Nouvelles
Les avocats dans les filets des hackers
Céline Gobert
2015-03-25 15:00:00
Que cherchent les pirates ? Comment vont-ils utiliser les informations dérobées dans les cabinets ? Comment les avocats peuvent-ils se protéger ? Droit-inc fait le point sur la question...
Il serait « réaliste » d’évoquer un chiffre similaire chez nous, selon l’expert Me Dominic Jaar, associé et leader national des Services de Gestion de l’Information chez KPMG, si tant est que l’on puisse réellement quantifier ou identifier toutes les attaques subies.
Les chiffres qu’indique KPMG pour l’année 2012 parlent d’eux-mêmes: les 2.5% de la perte de données informatiques, que ce soit dans le stockage ou la transmission d’informations, concernent le secteur juridique. Les causes majeures ? Sans surprise, à 63% il s’agit de hacking. À 11% de fraude et “d’ingénierie sociale”, autre nom pour parler d’escroquerie virtuelle.
Ce n’est pas étonnant lorsque l’on sait que les grands cabinets d’avocats possèdent des informations à très haute valeur pour le pirate: propriété intellectuelle, renseignements personnels sur les grandes entreprises clientes, ou encore détails sur de futures fusions et acquisitions. Le plus souvent, ce sont moins les firmes d’avocats que les grands groupes qu’ils représentent qui sont visés.
Deux branches du hacking
Il peut aussi s’agir de voler, comme nous l’explique Me Vincent Gautrais, avocat et professeur titulaire de la chaire en droit de la sécurité et des affaires électroniques à l’Université de Montréal, un volume massif de données personnelles afin de construire des profils, concernant aussi bien des personnes physiques que morales. Les hackers pourront par la suite vendre ces informations aux concurrents des cabinets concernés. Dans les deux cas, la finalité est la même: faire de l’argent.
La seconde forme de hacking se veut socio-politique : c’est « l’hacktivisme ». Les cabinets d’avocats sont la cible d’attaques en raison des clients qu’ils représentent: il s’agit de hacking « à visée sociale ».
Citons le cas médiatisé de l’équipe juridique du cabinet Puckett and Faraj, dont les courriels ont été révélés après qu’elle ait représentée un sergent qui a bombardé une ville d’Irak et tué 24 civils désarmés. Le cabinet d’avocats a été piraté par le collectif Anonymous pour dénoncer l’impérialisme américain et un système juridique qu’il juge corrompu. Rappelons également les attaques du site web du cabinet anglais Gallant Macmillan, après que les avocats soient partis en guerre contre le téléchargement illégal et Pirate Bay.
Fishing et secret professionnel
C’est ainsi que le cabinet Wallace & Pittman s’est fait dérober 300 000 dollars, montant que la banque a refusé ensuite de rembourser évoquant la « négligence » du cabinet, et exigeant via ce refus la définition d’une norme raisonnable de protection.
« L’éducation et la sensibilisation du personnel sont essentielles, commente Me Jaar. Comment 300 000 dollars peuvent-ils être transférés ainsi sans vérification ? Il y a des questions à se poser quant à la gouvernance en place au sein du cabinet.»
D’ailleurs, en cas de piratage, et en raison de son obligation de secret professionnel, dans quelle mesure l’avocat peut-il être tenu responsable ? « C’est la question à 1000 dollars ! », plaisante Me Gautrais.
En effet, seul l'article 26 de la Loi concernant le cadre juridique des technologies de l’information offre une maigre idée de la responsabilité des avocats; il dispose que « le prestataire est tenu, par des moyens technologiques convenus, d’en assurer la sécurité, d’en préserver l’intégrité, d’en protéger la confidentialité et d’en interdire l’accès aux personnes qui ne sont pas habilitées à le connaître ». Tout porte à croire, selon le professeur, que la jurisprudence viendra augmenter la responsabilité des avocats et offrir un meilleur encadrement. Ce sera, peut-être même, nécessaire.
Comment les cabinets peuvent-ils se protéger ?
Le maître mot et la solution universelle pour prévenir toute forme de piratage est la documentation, explique Me Gautrais. « Les bureaux d’avocats doivent mettre en place des procédures qui expliquent aux avocats comment les données sont conservées. » Il y a encore trop d’ignorance de la part des professionnels au sein des firmes. Sans un encadrement mieux défini de la part du Barreau, le cadre juridique en matière de protection de données dans lequel évoluent les avocats demeure trop flou.
Mais bien qu’il soit majeur, le facteur humain, ainsi que la « culture de la sécurité » que l’on doit inculquer au personnel, n’est qu’un des éléments à prendre en compte au sein des cabinets.
Il n’y a pas de « recette miracle », selon Me Jaar, mais un nombre de pistes à creuser notamment en matière de leadership et de gouvernance. Selon lui, il faut qu’il y ait des lignes directrices claires posées par les dirigeants et concernant les aspects juridiques de conformité, la protection des renseignements personnels ou du secret professionnel. Si elles ne sont pas respectées, il faut « des sanctions», dit-il, et des « responsables ».
Il serait toutefois difficile d’établir des sanctions quand la preuve du manquement n’est pas toujours évidente, tempère Me Gautrais, qui garde en tête les contours flous de la Loi sur les TI. « Mais on y arrive, on voit de plus en plus une conscientisation de certains tribunaux qui ont tendance à sanctionner. »
Prévoir un plan en cas d’attaque
La responsabilité doit être placée au plus haut niveau possible, sur les dirigeants, sur ceux qui ont les budgets et les moyens d’instaurer des mesures importantes, selon Me Jaar. Aussi, la gestion du risque de l’information doit être pensée et exécutée en équipe, entre les différents partenaires du cabinet.
En cas de crise, il faut avoir défini un plan de reprise clair, « mature », et « éprouvé », selon Me Jaar; plan qui a été pratiqué AVANT la crise. « Il faut à tout prix s’éviter le stress qui vient avec la crise: il faut parler aux médias, contacter les clients, on ne peut alors pas avoir de recul et penser aux éléments parallèles. »
Enfin, selon l’expert, il ne faut pas tout miser sur la technologie. Les avocats ne doivent pas penser qu’ils « achètent la paix » en utilisant la technologie qui n’est à elle seule pas suffisante et dont les hackers traquent et identifient les failles dès les premiers jours de sa mise en marché.
7579
