Malheureusement, les cyberattaques sont devenues quotidiennes, y compris auprès des notaires, des avocats, des juristes d’entreprise, des magistrats et des fiscalistes. Les cyberattaques constituent une menace réelle pour l’intégrité, la confidentialité et la disponibilité des données et des systèmes que les professionnels du droit utilisent pour mener leurs activités.
Pourquoi la cybersécurité est-elle importante pour les juristes ?
Les juristes traitent quotidiennement des informations sensibles et confidentielles telles que des données personnelles, des contrats, des transactions financières, des droits de propriété intellectuelle ou des informations à caractère privé qui sont traitées dans les procédures en cours. Ces informations peuvent être très précieuses pour les cybercriminels, qui les utilisent à des fins de fraude d’identité, d’extorsion, de chantage ou à d’autres fins illégales. En outre, les cyberattaques peuvent gravement nuire à la réputation et à la confiance d’un cabinet d’avocats, d’un notaire ou d’un tribunal, par exemple, et engendrer une responsabilité ou des amendes pour violation de la législation sur la protection de la vie privée, voire compromettre la continuité du service.
Quels types de cyberattaques existe-t-il ?
Les cyberattaques peuvent prendre différentes formes en fonction de l’objectif, de la méthode et de l’impact de l’attaque. Parmi les types de cyberattaques les plus courants, nous pouvons citer :
- Attaques de rançongiciel : les attaques de rançongiciel à double extorsion sont actuellement très fréquentes en Belgique. Lors de ce type d’attaque, les pirates volent un certain nombre de fichiers à la victime pour ensuite les crypter et exiger d’elle une rançon. Ils la menacent d’une part, de ne pas lui fournir une clé (« décrypteur ») qui lui permettra de décrypter ses fichiers et, d’autre part, de divulguer les fichiers volés sur le dark web en cas de refus de paiement. Le dark web permet en effet aux pirates de communiquer et d’y faire des affaires sans divulguer d’informations d’identification, telles que leur identité ou localisation. Les rançongiciels peuvent se propager par hameçonnage, pièces jointes ou téléchargements infectés, ou par la vulnérabilité du réseau ou des logiciels utilisés par la victime.
- Attaque de type man-in-the-middle (MitM) : forme de cybercriminalité qui consiste pour un pirate à se glisser imperceptiblement entre deux parties communiquant entre elles afin d’intercepter, modifier ou falsifier leurs messages. Les attaques MitM sont souvent utilisées pour remplacer, à l’insu de tous, des numéros de compte légitimes par des numéros de compte frauduleux, afin que le destinataire d’une facture numérique verse le montant de la facture sur un compte frauduleux.
- Attaque par déni de service (DoS) : attaque durant laquelle un grand nombre d’ordinateurs (bots) adressent simultanément des requêtes à un serveur ou à un site Web afin de le surcharger et dès lors, le rendre inaccessible. Les attaques DoS peuvent être utilisées pour fermer un site Web, éliminer un concurrent ou distraire en vue d’une autre attaque.
- Fuite de données : incident lors duquel des personnes non autorisées accèdent aux données d’une organisation ou d’un individu. Les fuites de données peuvent être le résultat d’un piratage, d’une erreur humaine, de mesures de sécurité insuffisantes ou d’une fraude interne.
Quels sont les problèmes juridiques les plus importants lorsque vous êtes victime d’une cyberattaque ?
Hormis de nombreuses conséquences techniques et opérationnelles, il existe également des points d’attention juridiques en cas de cyberattaque. Vous trouverez ci-dessous les considérations juridiques les plus importantes :
- Notification à l’APD : excepté si le risque est nul pour les personnes dont les données ont été affectées par une cyberattaque, le responsable du traitement des données, victime de la cyberattaque (par exemple, un cabinet d’avocats ou une profession notariale), doit en notifier l’Autorité de protection des données (APD). Ce signalement doit être fait dans les 72 heures de la connaissance de l’incident. Étant donné que la victime dispose rarement de toutes les informations devant être signalées à l’APD dans ces 72 heures, le travail est souvent effectué en deux étapes, à savoir : un rapport provisoire est rendu dans les 72 heures et un rapport de suivi est ensuite envoyé à l’APD quelques jours (voire quelques semaines) plus tard.
- Notification aux personnes concernées : lorsqu’une cyberattaque peut entraîner un risque élevé pour les personnes dont les données ont été affectées, le responsable du traitement des données, victime de cette attaque, doit en informer toutes les personnes concernées. C’est le cas, par exemple, lorsque des extraits de casiers judiciaires de clients d’un cabinet d’avocats sont divulgués sur le site du groupe de rançongiciel responsable de l’attaque. Les clients concernés doivent recevoir : (i) Une description de la cyberattaque, (ii) Le nom et les coordonnées du délégué à la protection des données (ou d’un autre point de contact où de plus amples informations peuvent être obtenues), (iii) Une explication sur les conséquences probables de la cyberattaque en ce qui concerne les données à caractère personnel.
- Paiements frauduleux : si vous, votre client ou votre fournisseur avez été victime d’une attaque MitM, il existe un risque important que les numéros de compte figurant sur les factures entrantes et/ou sortantes aient été falsifiés et que le montant des factures ait donc été versé sur un compte frauduleux. En vertu du principe « qui paie mal, paie deux fois », le débiteur n’est pas libéré de sa dette par un paiement à une personne qui n’a aucune procuration ou autorisation de recevoir le paiement. Concrètement, cela signifie que si un débiteur a payé une facture sur un compte frauduleux à la suite d’une attaque MitM, le débiteur reste responsable du paiement du montant de la facture envers son créancier.
- Responsabilité du fournisseur de services informatiques : si votre fournisseur de services informatiques a été victime d’une cyberattaque et que vous en subissez les dommages ou les pertes, vous pouvez essayer de l’en tenir pour responsable. Cela suppose, bien entendu, que la cyberattaque ait été rendue possible à cause d’une erreur de votre fournisseur de services et que sa responsabilité n’a pas été exclue dans le contrat conclu avec lui.
Êtes-vous assuré contre les cyberattaques?
Certaines entreprises, fédérations professionnelles et gouvernements ont souscrit une assurance pour se couvrir contre les conséquences d’une cyberattaque. Certains assureurs proposent une hotline que l’assuré peut appeler en permanence (24h/24 et 7j/7) en cas de cyberattaque afin de bénéficier d’une assistance technique immédiate, opérationnelle et juridique. Il est donc utile de vérifier si cette couverture d’assurance existe dans votre institution et, le cas échéant, d’envisager sérieusement de souscrire à une police d’assurance couvrant les cyberattaques.
Tom De Cordier, avocat associé chez CMS Belgique, spécialiste du droit des nouvelles technologies et du droit de la cybernétique.
Cet article fait partie d'une série d'articles publiés en collaboration avec Eye Security sur la cybersécurité dans le secteur juridique. Si vous souhaitez en savoir plus sur les services juridiques de CMS et les solutions de sécurité d'Eye Security, n'hésitez pas à visiter les sites web ci-dessous pour plus d'informations.
#1. Trois conseils pour protéger votre cabinet juridique contre la cybercriminalité (en collaboration avec IT Anywhere)
#2. La Dimension Juridique des Cyberattaques (en collaboration avec CMS)
#3. L'externalisation de la cybersécurité contribue à la sécurité des organisations juridiques
Innovant et évolutif, le groupe CMS s’appuie sur l'expertise de plus de 5.000 avocats à travers le monde. Au cœur du plus grand réseau d’avocats d’Europe, CMS Belgium compte plus de 100 avocats basés à Bruxelles et à Anvers. Nous couvrons l’ensemble des aspects juridiques de la vie d’une entreprise et aidons nos clients à maîtriser leur environnement et à préparer l'avenir, grâce à des conseils juridiques pointus, soutenus par des technologies innovantes. Experts reconnus en matière de cybercriminalité, nous assistons un nombre croissant d'entreprises victimes d'incidents cybernétiques.
Eye Security, fondée en 2020, est une entreprise de cybersécurité et d'insurtech qui rend la cybersécurité réalisable pour les entreprises européennes sur la base d'un abonnement. Avec une équipe croissante d'experts en sécurité et en assurance, Eye Security offre un produit de sécurité tout-en-un de haute qualité avec protection et cyberassurance. Eye Security opère en Europe directement et par le biais de ses partenaires stratégiques et possède des bureaux aux Pays-Bas, en Belgique et en Allemagne.
0 commentaires