Bienvenue sur le site des Experts du patrimoine

Site de référence d’information juridique pour tout ce qui concerne les problématiques patrimoniales Notaires, professionnels de l’immobilier, de la gestion de patrimoine, de la banque, des finances et de l’assurance vous disent tout !

Nouveau !

Devenez auteur !

Retrouvez aussi l’actualité des legs et donations / rubrique associations

+ management des offices
[INTERVIEW] Cybersécurité de l'entreprise notariale

[INTERVIEW] Cybersécurité de l’entreprise notariale

Les offices notariaux font, comme d’autres entreprises, face à la menace cyber. Attaques de ransomware, tentatives de phishing, fuites de données et attaques ciblées visant à accéder frauduleusement aux données détenues et créées par les offices, à en bloquer l’accès, et à compromettre l’intégrité des opérations notariales...
Le risque est réel : en 2022, plus d’une étude déclarait chaque semaine un sinistre lié à une cyberattaque [1]. Les éditeurs de solutions logicielles, voire les institutions, ne sont pas non plus à l’abri [2]. Il est vrai qu’en matière de cybersécurité, le risque zéro n’existe pas. Mais de bonnes pratiques permettent de limiter l’exposition aux risques. Nous nous sommes tournés vers Frans Imbert-Vier, expert en cybersécurité et CEO d’UBCOM, pour faire le point sur le sujet.

Article initialement publié dans le Journal du Village des Notaires n°100

Les offices notariaux sont-ils des "cibles privilégiées" de la cybermalveillance ?

Frans Imbert-Vier : Des cibles « privilégiées », non, mais « fortement exposées », oui. Et c’est évidemment lié aux données détenues par les offices, des données personnelles bien sûr, mais pas seulement. Je pense particulièrement aux informations contenues dans les dossiers de succession, dans l’inventaire des fortunes, les transactions avec la Caisse des Dépôts et Consignations, etc.
Mais il est vrai que les instances notariales sont très vigilantes et œuvrent pour donner aux professionnels des outils, des contre-mesures pour renforcer l’inviolabilité des données notariales. À part la fraude aux RIB qui a été assez répandue pendant un temps, le principal risque vient aujourd’hui selon moi des entreprises de services numérique (ESN) avec lesquelles travaillent les notaires.

Le rapport du CERT-FR [3] sur l’état de la menace informatique contre les cabinets d’avocats pourrait-il s’appliquer aux notaires ?

F. I.-V. : Je dirais plutôt non. Et, ce, pour plusieurs raisons. D’abord parce qu’il faut noter que les notaires, même s’ils font du conseil aux entreprises, sont moins exposés aux risques de l’intelligence économique que les avocats ou les mandataires judiciaires. De plus, je pense qu’il y a une vraie différence de culture et de rôle : les notaires sont moins confrontés à une logique d’échange d’informations pour en obtenir ; le notaire est davantage le "trésorier" de l’information qu’on lui donne.
Mais il a moins à gérer des informations susceptibles de générer du délit d’initié, de la compromission, du vol de propriété intellectuelle, etc. C’est pour cela que selon moi, les enjeux de déstabilisation et d’espionnage évoqués par l’ANSSI n’ont pas la même ampleur dans le notariat. En revanche, pour ce qui concerne les attaques plus courantes, telles que cles rançongiciels, les malware, les usurpations d’identité, entre autre), le risque est réel.

Quelles peuvent être les conséquences d’une cyberattaque pour un office notarial ?

F. I.-V. : On va retrouver les impacts "habituels" : sur le fonctionnement de l’organisation (capacité à « faire tourner la boutique » avec une messagerie, des serveurs, des accès aux logiciels et bases externes... hors service), sur le patrimoine informationnel (perte de données, fuite de données ou dataleaks, etc.).
Des impacts financiers sont aussi inévitables : perte de chiffre d’affaires, dépenses imprévues liées au rachat d’équipements, à la restauration des données, aux frais d’investigations et d’expertise (forensic), etc.
On risque surtout une atteinte à la réputation de l’office, avec une perte de crédibilité et de confiance vis-à-vis des clients, ce qui est démultiplié par un éventuel retentissement médiatique et sur les réseaux sociaux.
Un dernier effet majeur est bien sûr de nature juridique, face à une profession dépositaire du secret professionnel et ayant de nombreux devoirs déontologiques et une responsabilité à ce titre.

Une idée répandue est qu’une bonne protection cyber coûte cher et est contraignante (compliquée à mettre en place)...

F. I.-V. : C’était peut-être vrai il y a plusieurs années, mais ce n’est vraiment plus du tout le cas aujourd’hui ou, en tout cas, c’est bien moins cher qu’avant ! C’est une excellente question, tout à fait légitime. Nos clients nous la posent d’ailleurs souvent. Nous avons fait plusieurs calculs qui nous permettent d’affirmer qu’aujourd’hui, il est tout à fait possible de se sécuriser à partir de 50 euros par mois et de 25 euros par utilisateur.
D’un point de vue technique j’entends : pour ce prix- là, on a les téléphones, les ordinateurs, les systèmes de fichier et le réseau de l’entreprise qui sont protégés, et avec des produits très haut de gamme. Et l’idée n’est pas de tout protéger de la même façon, il faut identifier ce qui est le plus sensible et le protéger en conséquence, c’est le B.A.-BA . C’est ce qui permet que l’investissement en cyber soit d’abord capitalisé là où c’est primordial.

Sur le second point évoqué, le caractère contraignant, je dirais simplement que la cyber, si elle est bien faite dans la forme, elle est transparente, on ne la voit pas. Pour le dire autrement, avec une métaphore un peu triviale, c’est une espèce de chien qui se nourrit tout seul et qui n’aboie jamais ! Alors, oui, bien sûr, il y a des comportements à ajuster, lorsque l’on voyage, sur la manière de se connecter, sur la construction des mots de passe, etc. Mais ce sont finalement plus des précautions de bon sens, qu’autre chose.

D’où l’importance, encore aujourd’hui, de sensibiliser les équipes au risque cyber ?

F. I.-V. : C’est complètement indispensable : ça constitue 90% de la résilience cyber des entreprises. L’ADN cyber au sein d’une organisation est incontournable à tous les niveaux. Au niveau de tous les collaborateurs, c’est ce qui est le plus efficace aujourd’hui, en parallèle d’une installation technique faite par de (vrais) professionnels de la cybersécurité. La sensibilisation, c’est "un truc" sur lequel le capital et le ROI [4] est le plus fort. C’est particulièrement vrai pour les études dans lesquelles le turnover est relativement faible. Ce sont vraiment des investissements qui en valent la peine.

Que faut-il faire en cas d’incident cyber ?

F. I.-V. : Il faut absolument s’appuyer sur une expertise cyber, qui n’est, très souvent, pas détenue par le prestataire informatique habituel. Gérer un incident cyber, en limiter les effets, préserver les preuves pour une procédure ultérieure, faire de la remédiation, etc. C’est assez différent d’installer des serveurs ou des onduleurs. Cela mobilise un autre savoir-faire, une spécialité qui est très technique, très pointue et qui nécessite des années d’expérience pluridisciplinaire. On ne peut pas s’improviser sur ce sujet-là, même si, bien sûr, cela n’empêche pas d’être accompagné, en parallèle, par son ESN préférée, parce que l’on a confiance en elle. Mais il faut mettre en place une gestion de crise, mobiliser une cellule de crise pour faire face à l’attaque.

Un dernier conseil en cas de cyberattaque ?

F. I.-V. : Dans le prolongement de ce que nous venons de dire, pour survivre, il faut s’être préparé en amont, ne serait-ce qu’avec un plan de gestion de crise (PGC). Rien de forcément complexe, mais un document simplifié qui permettra de savoir, dans l’urgence, qui appeler, quoi faire, quoi dire. Ce sont les trois éléments indispensables. Un dernier point absolument essentiel, tiré de notre expérience : quelle que soit la maturité de l’entreprise concernée, on ne peut véritablement redémarrer l’activité d’une entreprise que si l’on a un bon back-up, c’est-à-dire des sauvegardes qui "tiennent vraiment la route" : des sauvegardes qui sont régulièrement testées, évaluées. C’est vraiment la clé.


Notes :

[1Chiffre évoqué par D. Gréau, responsable Innovation chez ADNOV lors de la table-ronde dédiée à la cybersécurité de TechNot’ en octobre 2022.

[2Voir not. D. Bancal, 30 janv. 2023, Cyber attaque chez Septeo, www.zataz.com ; Proofpoint, nov. 2022, Emotet se fait passer pour la Chambre des Notaires de Paris, www.globalsecuritymag.fr.

[3Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, porté par la Sous-Direction Opérations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), www.cert.ssi.gouv.fr. Rapport CERTFR-2023-CTI-004, 27 juin 2023, accessible sur www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-004.

[4Retour sur investissement.

  • [INTERVIEW] Cybersécurité de l’entreprise notariale

    Directrice juridique & associée Ogma Intelligence
Commenter cet article

Vous pouvez lancer ou suivre une discussion liée à cet article en cliquant et rédigeant votre commentaire. Votre message n’apparaîtra qu’après avoir été relu et approuvé. Nous ne publions pas de commentaires diffamants, publicitaires ou agressant un autre intervenant.

A lire aussi dans la même rubrique :

Le numérique notarial vers une digitalisation éthique

Le numérique occupe une place centrale au sein des offices notariaux. 90 % des actes notariaux sont désormais dématérialisés. La stratégie digitale de la profession notariale est centrée sur l’adoption de solutions sécurisées et souveraines. Cette (...)

Lire la suite ...

Transition numérique des archives : où en sont les offices notariaux ?

Quels sont les rôles et prérogatives des notaires ? Les notaires sont des officiers publics ministériels établis pour recevoir tous les actes et contrats pour lesquels les parties veulent garantir le caractère d’authenticité. Ils en assurent la date, (...)

Lire la suite ...

Notaires, comment tenir vos bonnes résolutions en 2022 ?

Si pour vous, il s’agit de sécuriser davantage vos dossiers tout en faisant des économies et en augmentant votre performance, voici la solution pour vous permettre de les tenir : Solveo Notaire, la documentation juridique 100% digitale développée (...)

Lire la suite ...

Protection des données notariales : découvrez la solution Beemo2Cloud Notaires

Profession fortement informatisée et réglementée, les Notaires sont garants d’informations sensibles. La réglementation RGPD impose de mettre en œuvre tous les moyens nécessaires pour sécuriser ses données informatiques. De plus, la configuration des (...)

Lire la suite ...