Edition juridique et sécurité informatique : quelques questions d’actualité

De la cybersécurité des éditeurs juridiques et legaltech

[billet publié initialement le 22 février 2021 en fin de la pandémie Covid-19 et mis à jour depuis]

Editeurs juridiques, legal tech, connaissez-vous les incendies, les cyberattaques ? Etes-vous (bien) protégés ? Que prévoyez-vous en cas de hack ?

Inutile de se voiler la face : les abonnements papier en documentation juridique sont en train de faire les frais de la crise économique liée à l’épidémie mais aussi au développement du télétravail, devenu fortement recommandé (mais non pas obligatoire stricto sensu puisqu’il s’agit de droit mou). Les frais, également, de l’évolution des habitudes de travail des juristes, en cours depuis longtemps.

Je ne cherche pas à dire ici que le papier ne garde pas ses avantages ou que la coexistence du en ligne et de l’imprimé est dépassée, pas du tout [1]. Juste que l’époque est, quand même, on ne peut plus favorable au en ligne.

Et alors, me dira-t-on, où est le problème ? Il est dans l’augmentation exponentielle des risques qu’il y a à travailler en ligne et de la probabilité de leur réalisation. Et il n’y en a pas un, de problème ici, il y en a quatre.

1. ↑ du télétravail => ↑ du en ligne => ↑ des coûts

Il y a déjà un problème bien connu des gestionnaires de budgets et de collection : le coût. Les plateformes en ligne des éditeurs coûtent beaucoup plus cher que leurs équivalents papier, surtout pour les moyennes et grandes structures, avec la fréquente tarification au nombre d’utilisateurs (réels et plus encore, potentiels).

2. ↑ du télétravail => ↑ du en ligne => et en cas de panne/crash/bug/incendie/inondation ?

Pour les pannes, cela fait longtemps que certains documentalistes recommandent de faire ajouter une clause (dite clause pénale [2], même si c’est du droit civil) dans les conditions particulières du contrat [3] : en cas de panne totale de plus de 24h, on enlève, au prorata, la somme de la facturation.

Ajoutons les risques suivants, qui peuvent toucher les réseaux téléphoniques (ADSL) et informatiques (fibre, Transpac ...) et les systèmes informatiques de production et d’hébergement :

• pannes chez les divers opérateurs :
  • sur le réseau téléphonique et fibre, particulièrement celui de l’opérateur historique Orange
  • chez un hébergeur/cloud [4], comme par exemple le français OVH à Strasbourg en mars 2021 suite à un incendie (voir infra) ou Amazon Web Services (AWS) dans la région de Tokyo le 2 septembre 2021
  • chez des intermédiaires essentiels, comme les sociétés spécialisées dans la mise à disposition de serveurs cache pour les entreprises (Content Delivery Netywork, CDN), notamment Akamai le 22 juillet 2021 [5] ou Fastly le 8 juin 2021
• inondations
• gel par grand froid (les poteaux téléphoniques ou électriques peuvent tomber)
• tempêtes (idem supra). Exemple : décembre 1999
• incendie
• etc.

Quelques exemples d’incendie chez des hébergeurs :

Amazon Web Services : en 2018, c’est le datacenter de Tokyo du géant AWS, numéro un mondial du secteur du cloud, qui disparaissait dans les flammes [6].

OVH : le 10 mars 2021, un peu plus d’un data center entier (le SBG-2) de l’hébergeur OVH a été perdu par le feu à Strasbourg [7]. Le bilan au 10 mars : SBG1 : 4 conteneurs détruits. SBG2 : complètement détruit. SBG3 : salles et équipements OK, électricité coupée. SBG4 : idem SBG3.

Conséquences de l’ "OVH fire" sur les sites web hébergés :

• OVH héberge la base de données Doctrinal de l’éditeur juridique Transactive : l’incendie du datacenter a signifié une semaine d’arrêt pour le Doctrinal, le temps de regrouper les sauvegardes et remonter le serveur et l’aplication [8]. Mais les articles de la Revue trimestrielle de droit financier (RTDF, publiée par Transactive) disponibles par le Doctrinal ne sont jamais revenus en ligne [9]
• le site droit-technologie.org tenu par le cabinet Ulys était toujours inaccessible le 25 mars. Mais au 5 juillet 2021, il était en ligne
• un message LinkedIn de Romain Rambaud remerciant le Club des Juristes de l’héberger temporairement indique que son Blog du droit électoral était "down". Au 25 mars, il était de retour
• les bibliographies de l’Ecole nationale d’administration pénitentiaire (ENAP) étaient également toujours KO au 25 mars. Mais elles sont revenues en ligne, probablement durant l’été
• la Lexradio de l’éditeur juridique Lexbase était HS au 19 mars, mais il continuait ses émissions sur Youtube. Au 25 mars, le site était de retour mais les anciens contenus de Lexradio sont définitivement perdus, comme le reconnaît la page d’accueil du site
• Lamyline, Actualités du droit (la newsletter de Lamy), Data.gouv.fr et le site Antidiscrimination.fr du Défenseur des droits ont été hors ligne totalement ou partiellement le 10 au matin — ces sites étaient de retour l’après-midi. Concernant les Actualités du droit, le site est bien rétabli au 19 mars, mais il semble que des données n’avaient pas été sauvegardées. Une collègue signale sur la liste Juriconnexion que « toutes les alertes qu’[elle avait] posées pour recevoir les informations par mail avaient disparu, et certains comptes personnels qu’[elle avait] créés n’existaient plus ». Cela a été confirmé par l’éditeur, qui cherche toujours à les récupérer mais conseille aux utilisateurs du site de les recréer
• selon l’Agefi, « les médias spécialisés Stratégies et CB News (groupe MediaSchool) n’ont pas pu envoyer leurs newsletters le 10 matin. Maddyness, site d’actualité consacré aux start-up, était encore hors-service le 10 après-midi, tout comme News Assurance Pro, média consacré aux professionnels du secteur de l’assurance. [...] Et l’Autorité européenne des marchés financiers est également touchée par des pannes » [10]. Au 19 mars, Maddyness était toujours hors ligne, mais il était de retour au 25. News Assurance Pro était également en ligne au 25 mars.

NB : selon SolutionsNumériques.com :

• « l’article 7.7 des conditions générales de vente d’OVHcloud prévoit l’incendie comme un cas de force majeure, ce qui l’exonère contractuellement de sa responsabilité dans ce cas. Il s’engage à indiquer par écrit les circonstances de l’événement et l’évolution de la situation aux clients concernés. Si elle dure plus de trente jours, le client est alors libre de mettre fin aux services ... »
• « OVH hébergerait les 2/3 de l’Internet français ».

A noter que le tribunal de commerce de Lille a jugé qu’OVH a commis un manquement contractuel à son offre de sauvegarde automatisée en stockant les sauvegardes dans le même bâtiment que le serveur [11]. Par un jugement du 26 janvier 2023, il a condamné OVH à verser 93 000 € de dommages-intérêts à son client. Concernant le respect de l’option de sauvegarde, OVH a invoqué la clause d’exclusion pour cas de force majeure. Or, l’article 1170 du Code civil dispose que « toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite ». Et en l’espèce justement, « réaliser les copies de sauvegarde et les mettre en sécurité, en particulier en cas de sinistre ou d’incendie, est une obligation essentielle du contrat. La clause 7.7 du contrat OVH prive donc de sa substance l’obligation essentielle de la SAS OVH et doit donc être réputée non écrite », a conclu le tribunal.

Même si un tel événement est rare, voire très rare de par la gravité des conséquences, OVH n’est pas et ne sera pas le seul à qui cela arrive.

Google Cloud : le 26 avril 2023, l’incendie survenu dans un centre de données de Global Switch à Clichy, hébergeant Google Cloud, a entraîné des interruptions de service pour plusieurs sites web (dont Cybermalveillance.gouv.fr) et professionnels de l’immobilier [12]. Google Cloud propose de travailler en redondance sur trois data centers en France, ce qui aurait dû permettre aux deux autres data centers fonctionnels de prendre le relais. Malheureusement, pour une raison encore inexpliquée, Google a arrêté ses trois data centers, alors que deux sur trois étaient fonctionnels. Contrairement à OVH, aucune donnée n’a été perdue, car les deux autres data centers n’étaient pas impactés et tout est rentré dans l’ordre après 15 heures d’arrêt [13].

La revue Techniques de l’Ingénieur le confirme en 2023 : le point faible des datacenters demeure le risque d’incendie [14] :

« Une récente étude rappelle les impacts importants d’un tel sinistre pour les clients de ces centres de données, avec des incidents majeurs qui ont impliqué des poids lourds parmi lesquels Comcast, Google, OVHcloud, BT Group, Apple et Samsung. Réalisée par Dgtl Infra (une entreprise spécialisée dans la fourniture d’infrastructures numériques aux entreprises), elle a analysé 19 incendies majeurs. À la différence de l’étude d’Uptime Institute qui limite son analyse à 6 ans et n’a recensé que 14 incendies, celle de Dgtl Infra court de 2014 à 2023, soit 10 ans. Le risque est donc très faible étant donné qu’il y a environ 8 000 datacenters dans le monde. »

Voir aussi sur ce blog : Les hébergeurs des plateformes juridiques en ligne.

OVH Strasbourg le 10 mars 2021 : le data center SBG2 en flammes

3. ↓ du papier => besoin d’archives numériques

Il y a aussi le problème des archives non fournies : le client paye pendant des années pour des ouvrages à mise à jour, des revues et s’il se désabonne, il n’a plus rien. On conçoit l’impossibilité technique de délivrer des archives des ouvrages à mise à jour ou d’une base de jurisprudence [15]. En fait, on pense à une archive des revues en PDF, ni plus ni moins. Et comme les éditeurs juridiques sont de plus en plus nombreux à les publier sur leur plateforme en PDF, ça ne devrait pas être si compliqué ni si cher que ça ... [16]

4. ↑ du télétravail => ↑ du en ligne => ↑ des hacks

Mais il y a un dernier problème, qui va devenir crucial : les cyberattaques.

Illustration récente : un éditeur juridique est victime d’une cyberattaque : à partir du 18 février 2021, les sites de l’Afnor ont été hors ligne pendant une semaine entière, et étaient encore le 10 mars en mode dégradé. En interne, les équipes informatiques ont pris les mesures pour empêcher le ransomware Ryuk de continuer à se répandre.

La boutique en ligne des normes et ouvrages a mis entre une et deux semaines pour revenir en ligne. Entre temps, comment faire pour consulter ou acheter une publication Afnor si vous ne l’aviez pas gardée précieusement sur votre réseau interne ?

Depuis 2020, le problème est devenu plus que réel : incontournable. Hôpitaux, municipalités, grandes entreprises, même les spécialistes de la cybersécurité voient leurs réseaux informatiques infiltrés/cryptés. Il semble que toutes les catégories d’organismes soient touchées ou à (fort) risque. Et le délai de retour à la normale totale cité dans les articles sur le sujet oscille entre 3 semaines (le minimum selon l’ANSSI) [17] et plus souvent 2 mois. Et là, comme pour l’incendie ou l’inondation, la disponibilité de sauvegardes hors site (et en plus "air gap") est capitale. Ce n’est pas pour rien que ces derniers temps, face à l’épidémie de rançongiciels ("ransomware"), on voit refleurir les sauvegardes sur bandes (ex-cassettes DAT).

Pouvez-vous vous passer de votre abonnement Navis, Lexis 360, Lamyline, Dalloz.fr, Lexbase, Revue Fiduciaire (Groupe RF) ou Lextenso pendant deux semaines ? Y a-t-il assez de documentation gratuite en ligne pour vous permettre de traiter les questions posées par les contentieux que vous traitez, surtout si vous n’avez pas de bibliothèque papier interne ?

Ajoutons que les CGV des éditeurs ne prévoient aucune indemnisation en cas de panne ou bug de leurs plateformes et aucun "dépannage" sous forme de fourniture d’archive numérique (cf supra).

J’ajouterai enfin que l’ANSSI, la Gendarmerie et le Gouvernement recommandent de plus en plus vocalement aux organismes touchés par des ransomwares de ne pas payer la rançon demandée. De toute manière, vu la situation, les primes des assurances cyber ne peuvent qu’augmenter en flèche. Selon S&P, les primes de cyber-assurance pourraient augmenter de 20 à 30% par an [18].

L’édition juridique est allée très loin dans la diffusion en ligne, éphémère. Vu les sommes et les risques croissants en jeu, il faudrait faire revenir le balancier vers la conservation sur site, durable elle. Et qui peut être sous forme d’archive numérique ... ou papier, eh oui !

Emmanuel Barthe
bibliothécaire documentaliste juridique

PS : les conservateurs, bibliothécaires et documentalistes ont eux aussi un devoir de préserver les collections qu’ils gèrent avec un plan de continuité d’activité (PCA).Voir Sauvegarder son patrimoine et ses données, par Clotilde Vaissaire-Agard, CF2ID, 17 mars 2021.