Philippe Agazzi (CMS Francis Lefebvre) : « Nous avons été pionniers de la stratégie cloud »

Pouvez-vous nous présenter CMS Francis Lefebvre ?

CMS Francis Lefebvre est l’un des premiers cabinets d’avocats d’affaires français pluridisciplinaire et international. Le cabinet réunit en France 450 avocats dont 116 associés. Et, dans le monde, via notre réseau CMS, nous avons plus de 6 300 avocats répartis dans plus de 47 pays et 84 bureaux.

Nos avocats interviennent auprès de leurs clients en conseil, en transactionnel et en contentieux.

Le cabinet, qui fêtera ses cent ans l’an prochain, s’attache à faire vivre ses valeurs et ses engagements RSE à travers un plan d’actions porté par ses équipes et certifié par Ecovadis.

Du coup, comment est organisée l’IT ?

Je suis CIO de CMS Francis Lefebvre et j’occupe également les fonctions de Global Coordinator IT au niveau de CMS. Nous cherchons à standardiser nos solutions et nos process afin d’offrir un meilleur service à nos avocats.

Par exemple, nous avons signé un contrat cadre avec certains de nos grands fournisseurs (Microsoft, Deepl, Docusign…) au lieu que chaque pays négocie son propre contrat. Mon rôle, en tant que Global Coordinator IT, est de discuter avec chaque pays pour pousser des solutions globales standardisées.

En termes d’architecture, quels sont vos grands choix ?

Notre SI a une très forte adhérence à Microsoft. Nous avons adopté les solutions Microsoft Office 365, E5 et utilisons une instance Microsoft Azure. Nous avons également migré notre ERP vers Microsoft Dynamics ERP et notre CRM vers Microsoft Dynamics CRM. Plus généralement, l’ensemble de nos solutions métiers sont SaaS. Nous sommes un des premiers cabinets d’avocats à avoir choisi une stratégie Cloud First

En effet, nous estimons que la DSI doit apporter du service aux avocats, être en appui de leur métier, et ne pas gérer des infrastructures physiques.

L’activité du cabinet nous impose une approche rigoureuse de la cybersécurité et de la confidentialité.

Pour toutes les solutions que nous choisissons, nous avons donc toujours l’exigence d’un hébergement des données en France et proposant un chiffrement robuste et maitrisé.

Étant donnée la nature de notre activité et la confidentialité des données que nous confient nos clients, le réseau CMS est évidemment une cible prioritaire des réseaux de cyber-criminels.

Afin d’évaluer notre maturité, nos clients nous soumettent des questionnaires détaillés couvrant l’ensemble des domaines de la cybersécurité.

Auparavant, lorsqu’un client recourait au réseau dans plusieurs pays, il devait s’assurer du niveau de cybersécurité dans chacun d’entre eux.

Afin d’homogénéiser les mesures de cybersécurité au sein de l’ensemble des cabinets, les CISO des cabinets Français, Anglais et Allemand définissent une politique globale applicable.

Ce framework de sécurité, basé sur le standard CIS (Center for Internet Sécurity), s’applique à tous, quelle que soit la taille du cabinet.

Comment garantissez-vous la confidentialité des données face à des services en ligne grand public ou même des SaaS partagés, y compris Microsoft Office 365 ?

Il va de soi que des services comme ChatGPT ou la version publique du traducteur Deepl sont strictement interdits au sein du réseau CMS car les données sont envoyées aux Etats-Unis et utilisés par les éditeurs pour entrainer leurs modèles. Leur confidentialité ne peut être garantie.

Pour la traduction, nous disposons d’un contrat professionnel Deepl avec des clauses garantissant la confidentialité des données.

Comme évoqué précédemment, nous mettons en œuvre du chiffrement à différents niveaux et adoptons toutes les bonnes pratiques permettant de sécuriser les données de nos clients.

La confidentialité interne est liée au secret professionnel. Tout document n’est accessible que par l’équipe qui a créé ledit document.

Quels sont vos usages de l’IA et notamment de l’IAG (intelligence artificielle générative) ?

Nous avons en effet des projets en cours. Nous regardons ces technologies depuis longtemps mais il y a eu une accélération évidente depuis trois ans.

Au sein du réseau international, différentes initiatives ont été menées. Par exemple à un niveau global, nous testons Harvey, un outil d’IAG orienté juridique, reposant sur ChatGPT enrichi de sources de données juridiques qualifiées. En France, nous avons conclu un contrat global avec Lefebvre-Sarrut pour leur outil GenIA-L. Nous testons bien sûr Microsoft Copilot. Afin de proposer à nos utilisateurs un moteur de recherche documentaire pertinent et performant enrichi à l’IA, nous avons choisi le moteur de recherche Outmind

Ces dernières années, nous avons testé différentes solutions pour identifier la valeur nous pouvions en tirer. Nous avons constitué un groupe de travail qui va nous permettre de franchir une nouvelle étape en répondant à plusieurs questions : quels apports de l’IA pour les avocats, comment former les avocats à l’usage de l’IA, quel retour sur investissement, qu’est ce que l’IA pourrait apporter à nos clients…

Aux Etats-Unis, un avocat a été lourdement sanctionné pour avoir inclus dans ses conclusions les produits d’hallucinations. N’avez-vous pas de craintes en la matière ?

Cet avocat utilisait des produits grand public dont les sources ne sont pas identifiées. Avec les outils que nous utilisons, nous veillons à ce que les sources soient connues et maîtrisées afin, justement, d’éviter les hallucinations. Nous formons également l’ensemble de nos avocats à l’utilisation de ces outils.

Le métier de base de l’avocat est de prévoir un argumentaire en fonction de ce qu’il pense de la stratégie de son adversaire. L’IA, dans ce cadre, peut faire gagner du temps. De ce fait, on peut se demander si, demain, il y aura moins d’avocats ou plus de services.

Quels sont vos autres projets ?

En France, nous avons démarré un projet de certification ISO 27001 pour confirmer notre engagement en cybersécurité.

Nous menons également un projet de gestion documentaire pour améliorer le partage interne des documents.

Enfin, quels sont vos défis pour 2025 ?

Le premier est sans aucun doute de structurer notre démarche en matière d’intelligence artificielle.

Et il s’agit aussi de finir de structurer nos usages de la data (facturations, données clients…) pour mieux en tirer de la valeur afin de développer notre activité. Bien entendu, la couche cybersécurité devra demeurer une composante fondamentale.