AVOCATS : COMMENT RÉAGIR FACE À UNE CYBER-ATTAQUE TOUCHANT VOS SYSTÈMES D’INFORMATION ?

Retrouvez l’article original publié au « Village de la Justice » ici.

Depuis quelques années, les cyber-attaques représentent une menace réelle et croissante pour tous les professionnels dotés d’un système d’information. Les avocats, quelle que soit leur structure d’exercice, ne font pas exception à la règle et doivent en conséquence se saisir rapidement de ces questions.

Les risques d’attaques par rançongiciel [1] ciblant les cabinets d’avocats sont en effet d’autant plus élevés du fait qu’ils détiennent des données sensibles et hautement confidentielles sur leurs clients.

Or, les conséquences d’une telle attaque peuvent être dramatiques tant pour le client que pour l’avocat.

Si le premier pourrait voir tout ou partie de son dossier divulgué et ses données utilisées à des fins malveillantes (usurpation d’identité, chantage…), le second pourrait subir une suspension de son activité, sans compter les coûts liés à la remédiation de l’incident ainsi que l’atteinte au secret professionnel et à sa réputation.

C’est la raison pour laquelle l’ANSSI a publié le 27 juin 2023 un guide [2] relatif à l’état de la menace informatique contre les cabinets d’avocats. Ce guide a pour objectif de sensibiliser les professionnels sur ces questions et leur livrer les mesures de sécurité technique et organisationnelle à mettre en place.

Ces mesures de sécurité sont indispensables à la prévention du risque d’attaque ; toutefois comme le risque zéro n’existe pas, il est essentiel de disposer des bons réflexes pour réagir efficacement à une cyberattaque.

Les avocats victimes d’une cyber-attaque devraient donc suivre le plan d’action suivant :

1. Prendre une assurance cyber-risque.

L’assurance de l’Ordre des avocats du Barreau de Paris ne couvre pas à ce jour les risques liés aux cyber-attaques (vol de données, rançongiciel, etc.). Les cabinets ne doivent pas faire l’économie de souscrire à une assurance cyber-risque qui leur permettra non seulement de bénéficier d’une aide pendant la crise (mise à disposition d’experts en cybersécurité, analyse forensique, définition d’un plan de gestion, etc.) mais également de couvrir les frais liés à la remédiation et à la perte d’exploitation.

Dès la découverte de l’attaque cyber et une fois les premières mesures techniques d’urgence prises par le responsable de la sécurité du système d’information du cabinet (sauvegarde, isolement du SI…) ou le prestataire informatique, l’avocat doit contacter son assurance cyber-risque.

2. Respecter les obligations de notification et de communication issues du RGPD.

Les cabinets d’avocats sont eux aussi soumis au respect du règlement général sur la protection des données (« RGPD ») en tant que responsables de traitement.

Le RGPD prévoit des obligations de notification et de communication à la charge du responsable de traitement en cas de violation de données, étant précisé qu’une violation de données est caractérisée en cas de perte de confidentialité, d’intégrité ou de disponibilité des données personnelles.

A titre d’exemple, dans le cas d’une attaque par rançongiciel visant un cabinet d’avocats, la violation de données est caractérisée dès lors que les données personnelles des clients et/ou des collaborateurs et salariés sont cryptées par le cyberattaquant (indisponibilité) voir divulguées (perte de confidentialité).

Toute violation de données personnelles devra être notifiée à la CNIL dans un délai de 72 heures maximum après sa découverte, dans le cas où un risque pour les personnes concernées est identifié (article 33 du RGPD).

En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles au sens de l’article 9 du RGPD), le cabinet devra compléter cette notification par une communication directe de l’incident aux personnes concernées dans les meilleurs délais. Cette communication peut notamment prendre la forme d’un courriel et doit contenir les mentions obligatoires édictées à l’article 34 du RGPD.

L’avocat victime devra alors procéder à une analyse préalable des effets de l’incident sur la vie privée des personnes concernées afin de déterminer s’il doit notifier l’incident à la CNIL et communiquer aux personnes concernées le cas échéant.

En tout état de cause, qu’il notifie ou non l’incident à l’autorité de contrôle, l’avocat doit compléter son registre de violation des incidents [3].

3. Déposer plainte.

L’avocat devra procéder à un dépôt de plainte pénale contenant l’exhaustivité des faits et les fondements juridiques qualifiant les infractions commises dans un délai maximal de 72 heures s’il a souscrit à une assurance cyber. En effet, la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 14 décembre 2022 conditionne désormais le remboursement des rançongiciels au dépôt obligatoire d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime et ce, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire sur les cyber-attaques [4].

Cette plainte peut être réalisée :
– Soit par écrit, directement auprès du procureur de la République [5] ;
– Soit auprès d’un service de police/gendarmerie qui renverra à un service spécialisé.

Les chefs d’infractions qui fondent généralement une plainte pénale dans le cadre d’une cyber-attaque peuvent être les suivants, selon les faits de l’espèce :

• Atteinte à un système de traitement automatisé de données (« STAD ») [6] :

• Accès et maintien frauduleux dans un STAD
• Entrave au fonctionnement d’un STAD
• Introduction frauduleuse de données dans un STAD
• Extraction, détention, reproduction, transmission illégitime de données
• Importation, détention, offre, cession ou mise à disposition d’un équipement d’atteinte aux STAD
• Participation à un groupe formé ou à une entente établie en vue de commettre des fraudes informatiques

• Escroquerie [7]
• Vol de données / recel [8]
• Usurpation d’identité numérique [9]
• Manquements au RGPD et à la loi n°78-17 du 6 janvier 1978 dite « informatique et liberté » [10].
• Afin de pouvoir réagir dans les délais, il est recommandé de disposer en amont d’un modèle de plainte pénale rédigé par un conseil spécialisé et/ou de faire appel à l’assistance d’un avocat spécialisé en cybercriminalité.

4. Engager la responsabilité civile du prestataire.

Des actions en réparation des dommages et intérêts (mise en demeure, assignation) pourront également être exercées dans le cas où l’incident a été causé par un manquement du prestataire informatique à son obligation de sécurité.

5. Mettre en place des actions de remédiation.

La sortie de crise est l’occasion de tirer les enseignements de l’incident et de repartir sur de bonnes bases.

Il peut être opportun de formaliser ou d’actualiser la politique de gestion des incidents du cabinet. La mise en place d’une politique de gestion des incidents au sein des cabinets d’avocats est non seulement indispensable à la garantie du secret professionnel mais constitue également un gage de confiance vis-à-vis des clients.

De même, et plus particulièrement dans le cas où l’incident est le fait du prestataire informatique agissant comme sous-traitant au sens du RGPD, il est fortement recommandé d’auditer les contrats, de vérifier l’existence d’accord sur la protection des données et de les renforcer si besoin. Un audit de sécurité devra également être diligenté auprès du sous-traitant concerné.

A défaut de réaliser ces diligences, la responsabilité du cabinet d’avocats pourrait être engagée pour manquement à son obligation de s’assurer que le sous-traitant a mis en place les mesures techniques et organisationnelles nécessaires à la sécurité et à la confidentialité des données.

Les conclusions du rapport de l’expert en sécurité permettront également de mettre à jour ou de renforcer le système d’information du cabinet pour contenir tout nouveau risque d’attaque.

Enfin, la sensibilisation des collaborateurs aux risques cyber ne doit pas être sous-estimée lorsqu’il est notoire que la grande majorité des failles de sécurité sont le fait d’une erreur humaine.