COM’sg en alerte pour la cybersécurité de ses adhérents

Institutions
Outils
TAILLE DU TEXTE

L’association COM’sg , qui réunit Offices managers et secrétaires généraux de cabinets d’avocats et de services juridiques d’entreprise, a pour objet principal la coopération entre ses membres pour améliorer leur activité quotidienne. Ses adhérents ont pu rencontrer le 15 octobre dernier, au cabinet Skadden Arps Slate Meagher & Flom LLP, M. Philippe Agazzi directeur des Systèmes d’Information du Cabinet CMS Francis Lefebvre Avocats et M. Olivier Pantaléo, dirigeant de la société Almond spécialisée dans la cybersécurité.

La cybersécurité occupe le cœur de l’actualité plus que jamais. Pas un jour sans un article sur le sujet dans la presse ou dans les revues juridiques. Un site public se consacre exclusivement à ce sujet depuis mai 2017 Il émerge tout aussi régulièrement des réseaux sociaux. La cybermalveillance menace les cabinets d’avocats et plus globalement les structures pratiquant une activité externe ou interne de conseil juridique, tout autant que d’autres activités de service utilisant quotidiennement les outils et supports informatiques. Il semble même qu’elles fassent l’objet d’une attention particulière des acteurs mal intentionnés qui propagent toutes sortes de codes malveillants (virus, malware, ransomware, …) et tentent d’entrer sur les systèmes d’information.

L’association COM’sg , qui réunit Offices managers et secrétaires généraux de cabinets d’avocats et de services juridiques d’entreprise, a pour objet principal la coopération entre ses membres pour améliorer leur activité quotidienne. Le sujet de la Cybersécurité s’impose donc et revient régulièrement. Ses adhérents ont pu rencontrer le 15 octobre dernier, au cabinet SkaddenArps Slate Meagher & Flom LLP, M. Philippe Agazzi directeur des Systèmes d’Information du Cabinet CMS Francis Lefebvre Avocats et M. Olivier Pantaléo, dirigeant de la société Almond spécialisée dans la cybersécurité (cf présentation des intervenants dans l’encart ci-après cet article).

Ce dernier, tout de suite, donne la mesure de la gravité de la situation : « 80 % de la cybercriminalité est liée des bandes organisées transfrontalières et représente un coût financier plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne » (Interpol)». Les pirates qui veulent s’introduire dans les systèmes informatiques des cabinets adhérents pour pratiquer diverses fraudes et voler des données ne sont pas des amateurs en quête d’amusement.

Olivier Pantaléo dissipe quelques illusions comme par exemple la croyance qu’on puisse sécuriser sa structure une bonne fois pour toute. Hélas la tâche n’est jamais terminée, il faut sans cesse renforcer les mesures mises en place, tester ses défenses, sensibiliser ses collaborateurs et ajouter de nouvelles actions. Les personnels ne sont jamais assez formés ni informés. Faire aveuglement confiance aux mesures techniques en place donne un net avantage aux pirates.

Philippe Agazzi présente diverses défaillances constatées par ses collègues du Cercle Informatique Juridique, qui illustrent les propos d’Olivier Pantaléo et prouvent que le péril rode bien dans les systèmes d’information des adhérents de COM’sg.

Ces derniers doivent gérer les données sensibles et / ou critiques (ex. données personnelles) dont leur structure a la charge de la manière la plus légale et la plus stricte. En cas d’intrusion par un pirate, cela peut attirer par exemple l’attention de la CNIL et ajouter aux dommages du sinistre causé des poursuites légales venant des autorités de régulation. MM. Pantaléo et Agazzi ont rappelé par ailleurs que le RGPD impose aux responsables de traitement de données personnelles et à leurs sous-traitants « de mettre en œuvre des mesures techniques et organisationnelles afin de garantir la sécurité des données traitées ».

Ils ont tour à tour traité la question des mots de passe et de leur fragilité.Il n’y a pas de sécurité sans un solide système d’authentification et des utilisateurs sensibilisés aux bonnes pratiques pour définir et utiliser les mots de passe. Si cela semble avoir été compris par la plupart des acteurs concernés, la mise en œuvre laisse encore à désirer. Mots de passe trop simples, vides, évidents ou basés sur le nom du cabinet, mots de passe gardés trop longtemps, pas souvent changés, trop collectifs (servant à de multiples accès), la litanie des erreurs commises est longue mais le résultat donné par Olivier Pantaléo est à sa mesure : « 97,53% des mots de passe ont été crackés ». La cryptographie a été également passée en revue. Si elle semble promettre un gain de sécurité, son mauvais usage peut au contraire ouvrir des voies d’eau dans le blindage numérique des systèmes d’information et contribuer à un vol plus massif de données.

Le matériel informatique se propose également comme terrain d’action pour les pirates. Wifi, clés USB, claviers, etc… le danger vient de partout. Il n’existe pas de protection efficiente contre ce type d’intrusion. Un réflexe à suivre en conséquence : toujours prendre son matériel auprès d’un fournisseur fiable, rejeter tout « cadeau », même venant d’un ami, pouvant se brancher sur le système de sa structure : clé ou souris par exemple. L’usage de ce type d’objet, peut s’interdire ou, au minimum, faire l’objet d’un contrôle systématique par sa Direction des Services d’Informations (DSI), si elle en a le temps.

Le cœur du système informatique qui doit être protégé le plus possible : le réseau interne de la structure. On peut accéder à bien des informations précieuses et sensibles en passant par lui. Tout contrer est difficile (s’avère impossible), surtout dans la durée. Il est recommandé de mettre en place au plus vite un dispositif de surveillance (cellule de surveillance et outils techniques) qui détectera les fraudes, les comportements anormaux, les événements redoutés et les intrusions et permettra de les ralentir pour les contrer rapidement avant qu’elles n’aient pu causer de sinistres.

Philippe Agazzi donne plusieurs exemples se rapportant au point sensible de cette matinée : le plus grand risque pour un système informatique vient des humains qui s’en servent. « Le cerveau humain est comme un OS sans firewall ». Imprudences dans la gestion des emails, négligences, erreurs de jugement, les salariés et les avocats, sans le vouloir, ont la faculté d’ouvrir portes et fenêtres pour les pirates.

Les conséquences d’un cyber-incident peuvent être lourdes : dommages & intérêts à verser aux tiers pour violation de données, ou transmission d’un virus, pénalités des autorités régulatrices, pertes de données stratégiques, pertes financières et plus si rançon, et perte d’activité. Sans compter le temps passé aux démarches de déclaration, à la réparation des systèmes et aux interventions à solliciter à l’extérieur.

Des solutions existent. Faire régulièrement auditer son système de sécurité, former, reformer et informer tous les acteurs en rapport avec le système d’information du Cabinet (et pas seulement les salariés), mettre en place une charte informatique de sécurité interne et y faire adhérer tout le monde. S’assurer particulièrement pour ce type de sinistre fait partie des mesures urgentes. Et … prendre conseil auprès d’experts dans le domaine. Leur intervention coûtera toujours moins cher qu’un sinistre et aura un effet bénéfique sur le stress des adhérents de COM’sg.

Bureau de l’association COM’sg
avec la collaboration de Jean Gasnault, La Loi des Ours.

Olivier Pantaleo fonde Provadys en 2006 et Majj en 2008. En 2019, il décide de rapprocher son groupe et les 2 sociétés qu’il préside avec les sociétés NetXP et LiveXP pour donner naissance au groupe Hifield et aux sociétés Almond et Rampar. Co-dirigeant du groupe Hifield, il dirige l’activité Cybersécurité au sein d’Almond, société d’audit et de conseil spécialiste des technologies de l’information quiaccompagne les organisations en matière de Cybersécurité, de Cloud et de Transformation des Systèmes d’Information.

Philippe Agazzi, Directeur des Systèmes d’Information et des Opérations de CMS Francis Lefebvre Avocats depuis 2006. Président du Cercle Informatique Juridique (CIJ) depuis 2016. Le CIJ, association loi 1901, regroupe les DSI et décideurs informatiques de plus de 60 cabinets d’avocats. Le CIJ permet à ses membres d’échanger sur les bonnes pratiques dans le monde du droit et de la fiscalité.


Forum des Carrières Juridiques 2024 : interview de Vanessa Bousardo, vice-bâtonnière de Paris

Forum des Carrières Juridiques 2024 : Laure Carapezzi, DRH, Osborne Clarke

Forum des Carrières Juridiques 2024 : Blandine Allix, associée - Flichy Grangé Avocats