Le cabinet d’avocats devrait être le lieu le plus sûr pour protéger les données des clients. Après tout, c’est le seul endroit qui peut faire valoir le privilège avocat-client pour bloquer la divulgation d’informations confidentielles.
Mais qui protège le cabinet d’avocats ? C’est le gorille de 900 livres dans la pièce.
Les cabinets d’avocats sont des cibles désirables pour les pirates informatiques, car ils disposent d’informations recherchées par ces derniers et d’une sécurité moindre que bon nombre de leurs entreprises clientes. Un rapport de 2015 de Citigroup a révélé que la sécurité numérique de nombreux cabinets d’avocats est en retard sur les normes du secteur.
En 2016, le cabinet d’avocats et de services aux entreprises panaméen s’est retrouvé au centre d’un scandale international après la fuite au public de 11,5 millions de documents détaillant des informations sur les clients des avocats et des informations financières. La sécurité des données était exécrable, avec des faiblesses allant d’un manque de cryptage des courriels à une architecture réseau fondamentalement non sécurisée.
En juin 2017, le cabinet d’avocats n’a pas eu accès aux courriels, aux téléphones ou à d’autres services de données pendant trois jours et a dû annoncer publiquement à ses clients qu’il était victime d’un ransomware. Il est encore en train d’évaluer si les données des clients ont effectivement été violées ou non. Mais qu’est-ce que cela leur a coûté en perte de productivité et surtout en réputation ?
Alors que les grandes brèches sont plus médiatisées, Bar Association a constaté en 2015 que les failles de sécurité ont augmenté pour les cabinets d’avocats de toutes tailles. Pourtant, la plupart des cabinets voient ces rapports et ne se considèrent pas comme étant à risque.
Les chances sont que vous ne sachiez pas que vous êtes ciblé jusqu’à ce que vous ayez subi une brèche. Vous ne verrez pas vos informations privilégiées alors qu’elles traversent le Dark Web, une arrière-allée cybercriminelle d’internet non accessible par les navigateurs internet de base.
Ces cybercriminels anonymes se cachent dans les spams et s’attaquent aux utilisateurs peu méfiants. Leurs crimes les plus dévastateurs sont souvent le courtage d’informations.
Un pirate informatique pourrait voler des noms d’utilisateur et des mots de passe, en utilisant une myriade de mécanismes allant du piratage direct aux virus et aux logiciels malveillants, juste pour se montrer. Mais une fois sur le Dark Web, les informations volées peuvent être récupérées ou achetées par des hackers plus malveillants qui volent ou extorquent les victimes en utilisant les informations du hack initial.
C’est le sale secret d’internet que les médias expliquent rarement lorsqu’ils relatent la dernière brèche chez Yahoo ou LinkedIn – les hackers anticipent qu’une bonne partie de leurs cibles utilisent les mêmes mots de passe et noms d’utilisateur sur plusieurs comptes. Le pirate initial peut n’avoir aucun intérêt à accéder à votre messagerie Yahoo – au lieu de cela, lui, ou le pirate qui se retrouve avec les informations, comprend où vous travaillez et tente de pirater votre cabinet d’avocats.
Vient ensuite l’ingénierie sociale. Le pirate en apprend suffisamment sur vous grâce à Facebook ou LinkedIn pour vous envoyer par courriel ce qui semble être un lien vers des informations qui pourraient vous intéresser. Cliquez sur ce lien et le créateur de contenu a un accès complet à votre ordinateur.
Ironiquement, le gouvernement a créé le Dark Web pour que les agents de renseignement puissent partager des informations de manière anonyme, et a rendu cette zone accessible au public pour rendre plus difficile l’identification des communications provenant d’agents du gouvernement.
L’activité illicite du Dark Web concerne tout le monde, mais les cabinets de services professionnels ont plus à perdre que la plupart – la perte de clients, la mauvaise presse, l’incapacité à créer de nouvelles activités et la menace de litiges et d’amendes. Ces dernières années, les cabinets d’avocats ont été de plus en plus souvent poursuivis pour des piratages ayant porté atteinte au privilège avocat-client.
L’ABA a constaté qu’environ un quart des cabinets d’avocats de plus de 100 avocats ont subi une sorte de violation de données en 2015. Cela peut se produire en ligne, par une effraction ou via un appareil perdu ou volé, et cela a toujours un coût.
Il est donc temps de changer votre état d’esprit concernant la cybersécurité. Arrêtez de vous indigner contre le voisin qui vous vole votre journal à 50 centimes tout en gloussant devant l’e-mail de spam déguisé de manière floue en avis de livraison UPS. Faites tourner vos mots de passe et veillez à ce que les noms d’utilisateur et les mots de passe des employés soient impossibles à deviner et dissemblables des informations d’identification de tout autre site.
Les entreprises d’informatique et de cybersécurité surveillent le Dark Web pour trouver les informations d’identification des clients et organisent des formations de sensibilisation à la sécurité pour les employés, en plus de fournir une gestion unifiée de la sécurité pour prévenir, détecter et répondre aux cybermenaces. Investir dans une gestion unifiée de la cybersécurité peut être le meilleur investissement que vous ferez jamais – ce que les victimes de piratage ont déjà appris à leurs dépens.