La newsletter OnLib'Infos

Des articles dédiés à toutes les professions libérales

Professions libérales et cybercriminalité : 5 questions à Gérard Haas, avocat au barreau de Paris

Toutes professions libérales
Professions libérales et cybercriminalité :  5 questions à Gérard Haas, avocat au barreau de Paris
Professions libérales et cybercriminalité :  5 questions à Gérard Haas, avocat au barreau de Paris

Gérard Haas : « Face à l’écran noir, je pense que la robe noire reste la meilleure solution pour protéger son activité. »

En matière de droit du numérique et de cybersécurité, Me Gérard Haas fait figure de référence sur le marché juridique. Fondateur du cabinet Haas Avocats, leader en droit du numérique depuis 25 ans, Me Haas aborde aujourd’hui avec nous l’épineuse question de la cybersécurité appliquée aux professionnels libéraux, et ses spécificités.

Si les grandes entreprises sont régulièrement victimes d’attaques, qu’en est-il des professions libérales ?

C’est une idée reçue très répandue : seules les grandes entreprises seraient victimes de cyberattaques, cela n’arriverait pas aux petites structures, abritées sous les radars des hackers. Rien n’est moins vrai…

Bien au contraire, si les professions libérales sont réglementées, c’est précisément parce qu'elles traitent des données sensibles, confidentielles ou stratégiques, émanant notamment de grands groupes ou d’entreprises publiques. 

Mettez-vous à la place du hacker : pourquoi attaquer la grande plateforme, protégée par un DSI très sophistiqué, alors que l’avocat, l’expert-comptable, le notaire, le radiologue… autrement dit, le prestataire «libéral », dispose de la même donnée, avec une sécurité bien inférieure ? En réalité, les professions libérales constituent la proie idéale. Je dirais même qu’elles sont leurs nouveaux prospects !

Alors, qu’en est-il du niveau de sécurité ? En règle générale, les professionnels libéraux utilisent déjà des logiciels et des serveurs sécurisés. Mais cette protection est rarement suffisante, notamment à certains moments critiques : lorsque l’on change de prestataire informatique, de logiciel métier ou que l’on intègre un nouveau collaborateur par exemple. Au cours de ces périodes de manipulations, les systèmes d’information sont vulnérables et constituent des fenêtres de tir pour les hackers. 

Quels sont les types d’attaques les plus courantes ?

Il existe mille et une manières de pénétrer un système d’information. L'attaque la plus répandue reste le ransomware (demande de rançon), via le phishing : vous recevez un message lambda de votre prestataire, de votre banque ou n’importe quel autre tiers de confiance, qui contient en réalité un lien permettant la captation de vos données.  

Vous trouverez aussi l’ingénierie sociale, qui s’appuie davantage sur la défaillance humaine, en « pistant » un collaborateur en particulier. Le hacker peut appeler la personne visée en se faisant passer pour un prestataire et récupérer ainsi les accès voulus. Il est aussi possible de passer par les outils nomades, de plus en plus répandus avec le télétravail, qui sont reliés au réseau mais plus vulnérables que le reste du parc informatique de l'entreprise. 

Comment réagir en cas d’attaque ?

La panique est le premier réflexe ! Vous vous retrouvez face au redouté « écran noir», avec l’ensemble de votre système bloqué et vos données prises en otage. C’est une vraie situation de crise. 

Je voudrais bien rappeler à vos lecteurs que TOUTES les entreprises sont concernées : aujourd’hui, une entreprise sur deux fait l’objet d’une cyberattaque, tous secteurs confondus.

Il faut distinguer les attaques « immédiates », avec écran noir et demande de rançon des attaques « dormantes», qui passent sous vos radars. Sachez, qu’en moyenne, un pirate reste durant 252 jours dans votre système ! Toute la question est de savoir quand il va passer à l’action.

En tant qu’avocat spécialisé en la matière, j’attirerais l’attention sur la manière de notifier les autorités. Comme nous parlons de professions réglementées, la plupart d’entre elles ont l’obligation de notifier l’attaque soit à l’ARS, la CNIL, l’ANSEE, l’AFAR, etc. Il y a donc un formalisme et une procédure spécifiques à respecter. 

Justement, par rapport à votre pratique très spécialisée en droit du numérique, quels sont les risques en termes de responsabilité ?

Je reviens sur cette idée de proie idéale que constituent les professions libérales. Non seulement, elles le sont face aux hackers, mais elles le sont aussi face aux clients, qui peuvent engager la responsabilité du professionnel. 

Si les professions libérales n’ont qu’une obligation de moyen en termes de cybersécurité, elles sont tout de même tenues de prendre les mesures de sécurité nécessaires et appropriées (organisationnelles et techniques) pour protéger les données de leurs clients.

Ce sont donc les questions que l’on me pose le plus souvent en cas d’attaque : Ai-je pris les mesures nécessaires ? Mon niveau de sécurité était-il suffisant ? Va-t-on me reprocher une faute de gestion ? 

Il faut absolument garder à l’esprit ce risque de responsabilité et être accompagné d’un avocat spécialiste en la matière. Face à l’écran noir, la robe noire reste la meilleure solution pour protéger son activité…

Pour résumer, les professionnels libéraux sont donc les plus exposés, tout en étant les moins équipés pour se protéger correctement. L’équation semble difficile à résoudre financièrement ?

Oui et non. Si l’on s'intéresse au strict risque d’attaque, en effet, il est impossible d’être parfaitement protégé. D’abord parce que l’industrie informatique s’est construite sur des bugs et évolue en fonction de l’apparition de nouvelles brèches. Ensuite, parce que les hackers sont extrêmement bien organisés et au fait des failles existantes. 

Face à un système d’information, même à jour, d’un expert-comptable, d’un avocat ou toute autre profession libérale, vous ne luttez pas à armes égales. Le risque est donc constant et ne peut être ramené à zéro.      

Si l’on s'intéresse à la responsabilité du professionnel libéral, il est possible de respecter un certain nombre de mesures qui permettent une protection « responsable » tout en restant accessibles.

Parmi les plus courantes, je conseillerais :

  • un bon mot de passe,
  • une mise à jour régulière des logiciels professionnels,
  • une bonne connaissance de vos utilisateurs et de vos prestataires,
  • une mise en place de sauvegardes régulières,
  • une sécurisation de vos accès WIFI,
  • une vigilance en matière de mobilité (smartphone / laptop),
  • ne jamais télécharger de programme ne venant pas du site officiel,
  • une vigilance sur les modalités de paiements en ligne,
  • bien séparer votre matériel professionnel et personnel.

Si l’aspect sécuritaire est évidemment central, il est aussi possible de voir la cybersécurité sous l’angle de la valorisation et de la transmission. Dans un dossier de reprise ou de rachat, quel poids doit prendre la cybersécurité ? 

C’est une très bonne question. Lors d’un rachat, nous intervenons à la fois sur la valorisation de la data, mais aussi sur le niveau de sécurité mis en place. Cela devient un vrai critère de sélection et de valorisation pour les professionnels libéraux, ce qui se comprend aisément vu nos précédents échanges. 

La question de la responsabilité reste aussi sous-jacente lors d’une transmission. En cas d’attaque au moment de la reprise, qui paiera la facture ? Au moment de transmettre, suis-je sûr d’avoir pris les mesures suffisantes ? Il faut faire attention : la question de la sécurité informatique peut avoir des conséquences sérieuses dans une garantie de passif.

onlib
Inscrivez-vous à notre newsletter
dédiée à toutes les professions libérales
Je m'abonne