Permettre aux cabinets d’avocats de garder une longueur d’avance sur les cyberattaques

Les menaces en ligne sont de plus en plus répandues et sophistiquées. Ainsi, plus de 3 800 violations de données ont été signalées au cours du premier semestre 2019. Nos propres recherches ont fait état d’un peu moins de 4 millions d’attaques DDoS observées au cours de la même période. C’est pourquoi toutes les entreprises — en particulier les cabinets juridiques — devraient se montrer vigilantes.

Ces cabinets sont une cible de choix pour les cybercriminels en raison des informations très sensibles et confidentielles qu’ils conservent à propos de leurs clients. Soumis au Règlement Général pour la Protection des Données (RGPD) depuis mai 2018, ils doivent respecter les normes du Conseil National des Barreaux lorsqu’ils élaborent des procédures de sécurité en ligne. Ils devraient par ailleurs former l’ensemble de leur personnel à reconnaître les menaces et à protéger les données à tout prix. A l’instar de toute organisation qui gère des données sensibles, chaque cabinet victime d’une cyberattaque doit en effet réagir rapidement afin de réduire au minimum les risques et la responsabilité.

Le paysage moderne des menaces

Les cyberattaques prennent de l’ampleur, comme nos dernières recherches l’ont également démontré. En effet, les nouveaux vecteurs d’attaque en ligne sont exploités en seulement cinq jours, laissant peu de temps aux entreprises pour appliquer des correctifs leur permettant de s’en défendre.

Les acteurs malveillants qui mettent la main sur ces outils peuvent cibler n’importe quelle entreprise qui semble attrayante – et les cabinets juridiques figurent souvent en tête de liste. Les résumés d’affaires, les dossiers d’audience et autres documents confidentiels qui se trouvent dans les bases de données du cabinet constituent un véritable « buffet virtuel » dans lequel un pirate qui veut en découdre peut se servir « à volonté ». Ces documents peuvent se révéler particulièrement intéressants pour les adversaires qui ont un intérêt stratégique dans une opération de fusion ou d’acquisition sur laquelle le cabinet conseille un client. C’est pourquoi, avant de pouvoir conseiller leurs clients en matière de cybersécurité, les avocats doivent comprendre ces questions eux-mêmes ; ce qui n’est évident de prime abord face aux nombreuses conséquences commerciales inhérentes à chaque violation. Toutefois, ces dernières années ont vu de nombreux cabinets français apporter un accompagnement en cybersécurité à leurs clients, ce qui laisse présager de bonnes pratiques en place au sein des firmes.

De plus les avocats peuvent s’appuyer sur des ressources extérieures à la profession juridique, en adaptant les règles et les cadres généraux à leurs propres besoins. Des groupes comme l’Organisation internationale de normalisation (ISO), ou encore les certification de sécurité de l’Agence Nationale de la sécurité des systèmes d’information (ANSSI) contribueront notamment à cet effort.

Les cabinets devraient recourir à des approches consensuelles pour élaborer des programmes exhaustifs de sécurité de l’information. Une fois que ces procédures sont en place, chaque employé doit se montrer vigilant en permanence.

La meilleure attaque est une bonne défense

Les cabinets juridiques doivent former l’ensemble de leur personnel afin qu’il comprenne et reconnaisse les cybermenaces. La première étape consiste à mettre à jour les contrôles d’accès et les procédures d’authentification pour veiller à ce que les mots de passe soient aussi sécurisés que possible. Cela peut paraître simple, mais de nombreuses entreprises négligent encore cet aspect de la sécurité qui pourrait facilement donner à un intrus les clés d’un réseau tout entier.

Au-delà de ces solutions rapides, les cabinets doivent disposer d’une vue globale des cybermenaces à mesure que de nouveaux dangers apparaissent en ligne. Ils doivent faire appel aux technologies les plus récentes pour protéger les données, détecter les menaces et réduire les dommages en cas de cyberattaque.

Chaque cabinet a également besoin d’un protocole complet et personnalisé qui comporte des mesures de protection et propose une formation adéquate pour répondre aux préoccupations des employés. Les cabinets devraient faire évoluer ces règles pour les adapter aux mutations constantes du monde numérique.

Avec l’augmentation de la cybercriminalité, les cabinets juridiques sont des cibles de choix pour les pirates informatiques. Tous les cabinets doivent élaborer une politique de sécurité en ligne solide, en s’inspirant des outils mis à disposition par l’industrie. Sur le plan individuel, les employés devraient apprendre à reconnaître les menaces et à s’en prémunir.

Les cabinets peuvent également s’équiper d’outils pour protéger leurs données, car dans un monde où la cybersécurité est reconnue comme un risque majeur pour l’entreprise, cela les aidera à maintenir l’ordre dans la cour numérique.