Baker Tilly Canada
Close
Lawyers Alert
Perspectives

Gain et avantage : protégez votre cabinet juridique contre les brèches de sécurité

27 avr. 2017

Les brèches de cybersécurité peuvent apparaitre comme un problème distant pour les cabinets juridiques quand il y a plusieurs engagements de clients en branle, et quand les attaquants semblent viser seulement les gros noms comme Google et Yahoo. Mais, imaginez-vous les scénarios suivants et la menace devient visible :

  • Un membre d'un cabinet juridique trouve un disque flash avec le logo de l'entreprise sur le sol à l'extérieur des bureaux de la société. Voulant se rendre utile en redonnant le disque à son propriétaire, la personne l'insert dans un ordinateur – et, à son insu, elle télécharge une vague de logiciels malveillants qui ouvrent la porte du réseau du cabinet aux pirates informatiques.
     
  • Un soir, alors qu'un membre du service de TI du cabinet travaille tard, il reçoit l'appel d'une personne désemparée et à l'air furieux prétendant être une associée de la société, elle dit qu'elle ne peut pas accéder au système et qu'elle a besoin de changer son mot de passe tout de suite. L'employé des TI est tellement intimidé qu'il collabore – et ne se rend pas compte du fait que son interlocutrice est réellement une pirate informatique utilisant l'ingénierie sociale pour forcer le système.
     
  • Un employé mécontent utilise un disque flash pour télécharger quelques dossiers cruciaux dévoilant la stratégie de traitement de litige dans une cause importante, et ce, dans l'optique de vendre des informations vitales à l'avocat adverse dans ce litige.

    Ces situations hypothétiques sont totalement vraisemblables pour beaucoup de cabinets juridiques actuels. Pourtant, la cybersécurité est un sujet dont beaucoup de cabinets juridiques sont réticents à discuter; en partie parce qu'elle réside en dehors de la zone des opérations, et en partie parce qu'ils pensent que cela pourrait représenter un trou noir pouvant drainer le temps et les ressources de la direction.

Cela dit, vu le nombre de grands titres qui paraissent à propos de géants technologiques victimes d'attaques de pirates, certains clients s'inquiètent de plus en plus à savoir si leurs secrets sont en sécurité dans leur cabinet juridique. Les sociétés qui prennent des mesures – et qui peuvent montrer qu'ils l'ont fait – peuvent accroitre la confiance de leurs clients en étant proactives à ce sujet.

Beaucoup de cabinets juridiques ont un faux sentiment de sécurité. Ils pensent que, puisqu'ils ne détiennent pas de banques de numéros de carte de crédit de clients, ils ne constituent pas une cible pour les pirates. Néanmoins, les cabinets juridiques sont vraiment des cibles attirantes pour plusieurs raisons :

  • Les cabinets détiennent de grandes quantités de données confidentielles – des documents de travail portant sur des argumentaires utilisés durant le procès, des manuscrits d'accords légaux ébauchés pour des clients, ainsi que de l'information personnelle sur la clientèle et sur les membres de l'entreprise.
     
  • Ils détiennent des fonds en fiducie pour des clients.
     
  • Ils doivent maintenir une réputation de fiabilité, ce qui les rend particulièrement vulnérables à l'extorsion par des rançongiciels, grâce auxquels le pirate peut paralyser l'ordinateur d'une société jusqu'au paiement d'une rançon.

Mais, la raison sans doute la plus manifeste qui fait des cabinets des cibles aussi attirantes est le fait que si peu d'entre eux prennent des mesures de sécurité efficaces. Une étude de l'International Legal Technology Association a démontré un faible niveau de sécurité parmi les cabinets juridiques et a révélé certaines statistiques alarmantes :

  • 86 % des cabinets n'utilisent ou n'exigent pas l'authentification à deux facteurs
  • 78 % n'utilisent pas des clés USB encodées
  • 76 % n'encodent pas automatiquement les courriels de contenu
  • 58 % n'encodent pas les ordinateurs portables
  • 87 % n'utilisent pas de technologie de pistage pour les ordinateurs portables
  • 61 % n'ont pas d'outils de détection d'intrusion

Du temps a passé depuis cette étude, mais il est peu probable que la situation ait beaucoup changée, malgré les nombreux cas rapportés d'intrusions et de vols de données dans beaucoup d'organisations. Un rapport paru dans le Globe and Mail recensait au moins sept cabinets juridiques ayant été la cible de cyberattaques, liées à des ordinateurs en Chine, visant à trouver de l'information sur une prise de contrôle avortée.

Deux lignes de défense : humaine et technique

Comme dans toute autre organisation, il y a deux aspects à la sécurisation du réseau d'un cabinet juridique contre les intrusions hostiles : 1) la connaissance et la vigilance humaine, et 2) une protection technique complète.

La connaissance et la vigilance humaines requièrent l'instauration d'une culture qui considère la sécurité comme une priorité élevée et qui rend tous les membres de l'entreprise conscients des menaces et des mesures à prendre à ce propos. Cette stratégie est importante parce que les menaces courantes dépendent lourdement du manque de vigilance des gens et du fait de prendre des raccourcis, comme l'utilisation d'un appareil mobile qui ne requiert pas un mot de passe.

Au mieux, les solutions émergent d'une éducation fréquente décrivant les menaces, leurs conséquences et ce qu'il faut faire à leur sujet. Cette éducation peut se donner dans des séances régulières d'information, par exemple dans des évènements du type « dine et apprend ». L'éducation en ligne obligatoire pour les employés, avec un test à la fin qu'ils doivent réussir, pourrait également s'avérer efficace.

Le plan d'éducation devrait contenir de l'information pratique selon la formule « si... alors... » – par exemple : « Si vous ne reconnaissez pas l'adresse de courriel, alors n'ouvrez pas les pièces jointes. » De même, la protection technique doit être maintenue constamment à jour. L'installation de pare-feux efficaces et le fait de procéder à des tests de pénétration ne représentent qu'une partie du processus. La majeure partie de la solution technologique doit inclure des procédures et des protocoles, dont l'exigence d'une protection par mot de passe sur les ordinateurs portables et sur les appareils mobiles, et ce, sans égard pour le rang de l'associé et peu importe combien il se plaint du temps que cela prend pour taper le mot de passe à chaque fois.

De cette manière, les composantes « humaine » et « technique » des mesures de sécurité se complètent mutuellement.

Les cabinets juridiques peuvent s'attendre à une hausse continue de la vigilance de la clientèle sur ces questions. Les clients voudront s'assurer que l'information relative à leur cause est sécurisée, incluant leur propriété intellectuelle, leurs brevets et les paramètres de règlement du litige.

Les cabinets juridiques ont trois priorités clés à cette enseigne :

  1. Analyser les vulnérabilités qui affectent les cabinets, comme l'utilisation répandue d'appareils mobiles par les membres du cabinet sans l'exigence d'une protection au moyen d'un mot de passe.
     
  2. Consulter les conseillers professionnels appropriés pour obtenir de meilleurs conseils sur les stratégies disponibles afin de protéger les données du cabinet et des clients contre l'intrusion et le vol.
     
  3. Documenter les mesures adoptées, incluant celles qui instaurent une culture qui considère la protection des données comme une priorité élevée.

Il s'agit là des plus importantes étapes pour rassurer les clients et les clients potentiels sur le fait que leurs intérêts sont protégés.

Deepak Upadhya, MSC, CISA, est le vice-président, gestion du risque et analytique, au bureau de Collins Barrow à Toronto.
Michael Nicoló, CPA, CA, CPA (Illinois), est le chef des services du cabinet juridique du bureau de Collins Barrow à Toronto. 

Vous voulez contacter Deepak ou Michael?
Communiquez par courriel à {encode="ddupadhya@collinsbarrow.com"} ou à {encode="mnicolo@collinsbarrow.com"}.

 

Des solutions à portée de main
Partout où vous avez besoin de nous.
Se connecter