Christiane Féral-Schuhl, présidente du CNB, a ouvert ces e-débats avec plusieurs constatations, dont la portée a été particulièrement renforcée avec la crise sanitaire : le confinement a placé le numérique au cœur de notre intimité et a révélé l’absence de frontière entre vie professionnelle et vie privée. « Notre monde est devenu un espace virtuel où notre citoyenneté, où la sécurité juridique des échanges se trouve confrontée à une absence de protection ». Or « la norme s’impose pour protéger l’État de droit, qui se construit aussi dans le cyberespace ».
La question des enjeux de la cybersécurité des cabinets d’avocats n’est pas nouvelle [2]. Mais quelques-unes des idées-forces et mises en perspective faites au cours de ces échanges méritent d’être retracées, notamment en ce qu’elles tendent à « replacer l’humain au cœur de la cybersécurité » [3].

Cyberespace, cybersécurité, cybercriminalité : de quoi parle-t-on ?

Quelques définitions et chiffres pour commencer. Pour Henri d’Agrain, délégué général du Cigref [4], avant de parler de cybersécurité, il faut d’abord évoquer l’espace dans lequel elle se déploie : le cyberespace. Il s’agit d’« un ensemble extrêmement vaste, dans lequel on trouve beaucoup de choses et dont l’Internet n’est que la partie émergée », composé de trois couches :
 une couche physique, qui représente l’ensemble des infrastructures qui permettent les communications ;
 une couche logique, celle de tous les logiciels et des codes informatiques, qui permet d’utiliser l’infrastructure physique ;
 et, peut-être la plus connue, une couche sémantique, celle des données, qui donne le sens et contient toutes les informations qui vont être manipulées au sein de cyberespace.

La sécurité des données (de la couche sémantique donc) n’existe en réalité que si les deux autres sont également protégées : pour réaliser la cybersécurité d’un système d’information, sur l’ensemble de son domaine, il faut d’abord faire appel à des techniques de sécurité des systèmes (dispositifs techniques, qui concernent principalement les couches physique et logique) et s’appuyer, ensuite, sur d’autres domaines (lutte contre la cybercriminalité et mesures de cyberdéfense).
La cybersécurité est ainsi « un état général recherché pour un système d’information, pour lui permettre de résister sur le domaine physique, logique et sémantique, à des événements issus du cyberespace et qui peuvent compromettre soit la disponibilité des systèmes ou des données, soit leur intégrité, soit leur confidentialité ».

Xavier Leonetti, Substitut du procureur au parquet économique et financier du Tribunal judiciaire de Marseille indiquait quelques chiffres évocateurs : 70 % des infractions qualifiées « cyber » sont liées à des escroqueries et 25 % sont liées à l’image et à la vie privée (cyber harcèlement, pédopornographie, etc.).
Les 5 % restants sont véritablement des infractions de hacking, émanant de professionnels et constitutives d’une atteinte à un système de traitement automatisé de données (ASTAD). Ce sont les plus complexes à limiter, notamment aussi parce qu’elles sont généralement liées à des manœuvres d’espionnages, à des manœuvres organisées par des groupes, voire des États. A contrario, 95% des infractions « cyber » peuvent être évitées, en ayant des bons réflexes et en mettant en place des systèmes de prévention plus que de protection.

Les avocats, détenteurs de données à protéger.

Christiane Féral-Schuhl le soulignait dès le début des échanges, « la sécurité dans les espaces virtuels est devenue un enjeu essentiel pour les personnes physiques et morales » et les avocats ne sont pas à l’abri d’actes malveillants. Et ceux-ci visent à soustraire des informations et données relatives notamment à leurs clients : un savoir-faire particulier, des secrets de fabrique, des brevets, des plans industriels, des projets de recherche, des organigrammes, des fichiers clients, des réponses à appel d’offre, etc. Et Benoît Arvis, élu du CNB, le confirmait par la suite, au cours des débats : les avocats ne sont certes pas, historiquement les premiers touchés, ni les premiers visés. Mais « il est certain que les cabinets ont, en leur sein, l’hébergement de données qui sont sensibles et soumises à une obligation de sécurisation proportionnée à leur sensibilité ».

Ces données sont celles des entreprises clientes, avec un enjeu économique très fort, qui sont souvent couvertes par le secret des affaires, le secret des procédés techniques, technologiques, les brevets et marques, etc. Mais pas seulement. Il s’agit aussi, bien sûr, des données personnelles, qui sont confiées à l’avocat en vue d’une action en justice. Il s’agit, le plus souvent, de données sensibles au sens du RGPD : données médicales et sur l’état de santé, sur la vie personnelle, sur les finances et la situation économique, les rapports professionnels et la situation au travail, la religion, les opinions politiques, syndicales etc. Comme le soulignait Xavier Leonetti, « fichiers clients, dossiers, pièces constitutives (pièce d’identité, relevés, factures, déclaration d’impôt, etc.) sont des informations stratégiques, parce qu’elles servent souvent, derrière, à des infractions liées à des usurpations d’identité ». Et - nous ajoutons - ces listes sont loin d’être exhaustives.
Le constat de Benoît Arvis est clair : « la réalité c’est que ces données que gèrent les avocats sont soumises à l’attention de prédateurs et, par ailleurs, ce sont des données sur lesquelles les avocats ont des obligations, de protection et de gestion, qui se renforcent au fur et à mesure de l’entrée en vigueur des règles de plus en plus contraignantes ». C’est d’ailleurs la raison pour laquelle il a largement insisté sur la nécessité, pour les avocats, d’« avoir bien conscience de la responsabilité qu’ils ont aux termes du RGPD » et « il est urgent de réformer dans la profession pour que les mesures élémentaires de sécurité ou d’hygiène numérique soient systématisées ».

Pour Xavier Leonetti, deux questions fondamentales sont à se poser. D’abord, c’est se demander « est-ce que je dispose d’informations sensibles / Quelles sont les informations sensibles dont je dispose ? ».
Ensuite, c’est s’interroger sur l’endroit « où sont stockées ces données stratégiques ». Au sein des équipements informatiques évidemment (y compris, par exemple les photocopieurs). Mais il faut aussi réfléchir à l’ensemble des lieux de stockage et à la propriété des informations, particulièrement dans le cadre des messageries électroniques. Et ceci suscite alors des questions juridiques essentielles, bien au-delà de la seule problématique de la compétence territoriale des juridictions en cas de litige. Par exemple, comme le soulignait la Présidente du CNB, les conditions générales de certaines messageries grand public contiennent une acceptation de la souveraineté américaine et il suffit alors qu’une procédure de discovery soit ouverte aux États-Unis, impliquant une entreprise française ayant des liens là-bas, pour aboutir inéluctablement à une violation de la confidentialité des données, pourtant protégée en France notamment au titre du secret professionnel. Ce n’est ainsi « pas la peine de parler de souveraineté nationale et de souveraineté numérique si on n’intègre pas les verrous pour donner du sens à ce qu’elle doit être ».

Adopter des réflexes d’« hygiène numérique ».

Comme l’indiquait Xavier Leonetti, « il ne s’agit pas d’être Bill Gates pour pouvoir faire de la sécurité. Nous ne sommes pas tous ingénieur ou mécanicien et pourtant nous conduisons des véhicules tous les jours en respectant, autant que faire se peut, le Code de la route ». « Pour se sécuriser, il s’agit d’avoir des bons réflexes, [ceux] que nous avons dans la vie normale et qu’il faut faire basculer dans ce monde virtuel : de la même manière que l’on ne part pas de chez soi en laissant la porte ouverte, on ne laisse pas son ordinateur allumé ». Christiane Feral-Schuhl abondait dans le même sens : « nous devons travailler sur les réflexes de base que nous avons dans le monde physique (fermer à clé une porte, fermer des volets, utiliser un coffre-fort etc.) ; nous savons hiérarchiser les éléments qui nécessitent une protection, mais nous ne faisons pas cette hiérarchisation en matière de données ».

Pour Sandrine Vara, élue du CNB, il existe une tendance générale dans la société civile, que l’on retrouve chez les avocats, à aller vers des outils qui sont gratuits, particulièrement ergonomiques et faciles d’utilisation, interopérables les uns aux autres. Mais « on sait bien que lorsqu’un outil est gratuit, on retrouve la valeur monétaire ailleurs, notamment dans l’exploitation de la donnée ». C’est d’ailleurs l’une des raisons pour lesquelles le CNB fournit des outils numériques sécurisés pour la pratique professionnelle des avocats (par exemple la messagerie et le cloud sécurisés, hébergés par le CNB), qui garantissent notamment la maîtrise des données et le respect du secret professionnel.

Au-delà du choix des outils et toujours en vue de se forger de bons réflexes en termes de cybersécurité, il est possible de se référer à des guides, édités en langage accessible, notamment par l’ANSSI et la CNIL. Dans ce cadre, le guide de l’ANSSI sur l’hygiène informatique permet, comme l’indiquait Sandrine Vara, « de poser les bases, de recadrer le débat et de mesurer comment un comportement apparemment anodin peut entraîner des risques de fuite de données ». Nous y ajoutons le Guide des bonnes pratiques de l’informatique, pour ses 12 règles essentielles pour sécuriser les équipements numériques, ainsi que les recommandations et conseils dédiés à la Cybersécurité, qui propose notamment une check list pour évaluer le niveau de sécurité des données personnelles de son organisme.

Pour Henri d’Agrain, la politique de cybersécurité d’une organisation - quelle que soit sa taille d’ailleurs - se construit sur trois plans :
 D’abord, il importe de mettre en place les dispositifs d’hygiène informatique ;
 Ensuite, il faut faire de la formation et de la sensibilisation. Et cela relève de la responsabilité du chef d’entreprise, y compris au sein même des cabinets d’avocat ;
 La troisième chose est d’avoir mis en place des dispositifs qui permettent, en cas d’attaque qui réussirait, de revenir rapidement à une situation acceptable pour l’entreprise, c’est-à-dire avoir une politique régulière de sauvegarde (i.e. capacité à avoir un back-up de ses données essentielles) et avoir prévu ce cas (i.e. mise en place d’un plan de continuité (ou de reprise) de l’activité informatique).

Plus largement, il est nécessaire que tout un chacun ait conscience de l’enjeu de la sécurité de ses propres données et des données qu’il communique aux autres.
Outre cette prise de conscience, il faut, en toute humilité, convenir avec Sandrine Vara que « si l’on n’est pas capable de se protéger seul, il faut s’entourer des bons interlocuteurs. Le coût de la prévention, en faisant appel à des experts sera toujours moins important que le coût de la nécessité de réparer une fuite de données ».