Le journal canadien Lawyers Weekly fait état d'un risque avéré pour les cabinets d'avocats du pays à la feuille d'érable. Selon une société locale de conseil en sécurité et protection des données, une vingtaine d'études ont subi une attaque informatique ciblée depuis septembre dernier (dans les neuf derniers mois)...

Dans un quart des cas, l'attaque a visé les études les plus importantes du pays. Deux intrusions avaient pour objectif l'extraction d'informations stratégiques sur une future opération de fusion-acquisition, un troisième cas visait à obtenir des informations confidentielles de l'instruction en cours visant un haut fonctionnaire public. Les modes opératoires varient du simple envoi d'un e-mail forgé, semblant provenir de la direction, et contenant un cheval de Troie, à l'exploitation de failles de sécurité plus avancées dans les applications ou services exposés sur Internet.

Jordan Furlong, juriste consultant auprès du magazine, précise que ces récentes intrusions constituent un signal fort, indiquant que les études d'avocat se retrouvent, malgré elles, totalement démunies en termes de cybersécurité. La porte-parole de la Law Society of Upper Canada, organisation chargée de réguler la profession, précise (et confirme?): "nous régulons la profession elle-même, pas les études dans lesquels les avocats travaillent."

Selon l'expert en sécurité mandaté pour investiguer l'incident, les attaques provenaient essentiellement de la Chine et de pays de l'Europe de l'Est.

ndcddb:
Les études d'avocat constituent indéniablement une cible de choix pour des pirates informatiques intéressés par la revente d'informations. Ce sujet avait d'ailleurs déjà fait l'objet d'un billet en novembre 2009, lorsque le FBI a transmis une note d'alerte aux cabinets américains, leur avertissant d'une menace grandissante sur leurs données.

Dans le cas des incidents dont il est fait mention dans ce billet, la nature des affaires alors en cours au sein des études n'est pas mentionnée. Deux pistes restent privilégiées: le vol d'informations économiques, entre Etats; ou des pirates informatiques probablement établis à l'étranger dont le modèle d'affaires consiste à revendre l'information volée à des acheteurs potentiels proches de la victime.

A cet égard, il peut être intéressant d'observer les lois suisses régissant le métier d'avocat, en particulier le texte concernant le secret professionnel. L'article 13 de la loi fédérale sur la libre circulation des avocats stipule que ces derniers sont soumis au secret professionnel pour toutes les affaires qui leur sont confiées, et ils doivent veiller à ce que leurs auxiliaires respectent également ce secret.

La loi ne semble (malheureusement) fournir aucune indication quant à une éventuelle obligation de devoir mettre en oeuvre les moyens technologiques adéquats pour garantir la confidentialité des échanges avec les clients.

Le modèle de menace sur le système d'information d'une étude d'avocats est pourtant relativement simple. Les études d'avocat sont souvent composées d'un poste bureautique pour chaque collaborateur et plusieurs imprimantes, chacun relié à un serveur de fichiers et un serveur de messagerie, sans oublier bien entendu une connexion à Internet!

Le modèle de sécurité repose donc sur des questions rapidement identifiables:
  • Quelles mesures contrôlent-elles l'accès aux données soumises au secret professionnel par les auxiliaires?
  • Si plusieurs avocats se partagent les ressources informatiques d'une étude, quelles mesures contrôlent-elles l'accès aux données soumises au secret professionnel par différents avocats ?
  • Quelles mesures permettent-elles de savoir avec précision qui accède à des données soumises au secret professionnel au sein de l'étude, et à quel moment ?
  • Quelles mesures empêchent-elles l'accès aux données soumises au secret professionnel par des acteurs externes à l'étude? (protection du réseau de l'étude contre les attaques extérieures)
  • Où les données soumises au secret professionnel sont-elles disséminées? (serveur de fichiers interne, serveur de messagerie interne, serveur de messagerie auprès de l'hébergeur, postes de travail des collaborateurs, ordinateurs portables, téléphones portables, sauvegardes, etc.)
  • Les collaborateurs de l'étude (avocats et auxiliaires) sont-ils sensibilisés aux risques inhérents à l'usage des technologies informatiques et mobiles dans leur quotidien professionnel?

En résumé, la loi suisse semble exiger de l'avocat qu'il respecte le secret professionnel, sans pour autant préciser dans quelle mesure son environnement de travail doit lui aussi être sécurisé contre d'éventuelles brèches de confidentialité.

A moins que tout cela ne s'apparente à des données personnelles, auquel cas l'avocat est tenu d'en assurer la confidentialité par des moyens technologiques, il reste encore un peu de chemin à parcourir!


n'étant moi-même pas un spécialiste du métier d'avocat, tout complément d'information sur les dispositions régissant la profession est le bienvenu!


[EDIT: 28 juin 2011 / Complément juridique]

L'auteur du blog juridique Acerberos est passé par là et a accepté de m'éclairer sur les questions juridiques soulevées dans ce billet. Je lui transmets un grand merci pour toutes ces précisions!!!

En voici la teneur:

La loi ne prévoit rien expressément, et cette problématique n'est que peu discutée en pratique. Le contenu de cette obligation est toutefois, comme souvent, défini par la jurisprudence et la doctrine. Si un cas survenait, il serait peu probable que l'on puisse raisonnablement soutenir que l'avocat n'est pas tenu de prendre les dispositions qui s'imposent pour que les données stockées sur des supports informatiques ne soient pas "trop aisément" accessibles.

Le secret professionnel impose déjà à l'avocat de séparer les dossiers dits "LBA" [ndlr: Loi suisse sur le Blanchiment d'Argent] (où il ne déploie pas une activité traditionnelle d'avocat, mais agit plutôt en tant que gérant de fortune) des dossiers relevant de ladite activité traditionnelle.

D'autres éléments de réponse peuvent être identifiés dans la doctrine: "les mesures d'organisation sont considérées comme la première garantie du secret." Selon le Code de déontologie des avocats européens: "L'avocat fait respecter le secret professionnel par les membres de son personnel et par toute personne qui coopère avec lui dans son activité professionnelle. Pour y parvenir, les organes de direction doivent prendre les mesures qui s'imposent et veiller à leur respect, en matière notamment d'éducation et de sensibilisation de toutes les personnes qui sont exposées aux informations secrètes, les avocats, mais aussi les autres employés et les sous-contractants, notamment les prestataires de services informatiques."