Appuyez sur Entrée pour voir vos résultats ou Echap pour annuler.

Edition juridique et sécurité informatique : quelques questions d’actualité
De la cybersécurité des éditeurs juridiques et legaltech

[billet publié initialement le 22 février 2021 en fin de la pandémie Covid-19 et mis à jour depuis]

Editeurs juridiques, legal tech, connaissez-vous les incendies, les cyberattaques ? Etes-vous (bien) protégés ? Que prévoyez-vous en cas de hack ?

Inutile de se voiler la face : les abonnements papier en documentation juridique sont en train de faire les frais de la crise économique liée à l’épidémie mais aussi au développement du télétravail, devenu fortement recommandé (mais non pas obligatoire stricto sensu puisqu’il s’agit de droit mou). Les frais, également, de l’évolution des habitudes de travail des juristes, en cours depuis longtemps.

Je ne cherche pas à dire ici que le papier ne garde pas ses avantages ou que la coexistence du en ligne et de l’imprimé est dépassée, pas du tout [1]. Juste que l’époque est, quand même, on ne peut plus favorable au en ligne.

Et alors, me dira-t-on, où est le problème ? Il est dans l’augmentation exponentielle des risques qu’il y a à travailler en ligne et de la probabilité de leur réalisation. Et il n’y en a pas un, de problème ici, il y en a quatre.

1. ↑ du télétravail => ↑ du en ligne => ↑ des coûts

Il y a déjà un problème bien connu des gestionnaires de budgets et de collection : le coût. Les plateformes en ligne des éditeurs coûtent beaucoup plus cher que leurs équivalents papier, surtout pour les moyennes et grandes structures, avec la fréquente tarification au nombre d’utilisateurs (réels et plus encore, potentiels).

2. ↑ du télétravail => ↑ du en ligne => et en cas de panne/crash/bug/incendie/inondation ?

Pour les pannes, cela fait longtemps que certains documentalistes recommandent de faire ajouter une clause (dite clause pénale [2], même si c’est du droit civil) dans les conditions particulières du contrat [3] : en cas de panne totale de plus de 24h, on enlève, au prorata, la somme de la facturation.

Ajoutons les risques suivants, qui peuvent toucher les réseaux téléphoniques (ADSL) et informatiques (fibre, Transpac ...) et les systèmes informatiques de production et d’hébergement :

  • pannes chez les divers opérateurs :
    • sur le réseau téléphonique et fibre, particulièrement celui de l’opérateur historique Orange
    • chez un hébergeur/cloud [4], comme par exemple le français OVH à Strasbourg en mars 2021 suite à un incendie (voir infra) ou Amazon Web Services (AWS) dans la région de Tokyo le 2 septembre 2021
    • chez des intermédiaires essentiels, comme les sociétés spécialisées dans la mise à disposition de serveurs cache pour les entreprises (Content Delivery Netywork, CDN), notamment Akamai le 22 juillet 2021 [5] ou Fastly le 8 juin 2021
  • inondations
  • gel par grand froid (les poteaux téléphoniques ou électriques peuvent tomber)
  • tempêtes (idem supra). Exemple : décembre 1999
  • incendie
  • etc.

Quelques exemples d’incendie chez des hébergeurs :

Amazon Web Services : en 2018, c’est le datacenter de Tokyo du géant AWS, numéro un mondial du secteur du cloud, qui disparaissait dans les flammes [6].

OVH : le 10 mars 2021, un peu plus d’un data center entier (le SBG-2) de l’hébergeur OVH a été perdu par le feu à Strasbourg [7]. Le bilan au 10 mars : SBG1 : 4 conteneurs détruits. SBG2 : complètement détruit. SBG3 : salles et équipements OK, électricité coupée. SBG4 : idem SBG3.

Conséquences de l’ "OVH fire" sur les sites web hébergés :

  • OVH héberge la base de données Doctrinal de l’éditeur juridique Transactive : l’incendie du datacenter a signifié une semaine d’arrêt pour le Doctrinal, le temps de regrouper les sauvegardes et remonter le serveur et l’aplication [8]. Mais les articles de la Revue trimestrielle de droit financier (RTDF, publiée par Transactive) disponibles par le Doctrinal ne sont jamais revenus en ligne [9]
  • le site droit-technologie.org tenu par le cabinet Ulys était toujours inaccessible le 25 mars. Mais au 5 juillet 2021, il était en ligne
  • un message LinkedIn de Romain Rambaud remerciant le Club des Juristes de l’héberger temporairement indique que son Blog du droit électoral était "down". Au 25 mars, il était de retour
  • les bibliographies de l’Ecole nationale d’administration pénitentiaire (ENAP) étaient également toujours KO au 25 mars. Mais elles sont revenues en ligne, probablement durant l’été
  • la Lexradio de l’éditeur juridique Lexbase était HS au 19 mars, mais il continuait ses émissions sur Youtube. Au 25 mars, le site était de retour mais les anciens contenus de Lexradio sont définitivement perdus, comme le reconnaît la page d’accueil du site
  • Lamyline, Actualités du droit (la newsletter de Lamy), Data.gouv.fr et le site Antidiscrimination.fr du Défenseur des droits ont été hors ligne totalement ou partiellement le 10 au matin — ces sites étaient de retour l’après-midi. Concernant les Actualités du droit, le site est bien rétabli au 19 mars, mais il semble que des données n’avaient pas été sauvegardées. Une collègue signale sur la liste Juriconnexion que « toutes les alertes qu’[elle avait] posées pour recevoir les informations par mail avaient disparu, et certains comptes personnels qu’[elle avait] créés n’existaient plus ». Cela a été confirmé par l’éditeur, qui cherche toujours à les récupérer mais conseille aux utilisateurs du site de les recréer
  • selon l’Agefi, « les médias spécialisés Stratégies et CB News (groupe MediaSchool) n’ont pas pu envoyer leurs newsletters le 10 matin. Maddyness, site d’actualité consacré aux start-up, était encore hors-service le 10 après-midi, tout comme News Assurance Pro, média consacré aux professionnels du secteur de l’assurance. [...] Et l’Autorité européenne des marchés financiers est également touchée par des pannes » [10]. Au 19 mars, Maddyness était toujours hors ligne, mais il était de retour au 25. News Assurance Pro était également en ligne au 25 mars.

NB : selon SolutionsNumériques.com :

  • « l’article 7.7 des conditions générales de vente d’OVHcloud prévoit l’incendie comme un cas de force majeure, ce qui l’exonère contractuellement de sa responsabilité dans ce cas. Il s’engage à indiquer par écrit les circonstances de l’événement et l’évolution de la situation aux clients concernés. Si elle dure plus de trente jours, le client est alors libre de mettre fin aux services ... »
  • « OVH hébergerait les 2/3 de l’Internet français ».

A noter que le tribunal de commerce de Lille a jugé qu’OVH a commis un manquement contractuel à son offre de sauvegarde automatisée en stockant les sauvegardes dans le même bâtiment que le serveur [11]. Par un jugement du 26 janvier 2023, il a condamné OVH à verser 93 000 € de dommages-intérêts à son client. Concernant le respect de l’option de sauvegarde, OVH a invoqué la clause d’exclusion pour cas de force majeure. Or, l’article 1170 du Code civil dispose que « toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite ». Et en l’espèce justement, « réaliser les copies de sauvegarde et les mettre en sécurité, en particulier en cas de sinistre ou d’incendie, est une obligation essentielle du contrat. La clause 7.7 du contrat OVH prive donc de sa substance l’obligation essentielle de la SAS OVH et doit donc être réputée non écrite », a conclu le tribunal.

Même si un tel événement est rare, voire très rare de par la gravité des conséquences, OVH n’est pas et ne sera pas le seul à qui cela arrive.

Google Cloud : le 26 avril 2023, l’incendie survenu dans un centre de données de Global Switch à Clichy, hébergeant Google Cloud, a entraîné des interruptions de service pour plusieurs sites web (dont Cybermalveillance.gouv.fr) et professionnels de l’immobilier [12]. Google Cloud propose de travailler en redondance sur trois data centers en France, ce qui aurait dû permettre aux deux autres data centers fonctionnels de prendre le relais. Malheureusement, pour une raison encore inexpliquée, Google a arrêté ses trois data centers, alors que deux sur trois étaient fonctionnels. Contrairement à OVH, aucune donnée n’a été perdue, car les deux autres data centers n’étaient pas impactés et tout est rentré dans l’ordre après 15 heures d’arrêt [13].

La revue Techniques de l’Ingénieur le confirme en 2023 : le point faible des datacenters demeure le risque d’incendie [14] :

« Une récente étude rappelle les impacts importants d’un tel sinistre pour les clients de ces centres de données, avec des incidents majeurs qui ont impliqué des poids lourds parmi lesquels Comcast, Google, OVHcloud, BT Group, Apple et Samsung. Réalisée par Dgtl Infra (une entreprise spécialisée dans la fourniture d’infrastructures numériques aux entreprises), elle a analysé 19 incendies majeurs. À la différence de l’étude d’Uptime Institute qui limite son analyse à 6 ans et n’a recensé que 14 incendies, celle de Dgtl Infra court de 2014 à 2023, soit 10 ans. Le risque est donc très faible étant donné qu’il y a environ 8 000 datacenters dans le monde. »

Voir aussi sur ce blog : Les hébergeurs des plateformes juridiques en ligne.


OVH Strasbourg le 10 mars 2021 : le data center SBG2 en flammes

3. ↓ du papier => besoin d’archives numériques

Il y a aussi le problème des archives non fournies : le client paye pendant des années pour des ouvrages à mise à jour, des revues et s’il se désabonne, il n’a plus rien. On conçoit l’impossibilité technique de délivrer des archives des ouvrages à mise à jour ou d’une base de jurisprudence [15]. En fait, on pense à une archive des revues en PDF, ni plus ni moins. Et comme les éditeurs juridiques sont de plus en plus nombreux à les publier sur leur plateforme en PDF, ça ne devrait pas être si compliqué ni si cher que ça ... [16]

4. ↑ du télétravail => ↑ du en ligne => ↑ des hacks

Mais il y a un dernier problème, qui va devenir crucial : les cyberattaques.

Illustration récente : un éditeur juridique est victime d’une cyberattaque : à partir du 18 février 2021, les sites de l’Afnor ont été hors ligne pendant une semaine entière, et étaient encore le 10 mars en mode dégradé. En interne, les équipes informatiques ont pris les mesures pour empêcher le ransomware Ryuk de continuer à se répandre.

La boutique en ligne des normes et ouvrages a mis entre une et deux semaines pour revenir en ligne. Entre temps, comment faire pour consulter ou acheter une publication Afnor si vous ne l’aviez pas gardée précieusement sur votre réseau interne ?

Depuis 2020, le problème est devenu plus que réel : incontournable. Hôpitaux, municipalités, grandes entreprises, même les spécialistes de la cybersécurité voient leurs réseaux informatiques infiltrés/cryptés. Il semble que toutes les catégories d’organismes soient touchées ou à (fort) risque. Et le délai de retour à la normale totale cité dans les articles sur le sujet oscille entre 3 semaines (le minimum selon l’ANSSI) [17] et plus souvent 2 mois. Et là, comme pour l’incendie ou l’inondation, la disponibilité de sauvegardes hors site (et en plus "air gap") est capitale. Ce n’est pas pour rien que ces derniers temps, face à l’épidémie de rançongiciels ("ransomware"), on voit refleurir les sauvegardes sur bandes (ex-cassettes DAT).

Pouvez-vous vous passer de votre abonnement Navis, Lexis 360, Lamyline, Dalloz.fr, Lexbase, Revue Fiduciaire (Groupe RF) ou Lextenso pendant deux semaines ? Y a-t-il assez de documentation gratuite en ligne pour vous permettre de traiter les questions posées par les contentieux que vous traitez, surtout si vous n’avez pas de bibliothèque papier interne ?

Ajoutons que les CGV des éditeurs ne prévoient aucune indemnisation en cas de panne ou bug de leurs plateformes et aucun "dépannage" sous forme de fourniture d’archive numérique (cf supra).

J’ajouterai enfin que l’ANSSI, la Gendarmerie et le Gouvernement recommandent de plus en plus vocalement aux organismes touchés par des ransomwares de ne pas payer la rançon demandée. De toute manière, vu la situation, les primes des assurances cyber ne peuvent qu’augmenter en flèche. Selon S&P, les primes de cyber-assurance pourraient augmenter de 20 à 30% par an [18].

L’édition juridique est allée très loin dans la diffusion en ligne, éphémère. Vu les sommes et les risques croissants en jeu, il faudrait faire revenir le balancier vers la conservation sur site, durable elle. Et qui peut être sous forme d’archive numérique ... ou papier, eh oui !

Emmanuel Barthe
bibliothécaire documentaliste juridique

PS : les conservateurs, bibliothécaires et documentalistes ont eux aussi un devoir de préserver les collections qu’ils gèrent avec un plan de continuité d’activité (PCA).Voir Sauvegarder son patrimoine et ses données, par Clotilde Vaissaire-Agard, CF2ID, 17 mars 2021.

Notes

[2La clause pénale : régime juridique, par Aurélien Bamdé, Le Droit dans tous ses états, 14 novembre 2019. Remarquable site de cours de droit et de méthodologie (commentaire d’arrêts etc.) gratuit, entre parenthèses.

[3Les conditions particulières complètent les conditions générales de vente (CGV). Sur les conditions générales en matière de documentation juridique en ligne, voir sur ce blog Bases de données juridiques en ligne : où trouver les conditions générales de vente, d’abonnement/utilisation (CGV, CGA, CGU).

[5Airbnb, Amazon, BNP Paribas et de nombreux autres sites étaient inaccessibles jeudi 22 soir. La cause de la panne se situait chez le fournisseur américain de services Akamai. Il a évoqué "une interruption de service" sur Twitter, avant de préciser que le problème lié au DNS (système de noms de domaine) était désormais résolu et que le service fonctionnait de nouveau normalement.

[6Fatal fire in AWS Tokyo data centre, Techrati, 3 août 2018.

[7Pour plus d’informations sur le sinistre et ses causes, lire : Six choses qu’OVH ne dit pas sur l’incendie de Strasbourg, par Antoine Crochet-Damais, JDN, 29 mars 2021. Extraits : « 3,6 millions de serveurs web représentant 464 000 noms de domaines sont tombés (dixit Netcraft). Les sites en panne ne se comptent plus. Le groupe français évoque 12 000 à 16 000 clients concernés. Parmi les infrastructures touchées, le datacenter Strasbourg 2 (SBG2) dans lequel le feu a pris a été entièrement ravagé par les flammes. Quatre salles serveurs de SBG1 sur douze sont parties en fumée. »

[8OVH a conseillé à ses clients de mettre en oeuvre leur plan de reprise d’activité (PRA), en résumé, la mise en oeuvre d’un "plan B", d’une infrastructure secondaire pour restaurer leur fonctionnement, selon des normes codifiées. Mais toutes les organisations n’en disposent pas, comme l’explique le site spécialisé zdnet.fr, pour des questions de coût notamment. Et nombreuses sont les PME à n’avoir pas souscrit une option de sauvegarde, chez OVH, en plus de l’hébergement. Visiblement, Transactive avait ses propres sauvegardes.

[9L’éditeur affirmait à l’été 2021 y travailler mais que le retour de tous les liens n’était prévu que pour la fin 2021. Entretemps, Thomson Reuters a cédé en janvier 2022 le Doctrinal et le RTDF à Lexbase. C’eût été à Lexbase de remettre la RTDF en ligne mais ils choisirent de ne pas le faire.

[12Google Cloud sous l’eau suite à un incendie chez Global Switch Clichy, par Célia Seramour, Le Monde Informatique, 26 avril 2023.

[13Voir le commentaire de Roxane Sutet sous ce post de MySweetImmod.

[14Datacenters : leur point faible reste toujours le risque d’incendie, par Philippe Richard, Techniques de l’Ingénieur, 14 juin 2023.

[15Pour les textes officiels, l’existence de Légifrance rend un telle archive inutile.

[16Publient leurs revues en PDF image sur leur plateforme en ligne les éditeurs suivant : LexisNexis (en grande partie mais pas encore toutes), Lamy/WKF, Lextenso.

[17Anatomie des attaques de rançongiciel récentes, un retour d’expérience (vidéo), présentation de Christophe Renard de l’ANSSI à l’OSSIR le 10 novembre 2020.