Les cyberattaques représentent une menace de plus en plus forte pour les entreprises. Selon un sondage réalisé par Opinionway pour le Club des experts de la sécurité de l’information et du numérique (Cesin), 80 % des entreprises interrogées ont été victimes d’une cyberattaque en 2016. Et les cabinets d’avocats ne sont pas épargnés. La preuve en est : l’affaire, dite des «paradise papers», née à la suite d’une fuite des données du cabinet d’affaires Appleby, ou encore l’attaque par le ransomware Petya de DLA Piper, à Madrid, cet été, qui s'est ensuite répandue au sein des différents bureaux. Ces affaires viennent rappeler l’importance de la cybersécurité pour les cabinets d’avocats. Pour autant, les clients sont-ils conscients de cet enjeu ? Quelle importance accordent-ils à ce critère lors du choix de leur conseil ?

Une prise de conscience progressive

La réponse varie fortement selon la typologie de clientèle. «Certains de nos clients, notamment ceux du secteur de l’aéronautique et de la défense, veulent depuis longtemps savoir comment nos systèmes informatiques sont organisés, explique Xavier Norlain, co-managing partner du bureau parisien de DLA Piper. Ils disposent, en effet, de données industrielles particulièrement sensibles, que ce soit sur des sujets de propriété intellectuelle ou sur des opérations M&A, pour lesquelles la confidentialité est extrêmement forte.» Les sociétés de secteurs sensibles ou stratégiques, comme la sécurité, la défense, ou les nouvelles technologies, sont par nature très vigilantes sur ces problématiques. C’est le cas, par exemple, de la PME française Ercom, qui construit des solutions de cybersécurité, utilisées notamment par l’Elysée et le ministère des Affaires étrangères. «En raison des données confidentielles qu’ils contiennent, nous n’envoyons jamais nos contrats en pièce jointe de courriels. Par ailleurs, nous imposons à nos prestataires, ainsi qu’aux cabinets d’avocats avec lesquels nous travaillons, d’utiliser notre solution de sécurisation des échanges de données», précise le porte-parole de la société, Raphaël Basset. Les entreprises sont en effet plus sensibles à la question lorsqu’elles ont elles-mêmes mis en place une politique de cybersécurité.

«Il y a quelques années, la cybersécurité des cabinets n’était pas une préoccupation pour les entreprises, puisqu’elles ne se posaient déjà pas la question pour elles-mêmes. Mais la situation est en train d’évoluer», affirme Béatrice Oeuvrard, senior attorney chez Microsoft. Cette prise de conscience s’étend progressivement à tous les secteurs d’activité. «Les grandes entreprises connaissent les risques engendrés en cas de divulgation de leurs informations, indique Patrick Ramon, secrétaire général d’August Debouzy. Nombre d’entre elles ont d’ailleurs mis en place des procédures internes de sécurité informatique et interrogent leurs prestataires et conseils sur leurs propres dispositifs de cybersécurité.»

Un critère intégré dans certains appels d’offres

Plus sensibilisés aux risques de piratage, les clients incluent parfois, dans leurs appels d’offres, des critères portant sur la confidentialité des informations et l’intégrité des données confiées à leur conseil. «Il nous est arrivé de mettre en place avec certains prospects, des systèmes informatiques totalement dédiés à une opération ou un dossier, ou d’utiliser, avec d’autres, des systèmes pour les données cryptées», raconte Xavier Norlain. L’aspect technique est ainsi étudié de près avec parfois des demandes spécifiques du client. Il s’agit, par exemple, de restreindre l’accès aux documents à un nombre de personnes strictement énuméré, de confirmer que les documents transférés sur le cloud du cabinet sont réellement sécurisés, ou encore de préciser la procédure du cabinet à la suite du départ d’un avocat ayant eu accès à ces informations. «Certaines entreprises ont mis en place des chartes informatiques ainsi que des procédures de contrôle annuelles, poursuit Patrick Ramon. Elles nous interrogent régulièrement afin de vérifier que nos systèmes sont conformes aux exigences de leur charte de sécurité informatique. Nous nous apercevons d’ailleurs que ces normes de sécurité évoluent très vite et se durcissent.»

Les questions ne se limitent pas aux sujets techniques. Conscients que le risque zéro n’existe pas, certains clients interrogent leurs conseils sur leur capacité à gérer une crise en cas d’attaque, subie par le cabinet ou l’entreprise. Ainsi, lorsque DLA Piper a fait l’objet du ransomware Petya, le cabinet a décidé d’informer ses clients. «Nous avons eu une démarche proactive en discutant avec chacun d’entre eux pour les informer de la situation et leur préciser comment nous allions assurer la continuité de nos services. Certains continuent de nous demander des conseils sur des gestions de crise de ce type en termes IT et organisationnel», souligne-t-il.

Le manque de protection des cabinets déploré par les clients

De plus en plus regardée par les clients, la cybersécurité n’est pourtant pas encore un critère déterminant pour toutes les entreprises. Un certain nombre d’entre elles n’a pas encore le réflexe d’interroger ses conseils sur ce sujet. Quant aux autres, elles déplorent un manque d’offre. Béatrice Oeuvrard s’en rend compte au quotidien. «Chez Microsoft, à chaque fois que nous nous sommes renseignés sur les dispositifs de cybersécurité mis en place au sein des différents cabinets, ceux avec lesquels nous travaillons, mais également les conseils de nos clients avec lesquels nous interagissons, nous avons senti une réticence de leur part à partager ces éléments, indique-t-elle. Peu de cabinets mettent en avant leur propre politique interne, ou passent au Cloud. Ceci est bien dommage, car cela joue au final sur l’efficacité de leurs services.» De nombreux cabinets manquent en effet d’un programme efficace en matière de confidentialité et de sécurité des données. Selon une étude MyCercle publiée en mars 2016, seul un cabinet français sur cent est équipé d’un espace client sécurisé accessible depuis son site. Les échanges avec les clients sont majoritairement effectués de manière non sécurisée, sous forme de mails et de pièces jointes, exposés au piratage ou aux erreurs de destinataire. Selon cette même étude, le manque de protection des échanges entre clients et avocats concerne aussi les grosses structures : seul un grand cabinet français sur trois est équipé d’un dispositif dédié.

Plusieurs facteurs pourraient cependant pousser les conseils à accroître leurs efforts en la matière. L’augmentation du nombre de cyberattaques, tout d’abord, va conduire les clients à devenir plus exigeants. «Les entreprises ayant été piratées réagiront en musclant leur dispositif de sécurité et leurs procédures de contrôle, estime Patrick Ramon. Par capillarité, elles propageront ces exigences à tous leurs prestataires, même s’il sera certainement difficile pour les petites structures d’avocats de se doter de moyens de sécurité ultra-sophistiqués, en raison de leur coût.» En outre, la médiatisation d’un certain nombre de piratages ajoute une pression supplémentaire. Il est donc fort probable que les scandales à répétition entraînent un changement de mentalité et de comportement. Mais comme tout changement, celui-ci prendra du temps.