Cyberattaque notaire, les solutions Legaltech

Temps de lecture : 3 minutes

Présentation des menaces qui planent sur les études notariales

La principale cybermenace pour les entreprises ? Les attaques par rançongiciel (ransomware en anglais), selon la plateforme publique Cybermalveillance.gouv.fr. Le concept est simple : une fois installé sur un ordinateur, ce logiciel informatique malveillant chiffre les données stockées. Le paiement d’une rançon est alors requis pour récupérer une clé de déchiffrement et l’accès aux données.

Le piratage des comptes en ligne est également un fléau fréquemment rencontré par les professionnels. Les messageries électroniques sont souvent visées en priorité, car elles contiennent une multitude d’informations confidentielles. « Dans le cadre d’une boîte email professionnelle d’un notaire, il peut s’agir de justificatifs d’identité et d’adresse, de titres de propriété, de RIB, d’appels de fonds…, liste Julien Letourneux, CEO de FoxNot. Ce sont des données fort utiles pour les cybercriminels ! » Jean-Luc Girot, président de Magic Notary, alerte : « avec ce genre d’informations, les cybercriminels peuvent, par exemple, usurper l’identité d’une personne, ouvrir un compte bancaire à son nom et obtenir des crédits à la consommation. » « Le vol de données est extrêmement pernicieux, indique à son tour Patrick Mc Namara, p-dg fondateur de Quai des Notaires. D’autant plus que la menace peut provenir de l’extérieur comme de l’intérieur (par exemple par les clés usb ou réseaux wifi privés des collaborateurs ou techniciens…). »

L’hameçonnage (phishing en anglais) est également très courant. Cette technique consiste à leurrer l’internaute en usurpant l’identité d’une entité ayant pignon sur rue (gouvernement, administration, grande entreprise…). Mis en confiance, la personne lit l’email ou le SMS. Puis, elle clique sur la pièce jointe infectée, ou suit le lien frauduleux et communique des informations personnelles (login et mot de passe, coordonnées bancaires…), voire effectue un paiement.

Enfin, une autre fraude peut toucher les entreprises et les études notariales, en particulier : la fraude au changement de RIB. Ici, le point de départ est le piratage d’une messagerie électronique d’un client, d’un tiers (un fournisseur par exemple) ou d’un notaire. Ensuite, les fraudeurs interceptent les emails et remplacent le RIB du bénéficiaire par leurs propres coordonnées bancaires. Certaines fois, il n’y a même pas besoin de pirater la messagerie. Les fraudeurs interceptent les emails faisant référence à un RIB, modifient la pièce jointe à la volée et réinjectent l’email dans le circuit ! « Cela prend si peu de temps que personne ne s’est aperçu que l'email a été détourné et modifié. », alerte Julien Letourneux. « La fraude au RIB est aussi puissante que dangereuse !, confirme Jean-Luc Girot. Les fraudeurs s’appuient sur des bots très performants, capables de reconnaître des images, de scanner les emails à la recherche de RIB pour les remplacer. Les détournements de fonds peuvent être longs à détecter. » « Un certain nombre d’études notariales ont été confrontées à la fraude au RIB ces derniers mois, souligne Patrick Mc Namara. Cette escroquerie peut avoir de graves conséquences. »

L’email, le pire ennemi du notaire ?

Dès lors, quelles parades mettre en place pour se prémunir de ces fraudes ?

Première précaution : être vigilant quant à l’utilisation de l’email. « Il est recommandé d’éviter le plus possible l’envoi de données sensibles par email ou alors de protéger les emails et documents envoyés en les chiffrant », préconise Jean-Luc Girot.

Mieux encore, l’échange d’informations peut se faire via des logiciels spécifiques.

Ainsi, par exemple, Foxnot fluidifie et sécurise les échanges de documents entre les notaires, leurs clients et les tiers. Depuis le début de l’année, la start-up propose également son service de transfert de RIB via un outil indépendant : DocSecure. « Cette plateforme, sorte de WeTransfer, est étoffée d’options et adaptée aux notaires, résume Julien Letourneux. Grâce à un compte sécurisé, les notaires peuvent rapidement et facilement envoyer une demande de RIB ou envoyer le leur. Sur leur espace dédié et/ou grâce aux notifications, ils peuvent savoir précisément à quelle heure le document a été réceptionné ou téléchargé. D’ailleurs, notre partenaire Fichorga a intégré ce module à son logiciel de rédaction pour lutter contre l’usurpation de RIB. Ce rapprochement nous a également permis d’améliorer encore la sécurité de nos outils en appliquant le meilleur de chaque solution. »

Quant à Magic Notary, l’outil sécurise la collecte de tous les documents entrant en jeu dans la constitution des actes immobiliers. Enfin, Quai des Notaires propose un espace de partage qui sécurise la collecte et le stockage de tous les contrats et documents des notaires et leurs clients, à la manière d’un coffre-fort. La start-up propose également la signature électronique qualifiée certifiée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information).

La sécurité au cœur des enjeux de la legaltech

En ciblant une profession réglementée détentrice de données très sensibles, ces plateformes numériques se doivent d’être hautement sécurisées. La sécurité est logiquement au cœur de leurs process. « Un niveau standard de sécurité ne suffit plus, de nos jours, pour être pleinement protégé, observe Patrick Mc Namara. Nous proposons un niveau de sécurité que les notaires ne peuvent s’offrir seuls ou à un coût excessif. » Jean-Luc Girot ajoute : « même si les professionnels du droit ne sont pas des experts en informatique, ils doivent s’intéresser aux dispositifs mis en place par leurs prestataires en matière de cybersécurité et, notamment, à leur évolution dans le temps. Car, face aux menaces qui ne cessent d’apparaître, de se transformer et de se multiplier, les solutions mises en œuvre peuvent rapidement devenir obsolètes ! »

Il peut donc être intéressant d’interroger le prestataire sur :

• l’hébergement des données (localisation, conformité RGPD, certification…),
• sa stratégie pour se prémunir contre les cybermenaces (ressources et outils dédiés, infrastructures, supervision, tests de sécurité, etc.),
• les aspects techniques de leur outil (authentification…),
• sur les grandes lignes de son plan de continuité de l’activité (PCA) en cas de sinistre.

Le label Etik du CSN, un gage de confiance

Pour garantir leur niveau de sécurité, les plateformes, telles que Magic Notary et Quai des Notaires, mettent en avant leur labellisation Etik du CSN (Conseil supérieur du notariat). À noter que FoxNot a entamé la procédure de labellisation.

Pour en bénéficier, les éditeurs doivent se soumettre à un audit de Bureau Veritas. Au regard des résultats, le CSN accorde ou non son label. « La démarche est très sérieuse, souligne Jean-Luc Girot. Ce label est, entre autres, un gage de sécurité dans le temps car, le label n’est pas attribué ad vitam aeternam. Tous les ans, nous devons rendre des comptes. » Pour les labellisés, cet investissement permet de démontrer leur engagement en termes de sécurité mais aussi de respect de la déontologie de la profession de notaire. « C’est un excellent moyen d’asseoir notre crédibilité », ajoute Patrick Mc Namara.

La cybersécurité est l’affaire de tous !

Dernier point d’attention. Le logiciel le mieux sécurisé du monde ne peut pallier le comportement dangereux des utilisateurs ! Or, « les bonnes pratiques, comme l’interdiction d’ouvrir une pièce jointe d’un expéditeur inconnu ou d’utiliser une clé USB, sont peu connues et peu déployées par les professionnels du droit, estime Patrick Mc Namara. Probablement, parce que les notaires et leurs collaborateurs sous-estiment les cyber-risques. Des compétences en cybersécurité sont aujourd’hui essentielles à tous les professionnels du droit. » Julien Letourneux recommande, pour sa part, de mettre à jour tous les logiciels utilisés, comme Windows. « En effet, trop d'études n'y prêtent pas attention et utilisent des versions obsolètes, avec des failles de sécurité majeures, équivalentes à des boulevards pour les fraudeurs qui peuvent s’introduire dans leur système d'information, explique-t-il. Les mises à jour sont des manipulations très simples, à la portée de tous, mais véritablement protectrices. »

Car, si l’on en croit les experts en cybersécurité, la question n'est pas de savoir si l’on va être victime d'une cyberattaque mais quand. Les cybercriminels ne ciblent pas que les grands groupes. Il est même parfois plus simple et rentable de s’attaquer à des petites entreprises mal équipées et peu sensibilisées aux bonnes pratiques en matière d'hygiène informatique…