Devriez-vous effectuer une évaluation de la cybersécurité chaque année ?
Absolument. Un bon nombre d’entreprises effectuent des évaluations de cybersécurité deux fois par an. Pour la plupart des entreprises, nous nous contenterons d’une fois par an. Il est également vrai que la plupart des compagnies de cyberassurance se contentent également d’évaluations annuelles. Les plus grandes entreprises peuvent le faire deux fois par an (ou plus), mais la plupart d’entre vous qui lisez ceci s’en sortent probablement très bien avec des évaluations annuelles.
Nous avons vécu une année 2023 au cours de laquelle nous avons vu plus de violations dans les cabinets d’avocats que jamais auparavant. Et nous avons vu (horriblement) un flot de recours collectifs intentés contre des cabinets d’avocats victimes de violations. Alors oui, nous devons prêter attention aux évaluations de cybersécurité – et non les reporter ou sauter une année pour des raisons budgétaires. Même si nous entendons souvent dire que les budgets ne permettent pas une évaluation de la cybersécurité, si vous êtes victime d’une violation, votre budget s’en va en enfer. Mieux vaut dépenser de l’argent et éviter la brèche.
Avez-vous besoin d’un test d’intrusion qui prend plus de temps et coûte beaucoup plus cher ? Si tu es assez grand, oui. Mais pour les entreprises individuelles, les petites et moyennes entreprises, une évaluation de la cybersécurité est généralement considérée comme raisonnable. Les tests d’intrusion sont très coûteux, complexes et incluent une attaque simulée autorisée effectuée sur votre (vos) réseau(s) pour évaluer les faiblesses de sécurité. Les testeurs agissent comme des attaquants, simulant diverses attaques. Nous pourrions écrire un article uniquement sur les tests d’intrusion, mais il suffit de dire que la plupart des cabinets d’avocats se conformeront éthiquement à une évaluation annuelle de la cybersécurité.
Pouvez-vous utiliser votre propre équipe informatique/cybersécurité interne pour effectuer une évaluation ?
C’est l’une des questions les plus stupides que nous ayons jamais entendues et, malheureusement, nous l’entendons souvent. En fait, les employés ont tendance à encourager la direction à les laisser effectuer les tests. Pourquoi? La réponse sans fard est qu’ils ont peur que les faiblesses du réseau soient révélées et qu’on les blâme.
Voici l’horrible vérité : en plus de 25 ans d’activité, une seule fois nous avons effectué une évaluation de la cybersécurité sans trouver de vulnérabilité critique. Juste une fois. Félicitations à ce cabinet d’avocats pour le travail bien fait par d’excellents employés avec le plein soutien de la direction.
Cependant, nos rapports contiennent normalement une liste importante de vulnérabilités, critiques, élevées, moyennes et faibles. Comme le dit IBM, les vulnérabilités critiques doivent être prioritaires pour une correction immédiate. Les vulnérabilités élevées doivent être examinées et corrigées dans la mesure du possible. Les vulnérabilités moyennes présentent un risque minime pour la sécurité des données : corrigez-les lorsque vous le pouvez ou lorsque le budget le permet. Les vulnérabilités faibles sont plus prudentes ou informatives.
Comment trouver un fournisseur d’évaluation de cybersécurité qualifié ?
Une chose que vous recherchez est une longue liste de certifications en cybersécurité. Les évaluations doivent être effectuées par des experts hautement qualifiés. Il est évident qu’elles sont souvent coûteuses, surtout s’il s’agit de grandes entités. Pour la plupart des cabinets d’avocats, la meilleure alternative est de recourir à des cabinets plus petits disposant de nombreuses certifications et références d’autres cabinets d’avocats auprès desquels vous pouvez vérifier.
Il est très utile, dans un premier temps, de rechercher vos amis dans d’autres cabinets d’avocats. Ils n’ont aucun intérêt direct. Posez des questions à vos amis : les experts s’entendent-ils bien avec les responsables informatiques/cybersécurité de l’entreprise ? Ont-ils proposé un tarif forfaitaire ? Qu’est-ce que c’était? (Nous préférons une tarification forfaitaire basée sur le nombre d’appareils à évaluer.) Leurs rapports étaient-ils complets et non rédigés dans un jargon technique ? Ont-ils clairement hiérarchisé les recommandations ? Ont-ils proposé une estimation des coûts pour la correction des vulnérabilités ?
Méfiez-vous des fournisseurs d’évaluation de cybersécurité qui travaillent pour des sociétés de cyberassurance
Nous assistons à une tendance très inquiétante sur le marché de la cyberassurance. Les compagnies d’assurance s’associent à des fournisseurs de sécurité gérée et d’informatique pour mieux comprendre vos données et votre infrastructure. Ils offrent des taux de prime inférieurs si vous faites appel à leurs partenaires. La justification est que le transporteur a une bien meilleure idée de son exposition aux risques lorsqu’il a une connaissance directe de vos données et de votre infrastructure. Le problème est qu’ils ont une connaissance directe de vos données et de votre infrastructure.
Vous installez des agents dans votre environnement qui surveillent l’état et l’activité. En d’autres termes, ils ont des « yeux » sur vos données, sur celles de vos clients, sur les vulnérabilités et à peu près sur tout ce qui concerne le fonctionnement de votre entreprise. Non, merci.
Vous tenez votre évaluation de cybersécurité entre vos mains : et maintenant ?
En supposant que vous ayez fait appel à une entreprise experte à un prix raisonnable pour effectuer l’évaluation, vous avez maintenant une feuille de route parfaite entre vos mains. Si les coûts de réhabilitation du projet ne vous semblent pas raisonnables, vous pouvez toujours choisir une autre entreprise. Mais si les employés de l’entreprise ont bien travaillé avec vos employés, c’est un très bon signe. Ils travailleront probablement bien avec vos employés pour remédier aux vulnérabilités.
Ne remettez pas cela à plus tard – cela arrive trop souvent. Éliminez ces vulnérabilités critiques et réfléchissez sérieusement à la manière et au moment où vous pouvez prendre en charge les vulnérabilités élevées et moyennes. Obtenir l’adhésion de la direction peut être une tâche ardue, alors soyez prêt avec les statistiques des cabinets d’avocats victimes de violations, les coûts liés à la gestion des violations et le terrible désastre des relations avec les publications – aucun cabinet d’avocats dans l’environnement juridique actuel ne peut échapper à l’obligation de signaler une violation. violation, souvent à plusieurs entités.
Derniers mots
PT Barnum a dit un jour : « La mauvaise publicité n’existe pas. » En ce qui concerne les violations de données dans les cabinets d’avocats, laissez-nous vous assurer que PT Barnum avait tort.
Sharon D. Nelson (snelson@senseient.com) est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek (jsimek@senseient.com) est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale dans le domaine de la criminalistique numérique. . Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke (mmaschke@senseient.com) est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises, Inc. Il est un examinateur certifié EnCase, un examinateur informatique certifié (CCE #744), un hacker éthique certifié et un examinateur certifié AccessData. Il est également un professionnel certifié en sécurité des systèmes d’information.
