Edition juridique et sécurité informatique : quelques questions d’actualité

Jeudi 25 mars 2021, par Emmanuel Barthe // L’édition juridique

[billet publié initialement le 22 février 2021 et mis à jour depuis]

Editeurs juridiques, legal tech, connaissez-vous les incendies, les cyberattaques ? Etes-vous (bien) protégés ? Que prévoyez-vous en cas de hack ?

Inutile de se voiler la face : les abonnements papier en documentation juridique sont en train de faire les frais de la crise économique liée à l’épidémie mais aussi au développement du télétravail, devenu fortement recommandé (mais non pas obligatoire stricto sensu puisqu’il s’agit de droit mou). Les frais, également, de l’évolution des habitudes de travail des juristes, en cours depuis longtemps.

Je ne cherche pas à dire ici que le papier ne garde pas ses avantages ou que la coexistence du en ligne et de l’imprimé est dépassée, pas du tout [1]. Juste que l’époque est on ne peut plus favorable au en ligne.

Et alors, me dira-t-on, où est le problème ?

Pandémie => ↑ du télétravail => ↑ du en ligne => ↑ des coûts

Il y a déjà un problème bien connu des gestionnaires de budgets et de collection : le coût. Les plateformes en ligne des éditeurs coûtent beaucoup plus cher que leurs équivalents papier, surtout pour les moyennes et grandes structures, avec la fréquente tarification au nombre d’utilisateurs (réels et plus encore, potentiels).

Pandémie => ↑ du télétravail => ↑ du en ligne => et en cas de panne/crash/bug/incendie/inondation ?

Pour les pannes, cela fait longtemps que certains documentalistes recommandent de faire ajouter une clause (dite clause pénale [2], même si c’est du droit civil) dans les conditions particulières du contrat [3] : en cas de panne totale de plus de 24h, on enlève, au prorata, la somme de la facturation.

Ajoutons les risques suivants, qui peuvent toucher les réseaux téléphoniques (ADSL) et informatiques (fibre, Transpac ...) et les systèmes informatiques de production et d’hébergement :

  • pannes sur le réseau téléphonique et fibre, particulièrement celui de l’opérateur historique Orange
  • inondations
  • gel par grand froid (les poteaux téléphoniques ou électriques peuvent tomber)
  • tempêtes (idem supra). Exemple : décembre 1999
  • incendie.
  • etc.

Exemple d’incendie : un peu plus d’un data center entier (le SBG-2) de l’hébergeur OVH a été perdu par le feu à Strasbourg le 10 mars 2021. Au 10 mars : SBG1 : 4 conteneurs détruits. SBG2 : complètement détruit. SBG3 : salles et équipements OK, électricité coupée. SBG4 : idem SBG3.

Conséquences de l’ "OVH fire" sur les sites web hébergés :

  • OVH héberge la base de données Doctrinal de l’éditeur juridique Transactive : l’incendie du datacenter signifie une semaine d’arrêt pour le Doctrinal, le temps de regrouper les sauvegardes et remonter le serveur et l’aplication [4]
  • le site droit-technologie.org tenu par le cabinet Ulys est toujours inaccessible au 25 mars
  • un message LinkedIn de Romain Rambaud remerciant le Club des Juristes de l’héberger temporairement indique que son Blog du droit électoral était "down". Au 25 mars, il est de retour
  • les bibliographies de l’Ecole nationale d’administration pénitentiaire (ENAP) sont également tojours KO au 25 mars
  • la Lexradio de l’éditeur juridique Lexbase était HS au 19 mars, mais il continuait ses émissions sur Youtube. Au 25 mars, le site était de retour mais les anciens contenus de Lexradio ne sont plus accessibles
  • Lamyline, Actualités du droit (la newsletter de Lamy), Data.gouv.fr et le site Antidiscrimination.fr du Défenseur des droits ont été hors ligne totalement ou partiellement le 10 au matin — ces sites étaient de retour l’après-midi. Concernant les Actualités du droit, le site est bien rétabli au 19 mars, mais il semble que des données n’avaient pas été sauvegardées. Une collègue signale sur la liste Juriconnexion que « toutes les alertes qu’[elle avait] posées pour recevoir les informations par mail avaient disparu, et certains comptes personnels qu’[elle avait] créés n’existaient plus ». Cela a été confirmé par l’éditeur, qui cherche toujours à les récupérer mais conseille aux utilisateurs du site de les recréer
  • selon l’Agefi, « les médias spécialisés Stratégies et CB News (groupe MediaSchool) n’ont pas pu envoyer leurs newsletters le 10 matin. Maddyness, site d’actualité consacré aux start-up, était encore hors-service le 10 après-midi, tout comme News Assurance Pro, média consacré aux professionnels du secteur de l’assurance. [...] Et l’Autorité européenne des marchés financiers est également touchée par des pannes » [5]. Au 19 mars, Maddyness était toujours hors ligne, mais il était de retour au 25. News Assurance Pro était également en ligne au 25 mars.

NB : selon SolutionsNumériques.com :

  • « l’article 7.7 des conditions générales de vente d’OVHcloud prévoit l’incendie comme un cas de force majeure, ce qui l’exonère contractuellement de sa responsabilité dans ce cas. Il s’engage à indiquer par écrit les circonstances de l’événement et l’évolution de la situation aux clients concernés. Si elle dure plus de trente jours, le client est alors libre de mettre fin aux services ... »
  • « OVH hébergerait les 2/3 de l’Internet français ».

Même si un tel evénement est rare, voire très rare, OVH n’est pas et ne sera pas le seul à qui cela arrive. En 2018, c’est le datacenter de Tokyo du géant Amazon Web Services (AWS), numéro un mondial du secteur du cloud, qui disparaissait dans les flammes [6]


OVH Strasbourg le 10 mars 2021 : le data center SBG2 en flammes

Pandémie => ↓ du papier => besoin d’archives numériques

Il y a aussi le problème des archives non fournies : le client paye pendant des années pour des ouvrages à mise à jour, des revues et s’il se désabonne, il n’a plus rien. On conçoit l’impossibilité technique de délivrer des archives des ouvrages à mise à jour ou d’une base de jurisprudence [7]. En fait, on pense à une archive des revues en PDF, ni plus ni moins. Et comme les éditeurs juridiques sont de plus en plus nombreux à les publier sur leur plateforme en PDF, ça ne devrait pas être si compliqué ni si cher que ça ... [8]

Pandémie => ↑ du télétravail => ↑ du en ligne => ↑ des hacks

Mais il y a un dernier problème, qui va devenir crucial : les cyberattaques.

Illustration récente : un éditeur juridique est victime d’une cyberattaque : à partir du 18 février 2021, les sites de l’Afnor ont été hors ligne pendant une semaine entière, et étaient encore le 10 mars en mode dégradé. En interne, les équipes informatiques ont pris les mesures pour empêcher le ransomware Ryuk de continuer à se répandre.

La boutique en ligne des normes et ouvrages a mis entre une et deux semaines pour revenir en ligne. Entre temps, comment faire pour consulter ou acheter une publication Afnor si vous ne l’aviez pas gardée précieusement sur votre réseau interne ?

Depuis 2020, le problème est devenu plus que réel : incontournable. Hôpitaux, municipalités, grandes entreprises, même les spécialistes de la cybersécurité voient leurs réseaux informatiques infiltrés/cryptés. Il semble que toutes les catégories d’organismes soient touchées ou à (fort) risque. Et le délai de retour à la normale totale cité dans les articles sur le sujet oscille entre 3 semaines (le minimum selon l’ANSSI) [9] et plus souvent 2 mois. Et là, comme pour l’incendie ou l’inondation, la disponibilité de sauvegardes hors site (et en plus "air gap") est capitale. Ce n’est pas pour rien que ces derniers temps, face à l’épidémie de rançongiciels ("ransomware"), on voit refleurir les sauvegardes sur bandes (ex-cassettes DAT).

Pouvez-vous vous passer de votre abonnement Navis, Lexis 360, Lamyline, Dalloz.fr, Lexbase, Revue Fiduciaire (Groupe RF) ou Lextenso pendant deux semaines ? Y a-t-il assez de documentation gratuite en ligne pour vous permettre de traiter les questions posées par les contentieux que vous traitez, surtout si vous n’avez pas de bibliothèque papier interne ?

Ajoutons que les CGV des éditeurs ne prévoient aucune indemnisation en cas de panne ou bug de leurs plateformes et aucun "dépannage" sous forme de fourniture d’archive numérique (cf supra).

J’ajouterai enfin que l’ANSSI, la Gendarmerie et le Gouvernement recommandent de plus en plus vocalement aux organismes touchés par des ransomwares de ne pas payer la rançon demandée. De toute manière, vu la situation, les primes des assurances cyber ne peuvent qu’augmenter en flèche. Selon S&P, les primes de cyber-assurance pourraient augmenter de 20 à 30% par an [10].

L’édition juridique est allée très loin dans la diffusion en ligne, éphémère. Vu les sommes et les risques croissants en jeu, il faudrait faire revenir le balancier vers la conservation sur site, durable elle. Et qui peut être sous forme d’archive numérique ... ou papier, eh oui !

Emmanuel Barthe
bibliothécaire documentaliste juridique

PS : les conservateurrs, bibliothécaires et documentalistes ont eux aussi un devoir de préserver les collections qu’ils gèrent avec un plan de continuité d’activité (PCA).Voir Sauvegarder son patrimoine et ses donnée, par Clotilde Vaissaire-Agard, CF2ID, 17 mars 2021.

Notes de bas de page

[2La clause pénale : régime juridique, par Aurélien Bamdé, Le Droit dans tous ses états, 14 novembre 2019. Remarquable site de cours de droit et de méthodologie (commentaire d’arrêts etc.) gratuit, entre parenthèses.

[3Les conditions particulières complètent les conditions générales de vente (CGV). Sur les conditions générales en matière de documentation juridique en ligne, voir sur ce blog Bases de données juridiques en ligne : où trouver les conditions générales de vente, d’abonnement/utilisation (CGV, CGA, CGU).

[4OVH a conseillé à ses clients de mettre en oeuvre leur plan de reprise d’activité (PRA), en résumé, la mise en oeuvre d’un "plan B", d’une infrastructure secondaire pour restaurer leur fonctionnement, selon des normes codifiées. Mais toutes les organisations n’en disposent pas, comme l’explique le site spécialisé zdnet.fr, pour des questions de coût notamment. Et nombreuses sont les PME à n’avoir pas souscrit une option de sauvegarde, chez OVH, en plus de l’hébergement. Visiblement, Transactive avait ses propres sauvegardes.

[6Fatal fire in AWS Tokyo data centre, Techrati, 3 août 2018.

[7Pour les textes officiels, l’existence de Légifrance rend un telle archive inutile.

[8Publient leurs revues en PDF image sur leur plateforme en ligne les éditeurs suivant : LexisNexis (en grande partie mais pas encore toutes), Lamy/WKF, Lextenso.

[9Anatomie des attaques de rançongiciel récentes, un retour d’expérience (vidéo), présentation de Christophe Renard de l’ANSSI à l’OSSIR le 10 novembre 2020.

Répondre à cet article

1 Message