Nouvelles

Attaque cybernétique : le nouveau défi des cabinets

Main image

Delphine Jung

2019-10-30 10:15:00

Les cabinets d'avocats se doivent de protéger les renseignements confidentiels de leurs clients. Mais les risques d'intrusion cybernétique et de piratage sont-ils toujours pris au sérieux?
 Michael Sugrue, le président chez Pace technical. Photo : LinkedIn de Michael Sugrue
Michael Sugrue, le président chez Pace technical. Photo : LinkedIn de Michael Sugrue
Plus ou moins, répond Michael Sugrue, le président chez Pace technical, une entreprise ontarienne spécialisée dans la protection des données des entreprises.

« Beaucoup croient à tort qu'elles n'ont besoin que d'outils de sécurité pour se protéger. Cependant, malgré l'installation d'un pare-feu, d'un antivirus et des sauvegardes, nous entendons encore parler d'attaques tous les jours », dit-il.
« La plupart des cabinets d'avocats prennent le risque au sérieux, mais bon nombre d'entre eux ne sont pas bien informés sur la bonne façon d'atténuer ces risques. Ils ont recours à un service TI ou ont des ressources internes en TI et pensent qu'ils sont protégés. Malheureusement, la plupart d'entre eux ne disposent pas d'un véritable processus proactif de gestion informatique, ce qui les rend vulnérables », poursuit-il.

Des proies de choix

 Austin Berglas, ancien directeur de la branche cybernétique du FBI à New York et aujourd'hui responsable mondial des services professionnels de la société de cybersécurité BlueVoyant. Photo : Site Web de BlueVoyant
Austin Berglas, ancien directeur de la branche cybernétique du FBI à New York et aujourd'hui responsable mondial des services professionnels de la société de cybersécurité BlueVoyant. Photo : Site Web de BlueVoyant
Les cabinets d'avocats, de par les renseignements dont ils disposent sur leurs clients, font partie des proies de choix pour les pirates informatiques. Aux États-Unis, un article du Law.com rapporte qu'une centaine de cabinets d'avocats américains ont été victimes d'attaques cybernétiques depuis 2014, et ce chiffre augmente d'année en année.

Austin Berglas, ancien directeur de la branche cybernétique du FBI à New York et aujourd'hui responsable mondial des services professionnels de la société de cybersécurité BlueVoyant, explique que les cabinets représentent des « guichets uniques. Et parce que le succès des cabinets d'avocats est souvent lié à leur réputation de préserver le secret professionnel, ils peuvent être plus enclins à payer les pirates s'ils sont victimes d'une rançon ».
« De nombreuses entreprises qui ne sont pas correctement protégées perdent des milliers d'heures facturables en raison du temps que cela va mettre à l'entreprise informatique de récupérer les données ou au cabinet de payer une rançon (demandée par les pirates informatiques) », explique Michael Sugrue.

 Le procureur du district sud de New York, Preet Bharara. Photo : Twitter de Preet Bharara
Le procureur du district sud de New York, Preet Bharara. Photo : Twitter de Preet Bharara
Le procureur du district sud de New York, Preet Bharara, a aussi récemment déclaré : « vous (les cabinets, NDLR) êtes et serez la cible de piratage informatique parce que vous possédez des renseignements précieux pour les criminels ».

Malheureusement, beaucoup de cabinets semblent estimer que la cybersécurité est un coût qui a une incidence sur leurs profits. Toujours d'après Pace Technical, la situation est en train de changer, puisque les cabinets d'avocats dépensent environ 2 % de leurs revenus pour la cybersécurité.

M. Surgue leur conseille de certes, avoir de bons par-feu et de bons antivirus, de vérifier régulièrement les systèmes installés, de faire des mises à jour, mais aussi d'« éduquer » les utilisateurs, donc les employés.

« L'ingénierie sociale, qui consiste essentiellement à amener un utilisateur à faire quelque chose qu'il ne devrait pas faire, a été un moyen très efficace utilisé par les cybercriminels. Même une formation de base pour les utilisateurs sur l'identification des courriels suspects peut réduire considérablement les risques pour une entreprise », explique-t-il.

 Claudia Rast, chef du groupe cybersécurité de Butzel Long et membre du groupe de travail juridique sur la cybersécurité de l'American Bar Association. Photo : Site Web de Butzel Long
Claudia Rast, chef du groupe cybersécurité de Butzel Long et membre du groupe de travail juridique sur la cybersécurité de l'American Bar Association. Photo : Site Web de Butzel Long
Les cabinets ne doivent pas non plus négliger les coûts associés à la défense d'une poursuite intentée par un client ou d'un recours collectif victimes du piratage du cabinet.

Aux États-Unis par exemple, déjà en 2017, les formulaires fiscaux d'une centaines d'employés - actuels et passés - de Jenner & Block ont été dérobés, exposant leurs adresses privées, leur numéros d'assurance social et leurs informations salariales. Au total, 859 personnes ont été concernées par cette faille.

Comment ? Tout simplement car des employés avaient répondu à une demande par courriel de la direction qu'ils croyaient être légitime. Le hameçonnage est d'ailleurs la principale technique utilisée pour infiltrer les réseaux des cabinets.

Des cabinets discrets

« Les cabinets d'avocats sont assez discrets sur la façon dont ils signalent les atteintes à la protection des données », déclare Claudia Rast, chef du groupe cybersécurité de Butzel Long et membre du groupe de travail juridique sur la cybersécurité de l'American Bar Association.

DLA Piper, par exemple, a été victime d'une importante cyberattaque à l'été 2017, qui a détruit des téléphones et des ordinateurs dans toute l'entreprise. Un porte-parole du cabinet a assuré à Law.com qu'« aucune donnée client n'a été volées. »

 Danielle Miller Olofsson, la cheffe de la protection de la vie privée et du savoir au cabinet. Photo : Site Web de BCF
Danielle Miller Olofsson, la cheffe de la protection de la vie privée et du savoir au cabinet. Photo : Site Web de BCF
Contacté par Droit-inc pour savoir comment, depuis cet événement, le cabinet - du moins sa branche montréalaise - protège les données de ses clients, le cabinet n'a pas retourné nos appels.

Chez BCF, on assure prendre ce risque au sérieux. « La protection des données de nos clients et de nos employés est une priorité pour notre équipe TI. Nous faisons aussi appel à des conseillers externes », dit Danielle Miller Olofsson, la cheffe de la protection de la vie privée et du savoir au cabinet.

« Ce ne sont pas des exercices ponctuels, cela fait partie d'un calendrier de vérifications précis. On apprend à nos avocats à bien réagir et à adopter les bons réflexes », ajoute-t-elle.

À sa connaissance, BCF n'a jamais été victime de tentative d'intrusion malveillante. Au Canada, les entreprises qui tombent sous l'égide de la loi fédérale sont tenues d'informer leurs clients que leurs données ont été compromises. À celles-ci, elle conseille la coopération. Le seule moyen selon elle d'espérer sauver la réputation de l'entreprise.
4086
Publier un nouveau commentaire
Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires