Droit et cybersécurité : la parole aux experts
Le cabinet d’avocats Fidal, fondé en 1922 (rien que ça !), se spécialise depuis quelques années dans les sujets cyber. En les rencontrant, nous avons voulu savoir comment des experts en droit des affaires abordent la cybersécurité et ses enjeux, en particulier en matière de conformité réglementaire. Gaël Leroux et Cyril Chauvin nous répondent.
Pouvez-vous me décrire votre parcours professionnel et votre poste ?
G. L. – Je suis juriste chez Fidal Méditerranée, en charge du pôle Europe. Avant ça, j’ai travaillé à Bruxelles comme conseiller juridique dans la représentation du MEDEF auprès des institutions européennes. Dans ce cadre, j’ai suivi un certain nombre de sujets clés traités par les institutions européennes, notamment les sujets liés au numérique. J’ai aussi effectué un doctorat sur le droit européen et la réglementation du numérique. Aujourd’hui, j’anime un pôle qui a deux volets : une partie réglementaire, où j’effectue une veille des textes qui sont en cours de discussion au niveau européen, et une partie sur le financement public de projets (fonds européens), notamment dans le domaine digital.
C. C. – Je suis avocat depuis bientôt 20 ans, d’abord au barreau de Paris puis au barreau de Marseille depuis 2014. Je suis l’un des associés du cabinet Fidal en charge du droit des nouvelles technologies et des données personnelles au sein de la ligne de métiers Propriété Intellectuelle, Télécommunications, Médias & Technologies. J’assiste les clients français et internationaux du cabinet Fidal en matière de projets informatiques, de cybersécurité, de commerce électronique, de réseaux sociaux, de protection des innovations, de d’exploitation des systèmes de traitement automatisé de données (« STAD »), mais également en matière de projets « NFT », de « Digital Twins » et de « Deep Learning ».
Qu’est-ce qui vous a conduit à vous spécialiser dans le droit du numérique ?
G. L. – Il y a eu un moment charnière pour moi, c’est quand je suis arrivé à Bruxelles en 2012 : on était en pleine discussion sur le RGPD. Le texte était en cours de préparation depuis assez longtemps, mais on était à un moment clé pour son adoption. Je me rappelle encore des piles d’amendements qu’on a dû analyser ! L’enjeu autour de cette réglementation était très important, à la fois parce qu’elle était unique en son genre, mais aussi parce qu’elle concernait un nombre extrêmement important d’acteurs. Je me suis rendu compte que le droit du numérique était devenu un sujet prééminent, quel que soit le domaine d’activité, mais aussi un sujet sur lequel il faut avoir une vraie expertise – ce qui m’a conduit à réaliser un doctorat en la matière.
C. C. – J’ai toujours eu une appétence pour la technologie et les sciences. C’est notamment pour cela que j’ai choisi d’intervenir, entre autres, sur la protection des brevets et des secrets d’affaires. En 1999/2000, j’ai eu l’occasion de passer mon LL.M en Droit des Affaires en Angleterre. J’ai pu constater la différence en termes d’infrastructures IT entre une université française et une université anglaise : il y avait des immeubles modernes de 12 étages ouverts 7/7 & 24/24 aux étudiants du campus, remplis d’ordinateurs connectés et accessibles gratuitement. A cette époque, nous étions préoccupés par le « bug de l’an 2000 ». Cela m’a motivé pour axer ma formation, puis mon expérience professionnelle, sur les sujets IT et digitaux. J’ai pu ainsi relier le secteur technique et scientifique avec le secteur juridique !
En quoi consiste votre métier au quotidien ?
C. C. – L’avantage dans ce métier, c’est qu’il n’y a pas de journée-type ou de semaine-type. Nous pouvons intervenir sur des interviews ou lors de tables rondes, rédiger des articles techniques, intervenir à des audiences judiciaires en cours… Nous avons aussi des réunions en interne sur la stratégie du cabinet, sur des opérations de développement de notre activité, et bien sûr l’assistance de nos clients.
G. L. – C’est vrai qu’il n’y a pas deux jours qui se ressemblent ! ll y a quand même quelques tâches que je fais au quotidien : je commence toujours ma journée par une revue de presse spécialisée, d’articles, de newsletters… Même quand on est pris dans un flux de travail, il faut toujours être en alerte – encore plus dans le secteur dans lequel nous intervenons. Il faut en permanence s’informer sur le contexte économique et technologique dans lequel évoluent nos clients. Il y a souvent une conception du métier d’avocat qui se limite à ce qu’on fait en termes de contentieux, de procédures… Mais on a aujourd’hui une vocation qui est assez large : conseiller les dirigeants, les entreprises, les responsables de certains services. Pour cela, il faut connaître leur activité sous toutes ses facettes. C’est vraiment la partie qui m’intéresse le plus : être un vrai conseiller en stratégie pour un client. Même si on ne sort jamais de notre domaine d’expertise, on a quand même la possibilité d’avoir un regard stratégique et ça, c’est passionnant.
Chez Fidal, vous menez régulièrement des audits en matière de conformité cyber. Est-ce que vous pouvez nous en dire un peu plus là-dessus ?
G. L. – Fidal est un cabinet de droit des affaires : on intervient donc sur des transactions, fusions-acquisitions, etc. Dans ces cas-là, la notion d’audits est systématique : on va analyser le fonctionnement global d’une entreprise sous ses aspects juridiques. Et dans ces audits, la dimension cyber occupe une place de plus en plus importante. C’est finalement une brique supplémentaire qu’on va ajouter à nos audits généraux. Mais on constate aussi que de manière de plus en plus fréquente, il y a des besoins d’audits structurels, en dehors des configurations de transactions ou d’opérations. Face aux nouvelles réglementations – notamment la directive NIS 2 –, de plus en plus d’acteurs doivent auditer leurs pratiques et leurs opérations sur le plan de la sécurité informatique. Fidal propose donc également ce type de prestations.
C. C. – J’ajouterais que Fidal est un cabinet national, avec plusieurs bureaux en France et une grande diversité de profils de clients. Nous pouvons travailler pour des startups, des PME, des ETI, des grands groupes, des fondations, des associations… ça peut être dans des filières très différentes, car comme vous le savez, le digital est partout aujourd’hui. En fait, la question de l’audit va aussi dépendre du profil de notre client : nous n’aurons pas la même approche avec un groupe industriel structuré, une PME ou une startup. Il faut savoir s’adapter aux ressources et besoins du clients et évaluer le ratio risques/avantages ! Si nous expliquons à une TPE qu’il faut mettre en place des mesures de sécurité ultraperfectionnées alors qu’elle n’a pas les ressources financières et humaines nécessaires pour les gérer, ça n’est pas pragmatique.
Y’a-t-il quand même un cadre que vous appliquez quel que soit le contexte ?
C. C. – Oui, nous sommes obligés d’avoir un process global défini, une méthodologie. Nous nous appuyons notamment sur un questionnaire établit par notre Direction Technique Nationale, qui a quand même une volumétrie et un niveau de détail différents selon le type de structure et sa taille. Ensuite, nous analysons les réponses de nos clients pour déterminer quel est leur niveau de maturité cyber et de risques potentiels au regard de la réglementation concernée. Ces réponses sont approfondies au cours d’entretiens individuels avec la direction, et parfois de visites dans les locaux du client, car on sait que la cybersécurité est aussi liée à la sécurité physique du site de l’entreprise. On peut ensuite rédiger un rapport d’audit, plus ou moins exhaustif selon la demande du client. Il peut soit être très complet, soit consister simplement en un « audit red flag » : on pointe les écarts identifiés entre les exigences réglementaires et la posture de sécurité actuelle sans trop rentrer dans le détail. Dans tous les cas, on adapte le rapport en fonction des priorités : certains points doivent être résolus et financés rapidement, tandis que d’autres peuvent être traités a posteriori. La dernière phase est celle de la maintenance : le client peut demander un suivi régulier sous forme d’interventions ponctuelles, pour que les équipes internes (RSSI, DPO, DAF…) puissent avoir un interlocuteur dédié à ces sujets.
On prend notamment en compte le TRL (Technology Readiness Level) du client, c’est-à-dire son degré de maturité vis-à-vis d’une technologie ou d’une innovation. On étudie aussi à quel point le digital impacte son organisation et sa stratégie : certains utilisent uniquement le numérique pour Internet et la bureautique, tandis que d’autres ont des équipes entières de data scientists qui exploitent et gèrent des données. Il faut donc bien comprendre les flux de données : qu’est-ce qui est stocké ? Comment ? Pourquoi ? Comment le stockage est-il valorisé ? Est-ce du stockage chaud ou du stockage froid ? Est-ce que du business est fait sur la data collectée ?
G. L. – L’idée est d’avoir la vision la plus complète possible de l’organisation, de ses activités, de ses pratiques. On sait bien que les attaques viennent de là où on ne les attend pas, d’autant plus que la surface d’attaque s’étend énormément avec l’interconnexion croissante des acteurs d’une activité. Dans tous les cas, notre expertise juridique est accompagnée d’une expertise technique : l’objectif est de ne laisser aucun angle mort dans notre analyse !
Comment mobilisez-vous cette expertise technique ?
C. C. – Tout dépend du contexte client. S’il n’y a pas d’interlocuteur technique dans l’entreprise, on va ajuster notre discours et essayer de vulgariser. Au contraire, si on est face à un RSSI ou un DSI, il faut comprendre le langage très technique de l’interlocuteur. En parallèle, dans le cas où le digital est un axe essentiel de la stratégie et du chiffre d’affaires du client, on essaye d’aider les équipes techniques à prendre du recul pour bien identifier les risques. On peut alors leur proposer un de nos partenaires techniques, par exemple pour faire des simulations d’attaque (« Red Team Assessment »). On s’appuie aussi sur notre DSI chez Fidal qui nous accompagne sur le reporting, dispense des formations, et travaille parfois avec nous sur certains contrats stratégiques ou audits très importants.
Selon vous, quelle place la gestion des fournisseurs occupe-t-elle dans la prévention et la gestion des risques cyber ?
G. L. – On sait que c’est souvent via des tiers que le risque cyber se matérialise. Or, l’augmentation des interconnexions avec les tiers élargit considérablement la surface d’attaque possible pour une entreprise. On a donc toujours en tête la question des relations fournisseurs, avec deux axes principaux. D’une part, veiller à ce que cette relation soit la plus sécurisée possible, en s’assurant que le tiers met en place les mesures nécessaires pour garantir un certain niveau de sécurité des données de nos clients ; d’autre part, être en mesure d’engager la responsabilité du fournisseur en cas d’incident de sécurité survenu par son biais. Par ailleurs, il y a des pratiques en termes de gestion des tiers dont la mise en œuvre doit pouvoir être démontrée pour justifier une conformité. Encore une fois, la dimension juridique est nodale, puisque c’est via des contrats que se nouent et se sécurisent ces relations avec les tiers.
Quels défis rencontrez-vous lors de ces audits ?
G. L. – Le défi de tout audit, c’est d’abord le recueil et l’analyse de l’information. Si notre client a des documents internes d’ordre juridique qui prévoient des mesures organisationnelles, il faut ensuite aller creuser pour vérifier que ce qui existe sur papier existe aussi dans la pratique. On doit donc se rendre sur les lieux, échanger de manière vraiment approfondie avec les acteurs de l’entreprise. Autre défi : la sensibilisation, qui intervient quand on identifie un décalage entre la théorie et la pratique et qu’il faut expliquer aux collaborateurs le pourquoi du comment.
C. C. – Le principal défi, c’est parfois de faire comprendre à l’entreprise que les différentes directions (DRH, DSI, direction juridique…) et les collaborateurs « techniques » doivent travailler conjointement vers le même objectif. Il faut trouver un dénominateur commun pour qu’ils avancent ensemble avec une vraie cohésion. L’autre défi, c’est d’être au fait des questions techniques et de leurs évolutions : si vous proposez une solution par rapport à une situation technique à T0, à T+2 mois cette technologie peut déjà être obsolète… Dans ce cadre, c’est intéressant de parler avec les DSI et les prestataires, parce qu’ils suivent et anticipent aussi la technique, les nouveaux outils et systèmes.
Est-ce que vous vous vous servez de certaines nouvelles technologies, comme l’IA et la blockchain, dans votre travail au quotidien ?
C. C. – La blockchain et l’IA nous aident effectivement dans le data mining ou la constitution de data rooms : ils nous permettent d’accéder rapidement à une information spécifique au milieu d’une masse de documents importante. On reste très vigilants. En tant qu’avocats nous sommes soumis au secret professionnel et nous ne pouvons donc pas utiliser n’importe quels outils, et surtout nous sommes très prudents sur la manière de rédiger nos prompts pour ne pas dévoiler des données sensibles de nos clients !
Comment pensez-vous que votre métier et votre travail vont évoluer dans les prochaines années ?
G. L. – Les évolutions réglementaires, poussées principalement par l’Union européenne, vont certainement impacter notre travail : on va avoir des nouveaux cadres normatifs qui vont apparaître, d’autres qui existent mais qui vont changer… Il va donc y avoir des gros enjeux sur le plan juridique, et notre objectif sera d’aller le plus tôt possible à la recherche de l’information pour que les acteurs puissent adapter leur business model. De manière générale, la prise en compte des aspects réglementaires dans le modèle économique d’une entreprise est de plus en plus centrale. Anticiper leurs évolutions est donc plus que jamais stratégique.
C. C. – Les audits en matière de conformité cyber ont déjà bien évolué depuis une vingtaine d’années : ils sont beaucoup plus structurés, les outils qui nous aident à les réaliser sont plus développés et précis… Je pense que dans les 10 ans qui viennent, il y aura une certaine automatisation des audits sur la partie juridique. Fidal aura donc une valeur ajoutée qui sera plus de l’ordre du stratégique ou du préventif.
Un grand merci à Cyril et Gaël pour leurs réponses !