, mais auprès des institutions, oui. Il ne fait aucun doute que tant le CNB, que le Barreau de Paris et d’autres institutions ont pris un peu plus encore la mesure des risques induits en matière de cybersécurité avec ce rapport qui nous est dédié. Cela nous a d’ailleurs aussi permis de nouer des contacts avec des interlocuteurs de ces agences pour mettre en place des actions concrètes ».

Le Barreau de Paris propose depuis quelques semaines son cloud avocat. Pouvez-vous nous en dire davantage ?

S. M. : « Avec plaisir. Le Cloud Avocats Paris est en effet un nouveau service numérique qui a été mis à la disposition des confrères et des consœurs depuis la fin du mois de septembre 2023. L’outil, qui est 100 % français, permet aux avocats de partager et de stocker de manière sécurisée leurs fichiers et leurs données, entre eux et avec leurs clients. L’outil est compatible sur mobile et avec tous les navigateurs. L’accès se fait par l’espace professionnel des avocats. C’est donc un outil complémentaire à ce qu’offre déjà le CNB, notamment l’outil de transfert des pièces lourdes (e-partage sécurisé), ou à venir, comme la messagerie @avocat.fr.
Le but est d’avoir un espace centralisé pour les données professionnelles et accessible à distance (par définition) de manière sécurisée, mais surtout qui offre de vraies garanties en termes de protection des données : contre la menace cyber et contre les lois extraterritoriales. Le tout, avec un coût très modeste, puisque l’abonnement est à partir de 1,50 euro par mois pour 10 Go (possibilité de disposer d’un plus grand espace de stockage naturellement). Nous avons fait le maximum pour proposer un tarif attractif, même si nous sommes conscients de ne peut-être pas être l’opérateur le plus intéressant du marché. D’autres cloud sont souvent utilisés ; certes, ils sont gratuits, mais cela expose les cabinets sur les deux enjeux précédemment évoqués.
Ce que le Cloud Avocats Paris offre, c’est la certitude de répondre aux critères de protection des données conformes à notre déontologie ».

Quels sont les (autres) sujets de cybersécurité sur lesquels travaille actuellement le Barreau de Paris ?

D. D.M. : « L’un des points prioritaires de ma feuille de route est de renforcer la cybersécurité du système d’information de l’Ordre. Nous sommes en effet en train de retravailler la politique de sécurité (PSSI) et de renforcer les différentes prérogatives et les exigences faites à la suite du dernier audit dans le cadre de la cyber assurance, pour l’Ordre lui-même pour l’instant. Une fois que nous aurons notre documentation « interne » si je peux dire, nous pourrons probablement nous appuyer sur cette documentation pour servir de référentiel global, recensant l’ensemble des sujets de sécurité, que les cabinets pourront décliner de leur côté selon leur organisation, leurs moyens, leur contexte, leur taille, etc. »

S. M. : « Nous avons beaucoup de sujets en effet ! Quel que soit le projet en cours ou en réflexion, nous avons toujours une préoccupation en tête : celui de trouver le bon équilibre, de placer le curseur au bon endroit en ce qui concerne la force de nos recommandations, pour ne pas être trop « dirigistes » et ne pas outrepasser notre rôle. Pas d’inquiétude à cet égard donc : l’idée est de se placer au point de rencontre avec la déontologie, sur des questions telles que les chartes informatiques (opposables à des collaborateurs n’ayant pas le statut de salariés, rappelons-le) ou bien encore celui de l’assurance en cyber risques et les questions de responsabilité associée.
Pour les confrères et consœurs, il y a plusieurs projets, notamment celui de la sensibilisation que nous avons évoquée un peu plus tôt, avec le Barreau numérique qui va se redynamiser. Des supports de sensibilisation sous différents formats, à partir de cas d’usage propres aux avocats, sont également en cours de préparation ».

La Rédac’ prolonge l’info :

Lors de son AG du 19 janvier 2024, Philippe Baron, Président de la commission du numérique du CNB, a annoncé que figurent parmi les chantiers prioritaires : « le développement d’e-Dentitas, la finalisation du nouvel e-Barreau et le remplacement de la messagerie sécurisée e-Cloud à partir du 14 février 2024 au profit d’une nouvelle messagerie mise en place par le CNB. » [5]
Les avocats auront à cette date une adresse sécurisée, une adresse sécurisée au format [prenom.nom @ avocat.fr] (qui remplace celle au format [nom.prenom @ avocat-conseil.fr]) [6].