Le RGPD, un instrument au service de la cybersécurité

Avez-vous déjà reçu un message téléphonique de votre banque vous invitant à réinitialiser votre mot de passe ou un courriel d’un confrère contenant un lien vers un dossier de pièces ou des conclusions, sans vous y attendre ? Avez-vous cliqué sur ce lien ou suivi les instructions de ce message téléphonique ?

Alors vous avez sans doute été victime d’un piratage informatique !

Hameçonnage[1] de type phishing ou smishing, fraude au CEO, logiciels malveillants ou rançongiciel, vol de mots de passe, faux sites Internet, faux réseaux Wi-Fi, autant de techniques utilisées par les cybercriminels pour s’attaquer aux entreprises, aux associations, et aux professionnels, sans distinction. Ces tentatives d’intrusion ont pour objectif principal de dérober des informations critiques, pouvant servir à extorquer des rançons ou être revendues sur le dark web.

Les avocats ne sont pas épargnés par ces attaques. Détenteurs du secret professionnel, ils manipulent des informations sensibles dont la confidentialité est cruciale pour leurs clients. Ces dernières années, les professionnels du droit ont fait l’objet d’une augmentation significative des cyberattaques, au point que certains pirates se sont spécialisés dans ce secteur.

Pourtant la sécurité du système d’information fait partie des principes fondamentaux du droit à la protection des données à caractère personnel. Le Règlement Général sur la Protection des Données (ci-après le RGPD) a rehaussé les exigences en matière de sécurité des données et a également renforcé les pouvoirs de sanction des autorités de contrôle et de protection des données en matière de cybersécurité.

Partant, avocats.be ambitionne de vous guider vers une meilleure sécurisation de votre système d’information, en examinant, à l’occasion de ce premier article, vos obligations de sécurité en amont d’une attaque. Il vous reviendra prochainement en vous orientant sur les actions légales à entreprendre après une cyberattaque, tout en partageant quelques conseils pratiques pour renforcer votre conformité au RGPD.

  1. LES OBLIGATIONS DE SÉCURITÉ PRÉVUES PAR LE RGPD

En son article 5 § 1, sous f), le RGPD pose le principe général que « Les données à caractère personnel doivent être : (…) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité). »

Cet article doit être complété par l’article 32, qui impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Cet article dispose que :

  • « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
  1. a) la pseudonymisation et le chiffrement des données à caractère personnel ;
  2. b) des moyens permettant de garantirla confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  3. c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
  4. d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »

La notion de sécurité de l’information dans le RGPD, à l’instar de la définition qui lui est donnée dans le contexte normatif (norme ISO/IEC)[2], couvre les aspects aussi divers que « l’obtention et la conservation de la confidentialité, de l’intégrité, de la disponibilité, de l’imputabilité, de l’authenticité, de la fiabilité et de la non répudiation de l'information et des équipements de traitement de l'information ».

L’article 32 engage les responsables des traitement, tels que les avocats, à adopter une approche proactive en matière de cybersécurité, en tenant compte des risques liés à la nature, à la portée, au contexte et aux finalités du traitement des données. Il impose également une responsabilité continue dans l’évaluation et l’adaptation des mesures de sécurité.

  1. IN CONCRETO QUE DEVEZ-VOUS FAIRE EN AMONT ? ASSURER LA SÉCURITÉ DES DONNÉES

En amont, pour garantir un niveau de sécurité adéquat, des mesures de gestion, techniques et opérationnelles doivent être instaurées au sein de votre cabinet.

Le RGPD, en son considérant 74, insiste sur l’importance pour le responsable du traitement de mettre en place des mesures adaptées et efficaces pour assurer la conformité des activités de traitement avec le règlement.

Le texte dispose que : « (74) (…) Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

Ainsi, en tenant compte des éléments ci-avant énoncés, il y a lieu notamment, pour renforcer la protection des données au sein de votre cabinet, de renforcer votre :

  • Connaissance et gestion des utilisateurs : Assurez-vous de bien connaître vos utilisateurs, en les formant et en les informant régulièrement sur les enjeux de protection des données et de la sécurité du système d’information. Lorsque cela est pertinent, faites-leur signer des engagements de confidentialité.

Notre astuce

La majorité des attaques informatiques proviennent de courriels ou messages malveillants. Nous vous recommandons donc de sensibiliser vos équipes à l’utilisation sécurisée de la messagerie électronique. 

À cet effet, nous vous proposons de demander à vos collaborateurs ou employés de faire le test en ligne suivant: https://www.cybersimple.be/fr/quiz/phishing

De manière générale, ce lien gratuit permet d’informer sur : 

  • l’identification des courriels suspects : Analyser les éléments d’un courriel reçu (expéditeur, objet, contenu, liens) et déterminer s’il s’agit d’un potentiel courriel frauduleux ou non.
  • la reconnaissance des pièces jointes à risque : Évaluer les pièces jointes dans les courriels et identifier celles qui présentent un risque (extensions inhabituelles, provenance douteuse, etc.).
  • l’analyse des liens : Apprendre à vérifier un lien sans cliquer dessus en passant la souris pour examiner l'URL, afin de repérer les adresses trompeuses ou suspectes.

Vous pouvez également intégrer ce test à votre procédure d’« onboarding », ou d’accueil des nouveaux membres votre équipes (stagiaires, collaborateurs, secrétaires,…). Nous vous invitons, à demander à chaque nouveau membre de réaliser le test avant de lui accorder un accès à sa boîte électronique pour la première fois. Cette étape de vérification permettra non seulement d’évaluer leur vigilance face aux phishings potentiels, mais aussi de renforcer la sécurité globale de votre cabinet en réduisant les risques liés aux courriels malveillants.

Limitez également l'accès aux données aux seules personnes dont les fonctions ou le service justifient ce besoin, et, selon la taille de votre cabinet, conservez un fichier de journalisation des accès également appelé le logfile.

  • Sécurisation des données en déplacement : Pensez à protéger vos données lors de vos déplacements en utilisant des connexions sécurisées et des dispositifs de stockage protégés.

Notre astuce

Évitez de vous connecter à des réseaux Wi-Fi gratuits non sécurisés. Ces accès publics, souvent non chiffrés, peuvent représenter un risque important pour la sécurité de vos données et de vos supports mobiles. Les cybercriminels peuvent intercepter les informations échangées sur ces réseaux, y compris les données sensibles telles que les identifiants, mots de passe ou informations confidentielles.

Si vous devez absolument utiliser un réseau Wi-Fi public, privilégiez une connexion via un réseau privé virtuel (VPN), qui chiffrera vos communications et réduira ainsi les risques d'intrusion.

  • Utilisation de logiciels certifiés : Téléchargez vos programmes exclusivement depuis les sites officiels des éditeurs afin de réduire les risques d'installation de logiciels malveillants.
  • Vigilance lors des paiements en ligne : Soyez particulièrement vigilant lors de vos paiements en ligne.
  • Protection des informations personnelles et professionnelles : Prenez soin de votre identité numérique en évitant de divulguer trop d'informations concernant votre activité sur les réseaux sociaux, afin de minimiser les risques d'exploitation de ces données par des tiers malveillants.

En outre, séparez strictement vos usages personnels et professionnels en matière d’outils de travail, tels que votre ordinateur et votre tablette.

N’oubliez pas d’assurer également la protection physique des locaux en limitant l’accès aux zones sensibles. A titre d’exemple, ne laissez pas les dossiers de vos clients dans une armoire sans clés de la salle d’attente.

De plus, ces mesures organisationnelles doivent assurer un niveau de protection adéquat compte tenu, d’une part, de l’état de la technique en la matière et des frais qu’entraîne l’application de ces mesures et, d’autre part, de la nature des données à protéger et des risques potentiels. Dès lors, nous vous invitons également à porter une attention particulière à :

  • La sécurisation des postes de travail et de l’informatique mobile : Assurez-vous que tous les ordinateurs et terminaux utilisés dans votre cabinet sont équipés de logiciels antivirus à jour, de pare-feux et de systèmes de détection d'intrusions.

Pour les appareils mobiles (ordinateurs portables, tablettes, smartphones), mettez en place des solutions de gestion des dispositifs mobiles (MDM), utilisez le cas échéant des VPN en cas de déplacement.

  • Votre système d’authentification: Privilégiez l’authentification multifacteur lorsque cela est possible, en particulier lorsque la connexion est accessible depuis l’extérieur du réseau de l’organisme.

Imposez également une politique de mots de passe forte.

Notre astuce 

Mettez en place une politique de mots de passe composés si possible à minima de 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire.

Deux méthodes simples, partant d’une phrase à mémoriser, peuvent vous aider à définir vos mots de passe :

  • La méthode phonétique : « J’ai de l’énergie à cent euros cet après-midi », qui donne : « G2l’nrja100%7am » ;
  • La méthode des premières lettres : « Allons enfants de la patrie, le jour de gloire est arrivé », qui donne : aE2lP,lJ2Géa!

Définissez un mot de passe unique pour chaque application. Les mots de passe protégeant des contenus sensibles (banque, messagerie professionnelle…) ne doivent jamais être réutilisés pour d’autres services.

Par ailleurs, nous vous proposons de :

  • Limiter le nombre de tentatives d’accès aux comptes utilisateurs sur les postes de travail et bloquer l’accès au compte temporairement en cas de dépassement de la limite.
  • Mettre en œuvre des moyens techniques pour faire respecter les règles relatives à l’authentification (ex. : blocage du compte en cas de non-renouvellement du mot de passe d’un administrateur).

Selon la taille de votre cabinet et la matière que vous pratiquez, imposez aux administrateurs, une entropie des mots de passe plus élevée et un renouvellement selon une périodicité pertinente et raisonnable.

De manière générale, stockez les mots de passe de façon sécurisée transformés (« hash ») avec une fonction spécifiquement conçue à cette fin et utilisant toujours un sel[3].

  • La protection de votre réseau informatique et la sécurisation de vos serveurs: Segmentez votre réseau en fonction des besoins opérationnels, ne laissez pas les invités (guests) accéder à votre wifi.

Installez des pare-feux robustes et assurez-vous que votre réseau Wi-Fi est sécurisé et réservé aux utilisateurs autorisés.

  • La sécurisation de votre site web : Protégez votre site web à l’aide de certificats SSL/TLS et veillez à ce que toutes les données échangées soient chiffrées.

En mettant en place ces mesures selon vos besoins, vous renforcerez la protection de vos systèmes d’information et assurerez une conformité avec les exigences du RGPD, tout en limitant les risques de cyberattaques.

Dans la mesure où la protection des données à caractère personnel constitue un droit fondamental, dont l’application repose sur la mise en place de mesures de sécurité appropriées, il est essentiel de surveiller et de monitorer régulièrement votre système d’information. Ce suivi doit être documenté, en incluant les modifications et améliorations apportées à vos dispositifs de sécurité.

Il convient également de rappeler qu'il est impératif de faire preuve de la même vigilance avec vos ordinateurs, smartphones et tablettes, car chacun de ces dispositifs représente une porte d’entrée potentielle pour des cyberattaques.

Afin d'assurer votre obligation d’information, de transparence et de documentation, nous vous recommandons d'adopter une politique de gestion des systèmes d'information adaptée à votre cabinet. Cette politique devra être proportionnée à la taille de votre cabinet et à la nature des traitements de données que vous réalisez. Elle permettra de formaliser les mesures techniques et organisationnelles mises en place pour garantir la sécurité de vos systèmes.

Enfin, nous vous donnons rendez-vous dans un prochain numéro pour discuter des mesures à adopter en cas de piratage informatique.

Saba Parsa

[1] L’hameçonnage par voie de courriel (phishing en Anglais), ou par voie de message (smishing) sont des méthodes d’attaque informatique qui consistent à imiter les couleurs d’une institution ou d’une société (banque, services des impôts,…) pour inciter le destinataire à fournir des informations personnelles.

[2] Norme ISO/IEC 13335-1:2004 – Information technology — Guidelines for the management of IT Security —Part 1: Concepts and models for information and communications technology security management ;

[3] Le salage est une méthode de sécurisation des données consistant à les hacher et à y un ajouter aléatoirement une autre donnée (le sel)) ou une clé qui n’est pas stockée dans la même base de données que les empreintes générées.

A propos de l'auteur

Saba
Parsa
DPO de l’OBFG et avocate au barreau du Brabant wallon

a également publié

Informations pratiques

Jurisprudence professionnelle : textes et arrêts de la CEDH

Vous trouverez sur le site internet de la Délégation des Barreaux de France les résumés en français des principaux arrêts de la Cour européenne des droits de l’homme qui concernent la profession d’avocat.

Rentrées des jeunes barreaux

Agenda des formations

Prenez connaissance des formations, journées d'études, séminaires et conférences organisées par les Ordres des avocats et/ou les Jeunes Barreaux en cliquant ici.

Si vous souhaitez organiser une formation et que vous souhaitez l'octroi de points pour celle-ci, veuillez consulter les modalités qui s'appliquent aux demandes d'agrément dans le document suivant et complétez le formulaire de demande.