Savoir tenir compte des risques d’attaques informatiques

La meilleure manière de se protéger contre des attaques dirigées contre ses systèmes informatiques est de disposer de systèmes et de sauvegardes sécurisés. En cas d’urgence, les études d’avocats doivent absolument préserver le secret professionnel.

Sommaire

Plaidoyer 05/2020

21.10.2020

Dernière mise à jour:
28.10.2020

Sanija Ameti, Andreas Hösli et Philipp Leo, adaptation française Steve Reusser

Article payant

Pour lire cet article, connectez-vous ou choisissez l'un de nos abonnements.

Abonnement

Mot de passe oublié?

Si la numérisation de la vie professionnelle offre de nombreuses opportunités aux avocats, elle comporte aussi des risques sérieux. Les études d’avocats gèrent de grandes quantités de données confidentielles et, souvent, très sensibles. De ce fait, elles sont des cibles de choix pour les cybercriminels. Alors que les petites études négligent encore souvent la question de la sécurité informatique (souvent, sans doute, pour des raisons de coût), les grandes études disposent de leurs propres systèmes informatiques. Néanmoins, en la matière, même des dépenses élevées ne protègent pas contre de graves incidents.

L’attaque informatique menée contre DLA Piper, une étude d’avocats représentée dans 40 pays, a été rendue publique. Une variante du ransomware Petya a non seulement chiffré certains fichiers sur les ordinateurs touchés, mais également attaqué des zones critiques de leurs disques durs principaux, empêchant leurs systèmes d’exploitation de démarrer. Selon certaines sources, l’infrastructure informatique mondiale du cabinet d’avocats a été rendue indisponible pendant plusieurs jours. Les auteurs, anonymes, ont exigé une rançon en bitcoins. Beaucoup d’autres attaques informatiques ne sont jamais rendues publiques. On ne peut que spéculer sur le nombre de cas non signalés, même en Suisse.

Les attaques informatiques sont dangereuses pour plusieurs raisons. D’une part, elles présentent un risque opérationnel, d’autant plus qu’une étude d’avocats est quasiment à l’arrêt si son système informatique tombe en panne. Parmi les risques, on peut craindre une perte de données, le non-respect de délais – le cas typique de violation du devoir de diligence de l’avocat – ainsi qu’une réputation fortement entachée. En outre, de nombreuses données stockées sont protégées par le secret professionnel (art. 13 de la loi fédérale sur la libre circulation des avocats, LLCA), dont la violation est sanctionnée pénalement (art. 321 CP).

Des standards pour les mesures préventives

Ni la loi ni les règles de déontologie n’imposent aux avocats de prendre des mesures spécifiques pour se doter d’une sécurité informatique adéquate. On peut toutefois attendre d’eux qu’ils assurent au moins un niveau minimal de sécurité, en raison du devoir de diligence de l’art. 12 al. 1 LLCA et de la loi fédérale sur la protection des données (LPD). Des standards internationalement reconnus, tels que le Cybersecurity Framework du National Institute of Standards and Technology (NIST), servent de point de référence pour les précautions organisationnelles et techniques à adopter. Développé à l’origine pour protéger les infrastructures critiques (comme l’approvisionnement en énergie ou les télécommunications), il est rapidement devenu un standard commun dans des cercles plus larges pour la gestion des risques en matière informatique.

La structure en cascade, comportant les fonctions «identify», «protect», «detect», «respond» et «recover», est facile à comprendre. Sur le plan organisationnel, des processus décisionnels clairs et les responsabilités internes doivent être définis, afin de pouvoir réagir rapidement et de manière décisive en cas d’urgence. Si le savoir-faire technique est insuffisant à l’interne, il est recommandé de recourir à des experts externes. Les questions qui se posent en cas d’urgence (qui doit être informé? qui décide? comment l’information doit-elle être fournie à l’interne et aux clients? y a-t-il des obligations d’annonce?) doivent être discutées et soigneusement clarifiées, au préalable. La conclusion d’une assurance spéciale, pouvant également couvrir les coûts de gestion de la crise, devrait être envisagée. Des exclusions et des limitations de responsabilité doivent aussi être prises en compte.

Stockage de données sensibles dans le cloud

L’utilisation croissante des solutions de cloud computing est un autre défi. Bien qu’elles permettent des gains d’efficacité importants, certains éléments juridiquement sensibles doivent être pris en compte. La plupart des fournisseurs des solutions de cloud sont des entreprises américaines (dont Amazon, Microsoft, Google et Dropbox). Les données mises à leur disposition sont donc sous la sphère d’influence des autorités américaines.

Ce risque s’est encore accru en 2018, avec l’adoption du Cloud Act. Les solutions actuelles de cloud computing ne permettent pas de garantir que les données soient stockées ou traitées exclusivement sur des serveurs situés en Suisse. Pour les études d’avocats, cela pose problème sous l’angle des art. 271 CP (actes exécutés sans droit pour un Etat étranger) et 273 CP (service de renseignements économiques), importants en pratique. Enfin, le secret professionnel doit aussi être pris en compte. Si une étude d’avocats crypte les données avant de les transmettre au fournisseur et que ce dernier ne dispose pas de la clé, cela ne constitue probablement pas une révélation du secret au sens de l’art. 321 CP. Dans chaque cas d’espèce, il convient d’examiner comment cela peut être mis en œuvre en pratique, en raison des différences existant entre fournisseurs de services de cloud.

Si une attaque informatique est détectée, ce qui peut parfois se produire des mois après le début de l’atteinte, une réaction rapide est nécessaire. Dans ce domaine, chaque minute peut faire une différence significative dans l’étendue des dommages causés. Les mesures nécessaires doivent être prises immédiatement, conformément au processus décrit ci-dessus. Après une attaque informatique, il faut déterminer l’ampleur de la faille de sécurité. C’est le seul moyen de savoir où et comment les auteurs de l’attaque se sont introduits dans les systèmes informatiques, et quelles données ils ont volées ou manipulées.

Préserver les preuves

Les systèmes informatiques attaqués doivent être traités comme des scènes de crime. Des actions non coordonnées peuvent altérer les traces et compromettre des preuves potentiellement importantes. Les expertises ne visent pas, en premier lieu, à identifier les auteurs, mais à retracer le déroulement des faits et à préserver d’éventuelles preuves. Tant que l’analyse des causes n’a pas été entièrement effectuée, une attaque ne doit pas être considérée comme ayant été parée. En outre, la question du signalement d’une attaque informatique se pose également.

Contrairement à ce qui prévaut dans le secteur financier et dans d’autres secteurs considérés comme critiques, les avocats n’ont, aujourd’hui, aucun devoir légal d’annoncer une attaque. Les atteintes peuvent être signalées volontairement à la Centrale d’enregistrement et d’analyse pour la sûreté de l’information de la Confédération (MELANI), qui ne peut toutefois, en règle générale, pas offrir aux avocats de soutien dans leur gestion de crise. Dans un cas d’espèce, il conviendrait également d’examiner s’il existe une obligation de notification en vertu du Règlement général de l’UE sur la protection des données (RGPD) ou, dans un proche avenir, en vertu de la loi suisse révisée sur la protection des données. La nécessité d’effectuer des déclarations de sinistres aux compagnies d’assurances devra également être déterminée.

En principe, la victime d’une atteinte informatique peut déposer une plainte pénale. Plusieurs cantons disposent de moyens répressifs spécialisés en la matière. Si une plainte est envisagée, il est indiqué de la déposer rapidement. Toutefois, le secret professionnel de l’avocat, en plus des potentiels problèmes d’atteinte à la réputation, constitue un obstacle particulier au dépôt d’une plainte pénale.

Les avocats et leurs auxiliaires sont soumis au secret professionnel pour une durée indéterminée et pour toutes les affaires qui leur sont confiées par leurs clients dans l’exercice de leur profession (art. 13 LLCA). La révélation n’est pas punissable si elle a été faite avec le consentement de l’intéressé ou si, sur proposition du détenteur du secret, l’autorité supérieure ou l’autorité de surveillance l’a autorisée (art. 321 al. 2 CP). Ainsi, en principe, la révélation de données protégées aux autorités de poursuite pénale n’est généralement pas autorisée.

Comme la simple possibilité de prendre connaissance des données est suffisante, il ne serait même pas nécessaire, pour que le secret professionnel soit violé, que l’autorité consulte effectivement les données durant l’enquête, mais il suffirait qu’elle y ait accès. Toutefois, sauf dans des cas simples, l’autorité chargée de l’enquête devra probablement, pour pouvoir mener à bien son enquête, accéder à l’infrastructure touchée par l’attaque informatique, et donc aux données qui s’y trouvent.

Si l’enquête est urgente, la levée du secret professionnel de l’avocat, en particulier s’il a un grand nombre de clients, ne sera guère possible dans un délai raisonnable. De même, une libération du secret professionnel par l’autorité compétente prend beaucoup de temps, et ne peut en outre être accordée que si l’intérêt de l’étude à une poursuite pénale pèse clairement plus lourd que l’intérêt de la clientèle au maintien du secret, ce qui ne peut être présumé sans autre en matière d’attaques informatiques. Il ne saurait non plus être question, pour des raisons pratiques, de faire manuellement un tri de toutes les données, excluant les données protégées par le secret professionnel, à l’image de la mise sous scellés en procédure pénale, car un tel tri prendrait des semaines, voire des mois. Il n’est pas non plus concevable de recourir à des mesures techniques pour prévenir l’accès non autorisé à des données protégées par le secret professionnel. La protection du secret professionnel de l’avocat devrait donc, dans de nombreux cas, impliquer l’exclusion de toute intervention des autorités de poursuite pénale.

Discussions préliminaires informelles avec le Ministère public

Cela ne signifie pas pour autant qu’une plainte pénale soit exclue d’emblée, dans tous les cas. Dans certaines circonstances, les autorités de poursuite pénale peuvent mener des enquêtes sans avoir accès aux données protégées par le secret professionnel. Dans un cas d’espèce, la possibilité d’une telle démarche peut être déterminée dans le cadre d’une discussion préliminaire informelle avec le Ministère public, qui peut fournir une première indication sur les données nécessaires. Au mieux, seuls les fichiers journaux qui ne contiennent pas d’informations protégées seront pris en compte.

Dans de nombreux cas, toutefois, il est recommandé de faire appel à un prestataire de services informatiques spécialisé, qui peut être contractuellement intégré, en tant qu’auxiliaire, dans le cercle des détenteurs du secret professionnel. En revanche, un accord similaire avec une autorité de poursuite pénale, dans lequel cette dernière garantirait le respect de la confidentialité des données, serait à notre avis nul (voir ATF 136 II 415).

Les risques d’attaques informatiques posent donc un certain nombre de questions organisationnelles et juridiques délicates aux avocats. La prévention est d’une grande importance, de même que les bonnes réactions en cas d’urgence. Si le dépôt d’une plainte pénale est envisagé, le secret professionnel doit être respecté. y