La transformation digitale s’accompagne de formidables opportunités pour gagner en agilité mais elle amène également de nombreux risques.

Certains d’entre eux sont liés au cyberespace qui est devenu le 5e champ de conflits après la terre, l’eau, l’air et l’espace. Et le besoin de sécuriser ce champ concerne aussi bien les citoyens que les organisations. Plus que d’autres, les avocats sont exposés aux risques liés au cyberespace. En effet, tous les analystes s’accordent à dire que ces risques sont sérieux dès lors que des informations sensibles ou confidentielles sont traitées dans un secteur d’activité donné. Il en va par définition ainsi des données traitées par un cabinet d’avocat, et ce quel que soit sa taille.

Pour mémoire, l’ANSSI identifie 4 types de cybermenaces :

  • la déstabilisation ;
  • l’espionnage ;
  • le sabotage ;
  • la cybercriminalité.

L’un des exemples de cyberattaque les plus impressionnants, peu médiatisé, reste les attaques découvertes fin 2016 orchestrées par 3 ressortissants chinois qui ont visé 7 cabinets d’avocats à New York. Après avoir infiltré le réseau de deux d’entre eux, les attaquants ont pu obtenir des informations confidentielles en ciblant les comptes mails des associés à haut profil. Ils ont ensuite pu utiliser ses informations pour acheter des actions dans des sociétés avant les annonces publiques et ont gagné plus de 4 millions de dollars.

Pourquoi les cabinets d’avocats deviennent-ils des cibles de choix pour les hackers ?

Afin de comprendre la démarche des attaquants, il est important de connaître le mécanisme derrière une cyberattaque qui vise une société : comme le braquage d’une banque, elle est le fruit de plusieurs semaines ou mois de préparation, de repérage, d’identification du maillon faible de la chaîne en vue de servir un objectif spécifique. Les grands groupes disposent en général de moyens de protection efficaces contre les cybermenaces. Dans ce cas, il n’est pas rare de voir les attaquants se diriger vers des structures moins bien protégées avec qui leurs cibles interagissent. Les cabinets d’avocats sont à cet égard une cible de choix pour les attaquants qui pourront avoir accès à des informations confidentielles plus facilement.

On note également des attaques visant le cabinet en lui-même, dont l’objet est la recherche d’informations de valeurs (processus d’obtention d’un brevet, informations privilégiées, secrets d’affaires …).

Quels sont les impacts d’une fuite de données pour un cabinet d’avocats ?

Prenons un exemple très concret : si, demain, vous subissiez une fuite de données non chiffrées ; en fonction du type de données qui fuiteraient, vous seriez dans l’obligation de prévenir les clients concernés. Au-delà de l’aspect conformité au RGPD, une fuite de données confidentielles serait de nature à mettre en danger l’activité de vos clients. Et c’est une évidence que la capacité d’un cabinet d’avocat à garantir la confidentialité des informations échangées avec un client est vitale à sa crédibilité.

Un retard spécifiquement français ?

Malgré ce risque grandissant, une immense majorité de professionnels du secteur juridique continuent à dialoguer par mails (et pièces jointes) de façon non sécurisée.

Le taux d’équipement des cabinets français illustre particulièrement clairement la situation. À ce jour, seul 1 grand cabinet (de plus de 100 avocats) français sur 3 est équipé alors que c’est le cas de 6 cabinets anglo-saxons sur 7 selon l’étude de MyCercle.

Comment protéger vos données sensibles ?

« Les avocats ont besoin de sécuriser leurs échanges entre eux, mais aussi vis-à-vis de leurs clients pour assurer la confidentialité des correspondances et le respect de leur secret professionnel »
Patrick Le Donne (ex-président du CNB)

Il est donc important de maitriser vos données dans l’espace et dans le temps : c’est-à-dire réussir à identifier vos données sensibles, mais également gérer les droits d’accès dans le temps à ces données.

Afin de sécuriser des échanges entre les avocats et leurs clients, le Conseil des Barreaux Européens (CCBE) indique qu’: « Il est primordial d’utiliser le chiffrement des courriels de bout en bout ».

Et tant pour le CCBE que pour le Conseil national des Barreaux (CNB), le chiffrement des données au repos (documents dématérialisés, fichiers, données archivées) et des données en transit (communications par mails) demeure une mesure essentielle pour sécuriser vos données.

Si le chiffrement vous permet de protéger vos données des regards indiscrets, le contrôle des droits d’accès dans le temps à ces données est un processus efficace pour réduire les risques inhérents aux menaces internes. Vous devez, par exemple, pouvoir révoquer les droits d’un utilisateur à certaines données, même si celui-ci les a téléchargées sur un autre appareil !

Vous souhaitez en savoir plus sur le chiffrement ? Découvrez notre article pour sensibiliser votre direction au chiffrement.

Better Seald than Sorry.

Essayez Seald avec votre équipe.