 |
Dans un monde où la cybersécurité est devenue un enjeu stratégique, les entreprises ne peuvent plus se permettre d’ignorer les risques numériques. Attaques opportunistes, ingénierie sociale, gouvernance des données… Autant de défis qui nécessitent une anticipation rigoureuse et une compréhension fine des menaces. Jean-Nicolas Robin, avocat spécialisé en droit des affaires au sein du cabinet AVOXA, accompagne dirigeants et entreprises dans cette transformation. Plus qu’un enjeu technique, la cybersécurité est un véritable sujet de gouvernance qui engage la souveraineté et la résilience des organisations.
Jean-Nicolas Robin conseille entreprises et décideurs sur les risques juridiques liés au numérique et les accompagne dans la prévention et la gestion des crises cyber. Face à des cybercriminels de plus en plus organisés et à des stratégies de prédation toujours plus sophistiquées, il plaide pour une prise de conscience collective et une adaptation des structures aux nouvelles menaces. Loin des discours alarmistes, il prône une approche pragmatique, basée sur la connaissance, l’anticipation et la souveraineté numérique. |
Dans un monde où le numérique redéfinit les règles du jeu, Jean-Nicolas Robin, avocat spécialisé, éclaire les enjeux de la cybersécurité. Entre attaques opportunistes et stratégies d’ingénierie sociale, il accompagne entreprises et dirigeants dans la prévention et la gestion des crises, tout en posant une réflexion essentielle sur la souveraineté numérique et la gouvernance des données.
OHERIC-Média : Comment les questions de cybersécurité sont-elles devenues importantes dans votre activité d’avocat ?
Jean-Nicolas Robin : J’ai un parcours très classique en droit. Pendant mon Master, j’ai effectué des recherches sur le blanchiment à l’ère du numérique et, très rapidement, j’ai vu que le blanchiment classique ne représentait qu’une petite partie par rapport au blanchiment numérique. Finalement, mon approche a été au début très cybercriminelle, puis, en cherchant dans mes études de droit et dans ma thèse ce qu’était la cybersécurité, en prenant de la hauteur, je me suis dit qu’il s’agissait d’un phénomène de gouvernance. On dit que le numérique est un nouvel espace de conflictualité, c’est une réalité.
Dans mon activité, il ne s’agit pas seulement d’un outil en plus : je ne parle pas à mes clients de cybersécurité classique ou de gestion des mots de passe, ni du référentiel des politiques de cybersécurité. Je leur parle de gouvernance, c’est-à-dire pourquoi vous faites du numérique et comment cela vous impacte. Quand vous hébergez vos données chez AWS1, il faut que vous ayez conscience que vous hébergez vos données chez un acteur économique américain, quand bien même il vous certifie que ce sera hébergé en France ou en Europe. C’est donc plus une approche de gouvernance, pour les aider à se poser les bonnes questions et à opérer des choix en toute conscience.
OHERIC-Média : Habituellement, les professionnels apellent les services juridiquess eux-mêmes quand une difficulté se présente. À quel moment intervenez-vous ? Comment êtes-vous sollicité et par qui ?
Jean-Nicolas Robin : Je suis sollicité par des clients qui viennent voir un cabinet d’avocats pour créer leur société, faire des contrats ou mettre à jour leurs statuts. À cette occasion, on discute de leur structuration, et donc vient dans la conversation l’impact du numérique. De plus en plus, des sociétés me contactent après avoir pris conscience du sujet, soit parce qu’elles sont en phase avec l’actualité, soit parce qu’elles ont assisté à des séminaires ou des colloques. Très souvent, cela arrive après qu’un stagiaire RGPD a fait un rapport qui les a inquiétés. Ils se demandent alors si le stagiaire avait raison. On est vraiment sur le sujet principal du numérique. Depuis trois ans une dernière catégorie de clients arrive, ce sont qui ont été victimes d’une attaque cyber.
OHERIC-Média : Comment accompagnez-vous les entreprises victimes de cyberattaques, et quels sont les principaux défis liés à la gestion de telles crises ?
Dans cette situation, on n’est jamais seul, on ne peut pas tout résoudre seul. J’interviens pour prendre connaissance des éléments, pour accompagner le dirigeant, parfois pour traduire en termes beaucoup moins techniques ce qui se passe, et pour lui proposer mon accompagnement. Cela peut être de la communication, un dépôt de plainte, ou encore la gestion de crise avec l’équipe, qu’elle soit quotidienne ou d’astreinte.
Par exemple, une société de services a été touchée par un ransomware, son fonds de commerce, c’est son fichier client. Dans ces cas-là, il faut immédiatement faire une déclaration auprès du greffe du tribunal de commerce. C’est très technique sur des points bien précis, mais aussi très global, car il faut expliquer comment passer la crise. Une entreprise ne peut pas se contenter de dire que ça va passer ; elle doit expliquer. Cette phase est importante et encadrée par la loi et des obligations.
Il faut aussi essayer d’identifier ce qu’il y a dans la tête du cybercriminel, savoir s’il a ciblé la société en question ou une société cliente de cette même société. Il faut savoir qui se trouve au bout du tuyau. C’est une des choses que nous abordons rapidement.
Souvent, quand on demande à nos clients de nous dire ce qu’ils savent d’un cybercriminel, ils imaginent le jeune hacker tout seul. Ils ne font pas la différence entre ce hacker, qui est un testeur, et le cybercriminel, qui est une personne commettant des infractions avec des moyens techniques et humains adaptés. Ils imaginent des étudiants isolés, avec des moyens limités – c’est l’image véhiculée par la télévision et les séries. Nous, nous leur expliquons que le cybercriminel, c’est une société criminelle, à l’image des mafias siciliennes : bien organisée, parfois avec des locaux, des serveurs, des équipes. Ces sociétés ne sont certainement pas françaises. Souvent, cette criminalité est laissée de côté par les États qui les hébergent. Certains cybercriminels sont très bien organisés, avec du personnel parlant plusieurs langues, faisant de moins en moins de fautes d’orthographe, utilisant l’IA, et devenant de plus en plus efficaces dans la négociation. Nous avons souvent affaire à de gros cybercriminels opportunistes qui attaquent une société après avoir découvert une vulnérabilité.
OHERIC-Média : Comment ces cybercriminels découvrent-ils l’existence d’une vulnérabilité ?
Jean-Nicolas Robin : Cela peut être le cas de Log4shell, une grosse vulnérabilité qui a créé la panique en 2021. Une mise à jour n’a pas été faite dans un serveur, et le cybercriminel envoie des requêtes à un certain nombre de serveurs sur plusieurs adresses IP. Il observe s’il y a une réponse ou non.
L’exemple qu’on donne souvent, c’est celui d’une serrure. Quand elle fonctionne bien, elle est fermée à clé. Une vulnérabilité serait une serrure qui ne fonctionne pas. Pour 90 à 99 % des gens, ils passent devant la maison sans ouvrir la porte. Ils voient une serrure et pensent que c’est fermé. Le cybercriminel, lui, est celui qui tente d’ouvrir la porte, car il sait que certaines serrures seront mal verrouillées. Ces exemples faciles à comprendre sont indispensables pour aider chacun à mieux appréhender les risques. C’est fondamental. Parce que le numérique est immatériel, si on n’arrive pas à faire comprendre au client qu’il s’agit d’abord d’une vulnérabilité – qu’il n’a peut-être pas fait les mises à jour – une question se posera sur sa responsabilité. Il faut lui expliquer que, de toute façon, nous aurons toujours des vulnérabilités.
OHERIC-Média : Vous parlez aussi d’ingénierie sociale, comme j’ai pu le constater dans une affiche annonçant une matinale dans votre cabinet. En quoi est-ce important d’aborder ce point ?
Jean-Nicolas Robin : On est sur un second spectre de cybercriminalité. Pourquoi le cabinet organise-t-il ce genre de matinale ? Parce que nous avons des clients grands comptes, bien équipés techniquement, avec des serveurs sécurisés. Pour attaquer ces sociétés, on peut y aller frontalement – par ransomware ou par déni de service (DDoS).
Mais de plus en plus, les attaques passent par l’ingénierie sociale : des cybercriminels passent des jours à chercher des informations sur la société, son organigramme, ses intervenants, ses capitaux, son fonctionnement, ses noms de domaine. Ils effectuent une recherche OSINT (open source intelligence) pour récupérer un maximum d’informations.
Ils créent alors une fausse société ressemblant en tout point à celle ciblée, se font passer pour un collaborateur ou un prestataire, et récupèrent des données. Le Graal pour ces cybercriminels, c’est de rentrer dans l’Active Directory (zone de contrôle des serveurs), pour mener des actions malveillantes et réaliser une cyberattaque classique.
Ce qui est vicieux, c’est qu’une société peut avoir un serveur sécurisé, un SI conforme, mais être attaquée non pas à cause d’une faille technique, mais à cause d’informations collectées et recoupées par ces méthodes.
OHERIC-Média : Quelle part prend cette typologie d’attaque dans la cybercriminalité ?
Jean-Nicolas Robin : Ce n’est pas énorme. Cela concerne souvent des sociétés de haute technologie, comme celles dans les biotechnologies, ou des entreprises visibles avec un potentiel de récupération important pour la revente de données. À titre d’exemple, pendant la première année de la pandémie de COVID, les sociétés développant les vaccins étaient particulièrement surveillées par des attaques basées sur l’ingénierie sociale, car l’objectif était de récupérer des informations.
C’est avant tout un objectif financier. La plupart du temps, ces attaques visent à déstabiliser, mais leur finalité est souvent la revente de données. Un cybercriminel vit de l’argent qu’il extorque. Pourquoi est-il cybercriminel ? Parce que cela lui rapporte. Il pourrait être ingénieur classique dans une société et gagner très bien sa vie. Alors pourquoi ne le fait-il pas ? Une partie se revendique d’idéologies politiques extrêmes ou de pensées philosophiques radicales, mais une autre partie a bien compris que rançonner des sociétés est très lucratif.
OHERIC-Média : Certains dirigeants d’entreprises qui travaillent dans la cybersécurité nous ont confié leurs difficultés à recruter et fidéliser leurs ingénieurs, qui se voient offrir des ponts d’or par des organisations cybercriminelles.
Jean-Nicolas Robin : Je ne suis pas surpris. Nous sommes véritablement sur un marché de prestations de services. Aujourd’hui, mener une attaque cyber, c’est devenu un métier. Un hacker peut gagner le double en menant des attaques avec rançon, voire en jouant sur la législation floue pour se présenter comme lanceur d’alerte et soutirer de l’argent à certaines entreprises. À ce petit jeu, certains cybercriminels gagnent très bien leur vie. Il m’est arrivé d’intervenir sur des dossiers où des hackers devenaient cybercriminels.
OHERIC-Média : Constatez-vous une évolution entre les périodes où les entreprises appelaient principalement après une attaque et aujourd’hui, où elles vous sollicitent davantage en amont ?
Jean-Nicolas Robin : Oui, clairement. Surtout grâce au RGPD, qui impose depuis 2018 une obligation générale de sécurité sur les données personnelles collectées par l’entreprise. Cette obligation est préventive, avant tout incident. L’ANSSI 2, notamment, met beaucoup en avant la prévention de la cybercriminalité. Elle a reconnu être en retard par rapport aux cybercriminels, ce qui est logique, car ces derniers passent leur vie à analyser des vulnérabilités ou à pratiquer l’ingénierie sociale. Ils sont forcément en avance.
Si nous ne sommes pas préparés en amont, à chaque fois nous tomberons dans leurs pièges. C’est pourquoi la réglementation OIV 3 est intéressante. Elle oblige les entreprises à s’outiller pour qu’un événement cyber ne soit pas exceptionnel. De même la directive NIS II4 élargit les obligations en matière de cybersécurité à de nombreuses entreprises (transposition en cours auprès des États membres) et le réglement CRA qui porte sur les produits numériques avec des obligations de sécurité renforcées.
Je le dis souvent à mes clients : peut-être que dans 20 ans, un incident de cybersécurité sera traité comme un accident de voiture aujourd’hui. Vous avez un accrochage, vous remplissez un constat. Tant qu’il n’y a pas de dommages physiques, ça se passe bien si les gens s’entendent bien. Peut-être qu’un jour, on fera des constats cyber : « On s’est fait attaquer, constat cyber, et la vie continue parce qu’on aura tout prévu. » C’est une question de gestion du risque.
OHERIC-Média : Quelle typologie de clients se tourne plutôt vers des actions de prévention ?
Jean-Nicolas Robin : Ce sont principalement des sociétés technologiques avancées, avec des brevets ou des secrets d’affaires. Cela inclut des PME bien structurées, souvent à partir de 100 salariés, avec un chiffre d’affaires conséquent, de plusieurs millions d’euros, et une exposition à l’international. Ces entreprises viennent souvent parce que leurs partenaires ou prestataires leur demandent de se sécuriser. Par exemple, pour signer un contrat, elles doivent justifier que leurs serveurs sont sécurisés, qu’elles disposent d’une PSSI (Politique de sécurité des systèmes d’information), ou encore qu’elles appliquent des règles précises. Cela engage la responsabilité de tous.
La deuxième typologie inclut des entreprises qui ont subi une attaque, qui ont surmonté la crise, mais en gardent des séquelles. Par exemple, une société que nous accompagnons a subi une cyberattaque en novembre. Sur 50 salariés, quatre ont fait un burn-out. Le contexte COVID avait déjà fragilisé les équipes, et en plus, pendant quatre jours, le système informatique était complètement à l’arrêt. Cela a été très éprouvant. Pour éviter que cela ne se reproduise, ces entreprises viennent nous voir pour identifier ce qui a mal fonctionné et mettre en place des améliorations.
OHERIC-Média : La gouvernance, un sujet essentiel mais souvent sous-estimé. On entend pourtant parler d’accords comme celui de l’AFP avec Google pour lutter contre les fake news, ou encore de la SNCF et Qonto qui travaillent avec AWS ou Microsoft pour les données de santé. Cela pose des questions.
Jean-Nicolas Robin : Oui, c’est toujours la question de la neutralité du web, de l’information, de la communication, et du stockage. Cela coûte cher d’héberger des données. Nous avons des acteurs français identifiés, mais dès qu’il s’agit de faire du multi-cloud ou d’atteindre une certaine échelle, nous sommes en faiblesse face aux acteurs américains ou asiatiques, qui ont une force de frappe que nous n’avons pas.
AWS, par exemple, avec leur communication polissée, parlent parfaitement français, mettent en avant leurs serveurs en France, et garantissent des prix attractifs. Pourtant, il y a toujours un lien entre les serveurs français et les serveurs américains. Nous regardons trop facilement du côté des solutions américaines, faute d’un regard européen.
Je ne suis pas anti-américain, mais je pense que la gouvernance doit être européenne. Le RGPD a été un premier pas, tout comme les initiatives portées par le président Macron. Mais beaucoup de sociétés du CAC 40 continuent de se tourner vers AWS, Azure, ou Google, faute de choix clair ou de garanties suffisantes des acteurs européens.
OHERIC-Média : Lorsqu’on regarde les prix, on constate que sur les premiers niveaux, quand on n’a pas besoin de beaucoup de ressources, les acteurs français et européens sont relativement chers. En revanche, dès que les besoins augmentent, à qualité équivalente, les acteurs internationaux deviennent plus coûteux. Il semblerait que l’argument principal qui pousse les entreprises du CAC 40 à aller vers des acteurs internationaux, c’est qu’elles estiment cela plus sûr en cas de problème. On entend souvent : « On ne me reprochera pas d’avoir pris un acteur américain si ça plante, alors qu’un petit acteur européen, au moindre faux-pas, on me le reprochera. » Cela signifie-t-il qu’il y a un travail de rassurance à faire ?
Jean-Nicolas Robin : Absolument. Prenons l’exemple du projet Health Data Hub, qui devait être un formidable serveur français de gouvernance nationale, regroupant toutes les données de santé. Il a échoué, car personne n’a accordé sa confiance au système. Si Doctolib héberge ses données chez AWS, c’est parce qu’ils ont l’assurance, quoi qu’il se passe, qu’ils auront accès à leurs données. AWS leur garantit cet accès. Les GAFAM affichent une image parfaite et séduisante, ce qui est difficile à contrer. Facebook, par exemple, paraît gratuit et pratique, mais cela a un coût : en échange, on est espionné et ciblé par des publicités.
Ces acteurs sont plus chers parce qu’une fois qu’ils ont fidélisé le client, ils peuvent imposer leurs prix. C’est là que réside le problème éthique.
OHERIC-Média : Pensez-vous qu’à l’avenir, les pratiques évolueront ?
Jean-Nicolas Robin : Peut-être qu’à long terme, Google ou d’autres réussiront à développer des technologies comme l’homme augmenté, et les gens prendront conscience que l’hébergement massif de données a facilité le profilage et amélioré certains aspects, comme la santé. Pour l’instant, nous ne sommes encore qu’une petite bande d’initiés qui en ont conscience. Nous essayons d’éclairer nos clients par des conférences, des matinales, etc., mais les GAFAM ont toujours un temps d’avance.
OHERIC-Média : Qui s’intéresse d’abord aux questions de souveraineté numérique ?
Jean-Nicolas Robin : Nous avons remarqué que ce sont les entreprises historiquement concernées par la protection des données, comme celles de l’agroalimentaire. C’est un secteur très proche de l’humain, où la relation humaine est forte, donc elles y font attention.
À l’inverse, les secteurs comme le marketing, le développement web ou l’e-commerce, où l’objectif est d’être le plus rapide sur le marché, prêtent moins d’attention à la protection des données. Ils ne s’y intéressent que si cela rapporte. Bien sûr, c’est une généralisation, mais ces différences sont assez marquées.
Les entreprises qui viennent nous voir sont celles qui se posent des questions parce qu’elles ont vu un reportage, lu un article ou, simplement, ressenti le besoin de comprendre ce qui se passe avec leurs données.
OHERIC-Média : Et donc, les matinales servent à cela ?
Jean-Nicolas Robin : Oui, exactement. Par exemple, nous avons organisé des matinales sur la contractualisation : comment intégrer des clauses de cybersécurité dans un contrat avant même d’avoir parlé d’incidents ? Comment anticiper et prévoir ces aspects dans la relation contractuelle ? J’espère que je ne suis pas le seul à penser à intégrer des clauses de cybersécurité dans les contrats, mais il y a encore peu d’avocats qui y réfléchissent de manière systématique.
- Amazon Web Services[↩]
- Agence nationale de la sécurité des systèmes d’information[↩]
- Opérateurs d’Importance Vitale[↩]
- La directive NIS 2, ou Network and Information Security Directive 2, est une législation de l’Union européenne qui vise à renforcer la cybersécurité au sein des États membres. Adoptée en 2022, elle remplace et élargit la première directive NIS (2016).[↩]
