![[INTERVIEW] Cybersécurité de l'entreprise notariale](local/cache-gd2/23/8dad00b86885e060bcad7bcf1be83c.jpg?1701759806 "[INTERVIEW] Cybersécurité de l'entreprise notariale")
Article initialement publié dans le Journal du Village des Notaires n°100
Les offices notariaux sont-ils des "cibles privilégiées" de la cybermalveillance ?
Frans Imbert-Vier : Des cibles « privilégiées », non, mais « fortement exposées », oui. Et c’est évidemment lié aux données détenues par les offices, des données personnelles bien sûr, mais pas seulement. Je pense particulièrement aux informations contenues dans les dossiers de succession, dans l’inventaire des fortunes, les transactions avec la Caisse des Dépôts et Consignations, etc.
Mais il est vrai que les instances notariales sont très vigilantes et œuvrent pour donner aux professionnels des outils, des contre-mesures pour renforcer l’inviolabilité des données notariales. À part la fraude aux RIB qui a été assez répandue pendant un temps, le principal risque vient aujourd’hui selon moi des entreprises de services numérique (ESN) avec lesquelles travaillent les notaires.
Le rapport du CERT-FR [3] sur l’état de la menace informatique contre les cabinets d’avocats pourrait-il s’appliquer aux notaires ?
F. I.-V. : Je dirais plutôt non. Et, ce, pour plusieurs raisons. D’abord parce qu’il faut noter que les notaires, même s’ils font du conseil aux entreprises, sont moins exposés aux risques de l’intelligence économique que les avocats ou les mandataires judiciaires. De plus, je pense qu’il y a une vraie différence de culture et de rôle : les notaires sont moins confrontés à une logique d’échange d’informations pour en obtenir ; le notaire est davantage le "trésorier" de l’information qu’on lui donne.
Mais il a moins à gérer des informations susceptibles de générer du délit d’initié, de la compromission, du vol de propriété intellectuelle, etc. C’est pour cela que selon moi, les enjeux de déstabilisation et d’espionnage évoqués par l’ANSSI n’ont pas la même ampleur dans le notariat. En revanche, pour ce qui concerne les attaques plus courantes, telles que cles rançongiciels, les malware, les usurpations d’identité, entre autre), le risque est réel.
Quelles peuvent être les conséquences d’une cyberattaque pour un office notarial ?
F. I.-V. : On va retrouver les impacts "habituels" : sur le fonctionnement de l’organisation (capacité à « faire tourner la boutique » avec une messagerie, des serveurs, des accès aux logiciels et bases externes... hors service), sur le patrimoine informationnel (perte de données, fuite de données ou dataleaks, etc.).
Des impacts financiers sont aussi inévitables : perte de chiffre d’affaires, dépenses imprévues liées au rachat d’équipements, à la restauration des données, aux frais d’investigations et d’expertise (forensic), etc.
On risque surtout une atteinte à la réputation de l’office, avec une perte de crédibilité et de confiance vis-à-vis des clients, ce qui est démultiplié par un éventuel retentissement médiatique et sur les réseaux sociaux.
Un dernier effet majeur est bien sûr de nature juridique, face à une profession dépositaire du secret professionnel et ayant de nombreux devoirs déontologiques et une responsabilité à ce titre.
Une idée répandue est qu’une bonne protection cyber coûte cher et est contraignante (compliquée à mettre en place)...
F. I.-V. : C’était peut-être vrai il y a plusieurs années, mais ce n’est vraiment plus du tout le cas aujourd’hui ou, en tout cas, c’est bien moins cher qu’avant ! C’est une excellente question, tout à fait légitime. Nos clients nous la posent d’ailleurs souvent. Nous avons fait plusieurs calculs qui nous permettent d’affirmer qu’aujourd’hui, il est tout à fait possible de se sécuriser à partir de 50 euros par mois et de 25 euros par utilisateur.
D’un point de vue technique j’entends : pour ce prix- là, on a les téléphones, les ordinateurs, les systèmes de fichier et le réseau de l’entreprise qui sont protégés, et avec des produits très haut de gamme. Et l’idée n’est pas de tout protéger de la même façon, il faut identifier ce qui est le plus sensible et le protéger en conséquence, c’est le B.A.-BA . C’est ce qui permet que l’investissement en cyber soit d’abord capitalisé là où c’est primordial.
Sur le second point évoqué, le caractère contraignant, je dirais simplement que la cyber, si elle est bien faite dans la forme, elle est transparente, on ne la voit pas. Pour le dire autrement, avec une métaphore un peu triviale, c’est une espèce de chien qui se nourrit tout seul et qui n’aboie jamais ! Alors, oui, bien sûr, il y a des comportements à ajuster, lorsque l’on voyage, sur la manière de se connecter, sur la construction des mots de passe, etc. Mais ce sont finalement plus des précautions de bon sens, qu’autre chose.
D’où l’importance, encore aujourd’hui, de sensibiliser les équipes au risque cyber ?
F. I.-V. : C’est complètement indispensable : ça constitue 90% de la résilience cyber des entreprises. L’ADN cyber au sein d’une organisation est incontournable à tous les niveaux. Au niveau de tous les collaborateurs, c’est ce qui est le plus efficace aujourd’hui, en parallèle d’une installation technique faite par de (vrais) professionnels de la cybersécurité. La sensibilisation, c’est "un truc" sur lequel le capital et le ROI [4] est le plus fort. C’est particulièrement vrai pour les études dans lesquelles le turnover est relativement faible. Ce sont vraiment des investissements qui en valent la peine.
Que faut-il faire en cas d’incident cyber ?
F. I.-V. : Il faut absolument s’appuyer sur une expertise cyber, qui n’est, très souvent, pas détenue par le prestataire informatique habituel. Gérer un incident cyber, en limiter les effets, préserver les preuves pour une procédure ultérieure, faire de la remédiation, etc. C’est assez différent d’installer des serveurs ou des onduleurs. Cela mobilise un autre savoir-faire, une spécialité qui est très technique, très pointue et qui nécessite des années d’expérience pluridisciplinaire. On ne peut pas s’improviser sur ce sujet-là, même si, bien sûr, cela n’empêche pas d’être accompagné, en parallèle, par son ESN préférée, parce que l’on a confiance en elle. Mais il faut mettre en place une gestion de crise, mobiliser une cellule de crise pour faire face à l’attaque.
Un dernier conseil en cas de cyberattaque ?
F. I.-V. : Dans le prolongement de ce que nous venons de dire, pour survivre, il faut s’être préparé en amont, ne serait-ce qu’avec un plan de gestion de crise (PGC). Rien de forcément complexe, mais un document simplifié qui permettra de savoir, dans l’urgence, qui appeler, quoi faire, quoi dire. Ce sont les trois éléments indispensables. Un dernier point absolument essentiel, tiré de notre expérience : quelle que soit la maturité de l’entreprise concernée, on ne peut véritablement redémarrer l’activité d’une entreprise que si l’on a un bon back-up, c’est-à-dire des sauvegardes qui "tiennent vraiment la route" : des sauvegardes qui sont régulièrement testées, évaluées. C’est vraiment la clé.
Notes :
[1] Chiffre évoqué par D. Gréau, responsable Innovation chez ADNOV lors de la table-ronde dédiée à la cybersécurité de TechNot’ en octobre 2022.
[2] Voir not. D. Bancal, 30 janv. 2023, Cyber attaque chez Septeo, www.zataz.com ; Proofpoint, nov. 2022, Emotet se fait passer pour la Chambre des Notaires de Paris, www.globalsecuritymag.fr.
[3] Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, porté par la Sous-Direction Opérations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), www.cert.ssi.gouv.fr. Rapport CERTFR-2023-CTI-004, 27 juin 2023, accessible sur www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-004.
[4] Retour sur investissement.
Propos recueillis par A. Dorange
Rédactrice en chef du Journal du Village des Notaires