Les cabinets d’avocat sont particulièrement concernés par la question de la protection des données confidentielles : multiplication des cyberattaques, observation du secret professionnel, mise en conformité au RGPD… Les professionnels du droit doivent donc aujourd’hui davantage prêter attention aux nouveaux aspects de la cybersécurité. Toutefois, les cabinets d’avocat sont encore loin de disposer des stratégies nécessaires pour assurer la protection efficace des données sensibles de leur clients et collaborateurs.

Il existe des disparités dans le monde quant à la protection des informations au sein des cabinets d’avocat. Ainsi, aux Etats-Unis, la réglementation sur la sécurité des données n’est pas centralisée et n’englobe pas spécifiquement les cabinets d’avocat et préfèrent les mentionner sous des noms plus génériques. En France et dans l’Union européenne, le Règlement général sur la protection données (RGPD), entré en vigueur en mai 2018, encadre précisément le traitement et le devoir de protection des données personnelles par les acteurs auxquels ils ont été confiés, dont les cabinets d’avocat.

On parle de risque de partie tierce quand une organisation fait appel à des services extérieurs et les invite dans son réseau ou leur fournit un accès à des informations confidentielles. La plupart des organisations ne prennent pas suffisamment de mesures pour éviter ce type de risque, d’autant plus dans le domaine juridique, souvent négligé par les équipes IT, ce qui a pour effet de sensiblement augmenter les cyber-risques.
Une meilleure protection des postes de travail est nécessaire tant que les ransomwares continueront d’être une menace pour les cabinets d’avocat, quelle que soit leur taille. Quand il est question de droit d’accès, ces derniers doivent être considérés comme n’importe quel intervenant externe, ce qui induit la mise en place d’un système de protection adéquat, tant pour le cabinet que pour le client.

Cabinets d’avocat moyens et technologies obsolètes

Un grand nombre de cabinets d’avocats manquent des connaissances et des ressources informatiques nécessaires. En effet, ils utilisent encore des outils et des technologies obsolètes, ou ignorent systématiquement les mises à jour et patchs de sécurité délivrés par leurs fournisseurs technologiques. Ces types d’environnement sont des cibles de choix pour les hackers.

Par exemple, dans l’affaire des Panama Papers, l’entreprise Mossack Fonseca avait subi une attaque sous la forme d’une injection SQL sur l’un de ses sous-domaines qui fournissait l’accès à un système de gestion de contenu, dont la vulnérabilité connue n’avait jamais été corrigée par l’entreprise. Par conséquent, les hackers ont pu récupérer les identifiants sur une base de données, laissée sous forme de texte en clair par la sécurité de Mossack Fonseca.

Sans les ressources en sécurité nécessaires à la protection des informations personnelles de leurs clients, non seulement les cabinets d’avocat remettent en cause leur capacité à se conformer aux règles de conduite éthique et réglementaire, mais ils deviennent également vulnérables à une cyberattaque potentiellement dévastatrice.

Importance de la sécurité des accès à privilèges

L’une des stratégies les plus répandues parmi les utilisateurs internes malveillants et les cybercriminels externes consiste à obtenir un accès à privilèges pour mener une cyberattaque. Les accès à privilèges sont partout : dans chaque machine reliée au réseau, chaque base de données, chaque application, chaque serveur sur site et dans les environnements cloud et hybrides. En outre, la quasi-totalité des cyberattaques sophistiquées impliquent la compromission d’identifiants à privilèges. Lesquels offrent la capacité de contrôler les ressources d’une organisation, de désamorcer les systèmes de sécurité et de faciliter l’accès à des informations sur les clients et autres données sensibles. Entre de mauvaises mains, l’accès à ces données peut provoquer d’importants dégâts et compromettre des données sensibles, telles que les opérations commerciales, les informations confidentielles sur les contrats, les données de santé ou brevets.

Afin de contenir les risques d’une cyberattaque, les cabinets d’avocat doivent par conséquent adopter un système proactif de sécurité, qui répond spécifiquement aux risques liés à la divulgation de leurs accès à privilèges. Par exemple, quand un service informatique autorise l’accès à son réseau à un acteur juridique externe, il va souvent délivrer des mandats qui requièrent qu’il maintienne d’étroits contrôles sur les accès à privilèges et qu’il mette en place de robustes capacités d’audit afin d’assurer l’intégrité et la protection des données confidentielles qui leur sont confiées.

Sécuriser les données, c’est aussi soigner son image

De nombreux facteurs contribuent à fragiliser la sécurité informatique d’une entreprise, tels que les accès trop étendus aux ressources disponibles sur le réseau, le manque de formation du personnel formé ou encore des budgets informatiques limités. Beaucoup de PME ne comptent qu’une poignée d’employés dans leurs équipes IT, s’ils en ont une ; et avec le nombre incalculable de solutions de sécurité disponibles sur le marché, établir une stratégie de cybersécurité peut se révéler être une tâche décourageante, même pour une équipe bien formée. Mettre en priorité les risques liés à la cybersécurité afin de mieux s’aligner avec ses ressources disponibles s’avère efficace pour optimiser le travail d’une équipe IT réduite. Les entreprises doivent donc évaluer les outils de sécurité existants, en se basant sur leur capacité à minimiser le risque d’attaque avec un faible coût initial et d’entretien.

Il est primordial que les cabinets d’avocat sécurisent les données confidentielles de leurs clients, et, pour y parvenir, contrôlent étroitement les accès à privilèges de leurs réseaux. L’idéal serait un outil flexible, fiable et facile à mettre en place et à gérer quotidiennement ; qui fournirait une façon simple un stockage en toute sécurité, alternerait et isolerait les identifiants, surveillerait les sessions d’activité et assurerait rapidement à l’entreprise la réduction du cyber-risque.