Le rapport d'audit du Réseau Privé Virtuel Avocats (RPVA) vient d'être remis au Conseil national des barreaux

• En effet, il constate, après analyse des trois systèmes, que le réseau mise en place par le Conseil national constitue la solution répondant le mieux aux exigences de sécurité informatique des cabinets d’avocats.

• En outre, le rapport met en lumière que le RPVA est la solution la plus adaptée aux besoins et aux exigences des petits cabinets d’avocats, représentant 70% des déploiements : à cet égard, le rapport d’audit confirme la vocation du Conseil national à être le maître d’oeuvre d’un réseau national.

• Enfin, l’audit confirme que, s’agissant de répondre à une exigence de sécurité optimale et d’offrir un ensemble associé de services aux utilisateurs, la solution du Conseil national représente une solution économique satisfaisante.

Le Conseil national des barreaux prend acte des conclusions et des recommandations émises par le rapport.

• A cet égard, il constate que ces dernières correspondent aux initiatives du Conseil national notamment en matière de formation et d’information des utilisateurs

• Il rappelle son attachement à la mise en place d’un outil informatique destiné aux avocats, bénéficiant d’un niveau maximal de sécurité et de services associés.

Cet outil constitue un atout fondamental pour la profession d’avocat face à des évolutions imposant un niveau accru de sécurité et de fiabilité informatiques.

AUDIT DU RESEAU PRIVE VIRTUEL AVOCATS
Présentation synthétique du rapport
commandité par la Conférence des Bâtonniers
10 juin 2010

Exposé des motifs

Rappel des tentatives antérieures

• Depuis les années 2000 se pose la question de la sécurité des réseaux numériques dans le cadre des relations qu’entretiennent les avocats avec les juridictions et avec leurs confrères.

• Cette exigence de sécurité a été croissante à mesure que les données communiquées ont excédé le cadre de la simple correspondance professionnelle et ont consisté, à l’incitation du gouvernement, en des transferts de pièces ou de dossiers de procédures, notamment pénales.

Rappel de l’accord avec la Chancellerie

• La conception et le déploiement du RPVA sont issus de la volonté gouvernementale d’instaurer une gestion simplifiée et moins coûteuse des procédures.

• Le 4 mai 2005, le Ministère de la Justice a signé avec le Conseil national des barreaux une convention lui donnant mission de mettre sur pied un réseau informatique visant à « l’échange (…) des données utiles à la gestion des procédures civiles et pénales » .

• Cette convention a été renouvelée en 2007. A ce jour, le Conseil national demeure seul investi par la Chancellerie du déploiement national de cet outil.

Exécution

• Le RPVA a déjà fait l’objet de plusieurs vagues de test et de déploiement partiel à partir de 2005. Le déploiement national a pris de l’ampleur à partir de 2007.

Offres concurrentes

En dehors du RPVA, aucune offre nationale n’est à ce jour disponible. Aucune extension du système parisien, ou a fortiori du système marseillais, n’est à ce jour prévue.

Sécurité informatique et profession d’avocat

L’avocat est naturellement en droit d’attendre dans la protection de son système propre le niveau de sécurité auquel tout utilisateur peut prétendre. Toutefois, ce niveau de sécurité n’est pas suffisant :

• Sa sécurité doit être optimale afin qu’il n’occasionne aucun dommage envers l’administration de la justice ni envers ses confrères.

• Le caractère sensible de ses activités fait de lui une cible privilégiée pour des intrusions délibérées et ciblées dans son système, plus élaborées que la malveillance numérique commune.

1. L’audit des trois systèmes rend manifeste que l’offre du Conseil national des barreaux constitue la solution répondant le mieux aux exigences de sécurité.

• L’audit des offres disponibles confirme que le RPVA présente le niveau de sécurité le plus exigeant, au sein des offres actuellement disponibles :

« L’utilisation des clés Navista, si elles sont bien gérées, renforcent effectivement la sécurité puisqu’elle impose au pirate de tromper un système qui est bien indépendant. » ¹ (p. 15)
« Pour la sécurité des échanges électroniques par un cabinet d’Avocat, le Barreau de Marseille estime que la sécurité de sa liaison et l’authentification de l’avocat par la clé USB délivrée par le Conseil national des barreaux sont conformes aux textes en vigueur. » (p. 16)

• Le rapport d’audit souligne le caractère potentiellement dommageable de fichiers en apparence anodins :

« Les techniques actuelles d’attaque passent par l’intégration de contenu malveillant dans les documents (en ce moment 50% des attaques relayées par document le sont par des PDF) […] » (p. 20)

• L’audit des trois systèmes souligne le caractère manifestement insuffisant de dispositifs plus légers que le RPVA :

« Ce dispositif HTTPS plus Certificat d’authentification n’est pas inviolable. Des attaques sont possibles, elles nécessitent des moyens importants (plusieurs jours d’expert).
Elles laissent aussi des traces sur les serveurs si les moyens de surveillance adéquats ont été mis en place et sont exploités. Ces traces permettent de valider ou d’invalider une éventuelle contestation de l’authentification.

L’amélioration mise en place par le Conseil national consiste à encapsuler le canal HTTPS au sein d’un tunnel VPN. Si le VPN est bien constitué, cette amélioration rend la communication quasiment « inviolable ». Elle introduit aussi une séparation des clés : la clé RSA du VPN sert à sécuriser le transport, la clé du certificat sert à sécuriser l’authentification. » (p. 42)

• Cet audit, resituant le débat technique dans une perspective économique, souligne enfin que l’exigence du RPVA en matière de sécurité répond aux grands enjeux de compétitivité auxquels la profession doit faire face :

« La bonne utilisation des outils documentaires peut permettre de gagner en sécurité et en productivité. Elle permettrait à la profession d’avocats de rester compétitive par rapport aux évolutions du paysage juridique français et européen.
Des solutions techniques sont envisagées par le Conseil national pour couvrir certaines des préoccupations de la sécurité des données […]. » (p. 44)

2. En indiquant que le RPVA est une solution adéquate aux exigences et aux besoins des petits cabinets, soit « 70% des déploiements », le rapport d’audit confirme la vocation du Conseil national des barreaux à être maître d’oeuvre d’un réseau national pour les avocats.

• Le rapport d’audit souligne que le RPVA est une solution adéquate pour les petits cabinets :

« Dans ce contexte, le boitier NAVISTA présente un intérêt pour les petits cabinets d’avocats qui souhaitent disposer d’un accès distant et sécurisé à leur serveur de fichier. » (p. 21)

• Or ces petits cabinets, le plus souvent hors de Paris, représentent une part largement majoritaire dans le déploiement du RPVA :

« Compte tenu du morcellement de la profession, les petits cabinets représentent de l’ordre de 70% des déploiements. » (p. 21)

• Le rapport d’audit détaille le gain que représente le RPVA pour les cabinets d’avocats, et notamment pour les petits cabinets à la fois en termes de sécurité, de service et de coûts :

« La maintenance centralisée par NAVISTA du firewall-VPN est un réel service apporté par la solution du Conseil national des barreaux. Elle permet au cabinet d’avocat d’avoir son matériel suivi par une hotline spécialisée et mis à jour des derniers correctifs de sécurité. II intéresse les petits cabinets qui souhaitent accéder à distance à leur cabinet et qui souhaitent économiser le suivi par un prestataire informatique. La maintenance NAVISTA lui assure les dernières mises à jour et le service support lui reparamètre le routeur si sa configuration était amenée à évoluer. Alors que c’est le critère de la sécurité des échanges avec e-barreau qui a été mis en avant par le Conseil national des barreaux pour prescrire le boîtier RSA, c’est l’angle du service pour les petits cabinets qui émerge comme la véritable valeur ajoutée potentielle du RSA. » (p. 33)

• Le rapport d’audit est catégorique quant à l’intérêt du RPVA tel qu’il est conçu pour les cabinets de moindre taille

« Le profil du cabinet intéressé est ainsi un petit cabinet, possédant quelques postes avec un serveur de fichier, connectés à Internet par la « box » livrée par le Fournisseur d’Accès Internet. Il aurait déjà mis sous contrôle sa sécurité informatique, avec des principes organisationnels, la gestion des documents électroniques, la gestion des installations de supports et de logiciels, la gestion des profils, la gestion des mots de passe, la gestion des mises à jour, le paramétrage de la « box », l’utilisation de télé-services (dont télésauvegarde et courrier électronique) de qualité, etc.
Pour améliorer sa sécurité, il prendrait l’option de ne pas transformer son réseau local parce que son informatique locale ne change par significativement et qu’il passe de plus en plus par de téléservices. Ainsi, il pourrait se dispenser de passer par un prestataire informatique pour le réseau local et mettrait l’accent de l’amélioration de la sécurité sur le niveau de sa connexion Internet et des téléservices qu’il utilise.
Dans ce scénario, le choix de passer par le routeur NAVISTA et les télé-services qu’envisage de développer CNB.COM peut avoir une justification technique et économique. La proximité de CNB.COM avec la profession faciliterait la démarche et réduirait le coût de transaction pour le cabinet. » (p. 45)

3. L’audit confirme que, pour une exigence de sécurité optimale, la solution du Conseil national des barreaux représente une bonne solution économique

• L’audit souligne qu’il est impossible de comparer des offres tarifaires correspondant à des prestations de natures inégales :

« Le Conseil national des barreaux justifie [le] surcoût par un service rendu sur les points suivants :

• la sécurisation renforcée de la liaison,

• la sécurisation du réseau local du cabinet,

• la sécurisation du poste de travail de l’avocat,

• l’accès sécurisé aux boîtes aux lettres avocat-conseil.fr,

• l’extension à de nouveaux services,

• la simplicité d’installation sur les postes de travail du cabinet,

• la maintenance centralisée d’un firewall-VPN. » (pp. 32-33)

Le prix de 900 € sur 3 ans que coûtera la solution Navista pour un cabinet, est du même ordre de grandeur qu’un routeur haut de gamme qui intègre des filtres de contenu mis à jour quotidiennement et avec une maintenance 24/7. » (p. 44)

• Toutefois, le rapport d’audit propose de comparer le tarif mensuel des prestations proposées par le Conseil national des barreaux, le barreau de Paris et le barreau de Marseille. Ces tarifs n’intègrent pas le « surcoût » (p. 32) et s’entendent au regard du nombre d’avocats concernés.

• Pour le Conseil national des barreaux,

« Par avocat et par mois, le coût moyen est de 14 € en 2010 et de 8 € à partir de 2012. » (p. 29)

• Pour Paris,

« Pour 4000 avocats, il revient à 1,87€ par avocat et par mois » (p. 30)

• Pour Marseille,

« Dimensionnée pour 1000 avocats dotés de la clé e-Barreau, la solution revient à 1,29€ HT par avocat et par mois ». (p. 31)

Conclusion : point d’avancement sur le déploiement du RPVA au regard des recommandations du rapport d’audit.

• Les recommandations formulées par le rapport d’audit correspondent aux phases de déploiement du RPVA telles que planifiées par le Conseil national des barreaux.

A. Le Conseil national des barreaux a d’ores et déjà envisagé le renforcement de la maîtrise contractuelle de sa relation avec la société NAVISTA.

• Le rapport d’audit reconnaît la possibilité prévue par le Conseil national et par NAVISTA de délier leur relation en cas de défaillance :

« La convention avec NAVISTA prévoit, en son article 10, la substitution d’un tiers en cas de défaillance grave de NAVISTA. » (p. 39)

• Toutefois,

« le périmètre de la reprise (…) et ses modalités sont imprécises dans le contrat » (p. 39)

• C’est pourquoi, tout en rappelant que la dépendance à l’égard d’un prestataire unique est le lot de tous les utilisateurs de prestations informatiques et techniques, le Conseil national des barreaux mettra en oeuvre un processus contractuel et technique destiné à garantir la réversibilité du RPVA, c’est-à-dire la reprise du RPVA par un nouveau prestataire en cas de défaillance de NAVISTA.

B. Le Conseil national des barreaux s’engage à ce que le protocole utilisé par NAVISTA soit certifié par l’Agence nationale de sécurité informatique avant la fin de l’année.

• Le rapport d’audit note que : « le protocole NTS de NAVISTA a fait l’objet d’une déclaration mais n’a pas encore été soumis à la certification » (p. 15)

• Selon le rapport d’audit, cette absence de certification ne remet pas en cause directement le niveau supérieur de sécurité offert par NAVISTA :

« A ce jour, NAVISTA n’a présenté aucun élément de certification, tant sur le protocole que sur l’intégration des composants informatiques ou l’organisation de gestion des boitiers qu’elle met en place. Cela nous semble plus une affaire de priorité dans l‘agenda de NAVISTA qu’une faille structurelle de NAVISTA » (p. 48)]l

• Toutefois, il importe que le protocole NTS obtienne la certification de l’ANSSI : c’est le sens des démarches engagées par NAVISTA et le Conseil national des barreaux, et qui aboutiront avant fin 2010.

C. Le Conseil national des barreaux est engagé dans l’intensification de sa mission d’information et de formation des usagers du RPVA.

• Le rapport d’audit note que :

  « l’organisme CNB.COM s’impose comme un partenaire incontournable des cabinets d’avocats. Il s’appuie sur des prestataires informatiques pour déployer son dispositif mais ne leur donne pas toujours les directives et les moyens de valoriser ce service. » (p. 37)

• Conscient de cette dimension de formation et information, le Conseil national des barreaux souhaite compléter l’offre technique et la formation à l’usage d’e-barreau par une campagne plus large de sensibilisation des avocats aux procédures et aux pratiques permettant d’optimiser l’usage du RPVA et de limiter les erreurs humaines ou les comportements risqués.

¹ L’exactitude des citations du rapport a été scrupuleusement préservée, y compris dans la formulation et l’orthographe.

   Avocats : accédez au rapport d’audit réalisé par Monsieur Nathan Hattab, expert en informatique près la Cour d’Appel de Paris (pdf)
La consultation de ce document est réservée aux avocats. Il ne doit en aucun cas faire l'objet d'une diffusion ou d'une réutilisation en dehors du strict cadre de la profession