Les nouveaux défis de la cybersécurité

18 mars 2021

3 min

Haas avocats
Les cyberattaques sont devenues un risque majeur. Me Gérard Haas présente les nouveaux types d’attaques et livre ses conseils pour s’en protéger.

Gérard Haas, docteur en droit et associé fondateur du cabinet HAAS Avocats, est spécialisé en propriété intellectuelle et en droit des nouvelles technologies. Il conseille les acteurs des TIC sur les aspects juridiques de leurs décisions et de leurs modes de gestion.

 

La cybersécurité est devenue désormais un sujet majeur. Les chiffres publiés par l’ANSSI sont effrayants. Pourquoi le nombre de cyberattaques augmente-t-il autant ?

Parce qu’il est plus facile d'attaquer une entreprise que de braquer une banque : il faut moins de moyens, juste avoir une connexion et savoir coder.

 

La société est de plus en plus numérique, il y a de plus en plus de possibilités d'accès, tandis que la sécurité demeure le parent pauvre du monde numérique. Les personnes sont peu sensibilisées au risque.

 

De plus, il n'est pas nécessaire de se déplacer dans un pays pour pouvoir attaquer un autre pays. 

 

Le cyber est un monde qu'il faut encore pacifier et sécuriser.

 

 

LIRE AUSSI >> Cloud computing : quelle réglementation applicable ?

 

De nouveaux risques en matière de cybersécurité sont-ils récemment apparus ?

Oui, en effet ! En premier lieu, les attaques passent aujourd'hui par les petits maillons faibles parce que les forteresses, les entreprises, les organisations ont des DSI et se protègent. Cependant, beaucoup de gens sont en contact avec ces grandes organisations et constituent les maillons faibles.

 

Ensuite, il y a beaucoup d'arnaques. C'est facile de semer des leurres et d'avoir accès à des informations sur les personnes. On peut faire des recoupements. Les gens utilisent toujours à peu près les mêmes mots de passe. En allant sur les réseaux sociaux et en faisant du profiling, on peut savoir que la personne a un chien et qu'il y a de grandes chances pour que le nom du chien soit aussi le mot de passe, ou encore que ce mot de passe soit l'année de sa naissance... Il y a même des logiciels qui permettent de déceler ces informations.

 

On rencontre également le phénomène du phishing, c'est-à-dire des faux sites qui attrapent des gens en leur faisant toutes sortes de fausses annonces.

 

Enfin, de nouveaux risques sont apparus et, en particulier, le risque de paralysie des activités. Il ne s'agit pas de simples arnaques. Ce risque consiste à faire chanter les entreprises avec un rançongiciel. C'est facile de bloquer ou de crypter toutes les données une fois que vous avez pu pénétrer via un site de phishing ! Pour nous qui vivons dans une société de connexion, la déconnexion est devenue un risque majeur.

 

Les petites entreprises et les PME - comme les cabinets d’avocats - ont-elles les moyens de se prémunir contre ces cyberattaques ?

Comme partout, il y a des cabinets qui sont très renforcés, et d'autres, fragilisés. Il est à noter que dans nos échanges avec l'administration judiciaire, nous disposons du RPVA qui est sécurisé.


De plus en plus d'avocats cherchent à mettre en place des outils cryptés. La tendance générale va vers le haut.

 

La difficulté vient de ce que la prévention contre des cyberattaques constitue un budget important. La maintenance informatique et la défense coûtent très cher. Il faut bien reconnaître aussi que, parfois, certains cabinets d'avocats se pensent intouchables. C'est souvent après avoir été attaqué qu'on pense aux mesures préventives.

 

Néanmoins, on peut remarquer que la demande de sécurité est croissante au sein des cabinets. Elle répond aux demandes des clients et des experts-comptables qui exigent des garanties de sécurité appropriées de la part des prestataires. D'ailleurs, les cabinets d'avocats ont de bons prestataires, qui proposent des solutions sécurisées. Je pense cependant qu'il faudra qu'on arrive très vite à des solutions cryptées, qui obligeront les hackers à trouver des stratagèmes pour pénétrer les forteresses que seront devenus les cabinets.

 

Quels outils offrent le droit national et le droit européen pour se protéger contre ces attaques ?

Dans le droit de la cybercriminalité, il y a des moyens de réprimer ces actions, aussi bien dans le Code pénal français qu'au niveau européen. Ce droit comprend également les devoirs de compliance, ainsi que la mise en place de systèmes de sécurité by design généralisés dans les systèmes d'information. 

 

Néanmoins, toutes ces réponses juridiques et judiciaires prennent du temps, alors qu'une attaque réclame une réponse immédiate. C'est pour cela qu'il faut privilégier la prévention et sensibiliser les personnes à ces risques. Il faut également acquérir les "gestes barrières" en cas de cyberattaque, ce qui impose de répéter des protocoles. Il faut répéter, répéter, répéter, il en restera toujours quelque chose. Il faut vraiment sensibiliser les personnes et ne pas se dire que ces attaques n'arrivent qu'aux autres.

 

La vraie question n'est pas de savoir si l'on va être victime de cyberattaque, mais bien plutôt quand cela va arriver. À ce moment-là, il faudra être préparé.

 

 

LIRE AUSSI >> Cyberattaques : comment les affronter ?

 

Quels conseils donneriez-vous aux entreprises pour lutter contre les cyberattaques ?

Pour toutes les entreprises, il faut se préparer à la possibilité que forcément, à un moment donné, elles feront l'objet d'un acte de piratage, d'une cyberattaque.

 

Ensuite, elles doivent mettre en place un plan de continuation d'activité et vérifier leurs techniques de sauvegarde à chaud et de sauvegarde à froid. Si, demain, on ne peut plus accéder aux postes, qu'est-ce qui a été prévu ?

 

Il ne faut pas hésiter à solliciter régulièrement des sociétés de hackers qui organisent des " Bug Bounty" afin qu'elles testent la sécurité des systèmes. Les contrôles de sécurité doivent faire partie du quotidien de l'entreprise, de même qu'elle prévoit de nettoyer les carreaux régulièrement.

 

 

Il faut également se tenir à jour aussi des nouvelles arnaques, et, enfin, avoir la chance de passer à travers !

 

Les cabinets d'avocats doivent prendre garde au fait que lorsqu'ils ont des clients importants et qui ont une grande visibilité, ils peuvent être les maillons faibles par lesquels les hackers vont tenter de les attaquer. Les demandes des entreprises en termes de sécurité vont d'ailleurs crescendo. Je pense que nous finirons par tout crypter.

 

Un mot de conclusion ?

Au sein du cabinet HAAS Avocats, nous nous sommes rendu compte qu'il était important de développer un département cyber risques, pour être à la fois préventifs et curatifs. Quand survient une attaque, trois volets sont importants : le volet technologique, pour comprendre ce qui se passe et savoir comment réagir ; le volet juridique, pour mettre en place un plan de continuation d'activité ; enfin, le volet judiciaire, pour déposer les plaintes et organiser la défense de l'entreprise. Les avocats sont des acteurs importants de la sécurité informatique, d'autant plus que dans certains secteurs, comme la santé, il y existe des autorités de régulation qu'il faut prendre en considération.

 

La cybersécurité n'est pas seulement un marché pour les sociétés de sécurité informatique. C'est également un marché pour le droit.

 

LIRE AUSSI >> Predictice met en place l'authentification à deux facteurs
Picture of Éloïse Haddad Mimoun
Éloïse Haddad Mimoun

Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.

Accueil  ›   Actualités juridiques  ›  Les nouveaux défis de la cybersécurité

Chaque mois, retrouvez l’essentiel de l’actualité juridique analysée par les meilleurs experts !