Note de l’éditeur: Il s’agit d’un article du « Manuel de référence des listes de technologies juridiques Vol. II », un livre électronique dont la sortie est prévue cet été.
Ce fut une très mauvaise année pour les cabinets d’avocats.
Non seulement de nombreux cabinets d’avocats ont été victimes de violations – et certains de BigLaw – mais les avocats chargés des recours collectifs ont également apparemment découvert qu’il y avait de l’argent à gagner grâce aux recours collectifs contre les cabinets d’avocats violés.
Cela semblait être le bon moment pour parler des bêtises que font les cabinets d’avocats et les avocats et qui équivalent à une invitation gravée « violez-moi » aux cybercriminels.
N°1 : Ils n’adoptent pas l’authentification multifacteur (MFA)
Comme tous les avocats le savent, l’adoption de l’AMF présente certains inconvénients.
Et un nombre incroyable d’avocats résistent à l’inconvénient très mineur de devoir s’authentifier deux fois, en saisissant d’abord leur mot de passe (quelque chose qu’ils connaissent), puis en s’authentifiant à nouveau via quelque chose dont ils disposent (c’est-à-dire une application sur leur téléphone) ou en utilisant la biométrie.
Selon Microsoft, l’adoption de la MFA empêchera 99,9 % des rachats de comptes. Nous avons vu plusieurs cabinets d’avocats refuser la MFA (en se plaignant de ses inconvénients) uniquement pour subir des rachats de comptes. Ils étaient certainement impatients d’adopter l’AMF après la violation. Oh, oh.
N°2 : Ils n’ont pas plusieurs sauvegardes
Plus important encore, vous devez disposer de plusieurs sauvegardes et l’une des sauvegardes ne doit pas être connectée à votre réseau.
La première chose que feront les cybercriminels après avoir violé votre réseau est de pirater toutes les sauvegardes accessibles afin que vous ne puissiez pas récupérer de la violation sans payer la rançon.
Assurez-vous également que votre sauvegarde cloud comporte plusieurs versions et ne synchronise pas uniquement le contenu de la sauvegarde locale. Le chiffrement de la sauvegarde locale ne doit pas être répliqué afin que vos sauvegardes cloud soient également chiffrées.
Il est également important de reconnaître que, même si le fait d’avoir vos données dans le cloud ne garantit pas que vous ne serez pas piraté, vos données sont infiniment plus sécurisées dans le cloud. Bien qu’il y ait eu des violations du cloud, la plupart d’entre elles se sont produites parce qu’un de vos employés a mal configuré quelque chose dans le cloud.
Nous ne sommes plus que deux clients qui ont leurs données sur site – l’un est têtu – et nous compatissons avec l’autre parce que ce cabinet d’avocats est chargé par un client majeur d’avoir les données sur site.
De nos jours, tout se passe dans le cloud.
Si vous vous accrochez au passé, vous ne vous rendrez aucun service – et notez que certains informaticiens encourageront le maintien d’une solution sur site car ils gagnent ainsi plus d’argent.
N°3 : Ils lésinent sur la formation des employés
Les employés des cabinets d’avocats constituent votre première ligne de défense. Les e-mails de phishing sans fin (devenus plus sophistiqués grâce à l’intelligence artificielle) et l’ingénierie sociale constituent de graves menaces.
Alors pourquoi ne formeriez-vous pas vos employés à reconnaître ce type d’attaques et ne leur proposeriez-vous pas autant d’exemples différents que possible de ces attaques et d’autres ?
Et pourtant, la plupart des cabinets d’avocats, en particulier les cabinets individuels/petits/moyens, ne proposent pas cette formation.
Le coût d’une session annuelle de formation en ligne sur la cybersécurité est modeste – le coût d’une violation de données est immense.
Conseil : obtenez une référence d’un collègue avocat sur les entreprises de cybersécurité qui offrent une bonne formation à leurs employés à un tarif raisonnable.
N°4 : Ils n’ont pas de plan adéquat
Un plan de réponse aux incidents (IRP) peut sauver votre entreprise en cas de violation, et pourtant seulement 42 % des entreprises en disposent.
Et nous sommes presque sûrs que la plupart des IRP qui existent sont soit obsolètes, soit pas tout à fait à la hauteur. Faites-vous aider par un professionnel de la cybersécurité habitué à rédiger ces plans.
Sans un plan minutieux, après une violation, vous ferez malheureusement toutes sortes de choses qui ne vont pas, dans le mauvais ordre, etc.
N’oubliez pas qu’il existe des sanctions (beaucoup d’entre elles) si vous ne traitez pas correctement une violation et ne la signalez pas à temps. Et a-t-on évoqué les règles d’éthique ?
N°5 : Ils font confiance sans vérifier
Ne faites pas confiance à vos employés. Pourquoi?
Parce qu’ils prennent vos données lorsqu’ils s’adressent à une autre entreprise.
Vous le voyez régulièrement dans les gros titres. Vous voyez également souvent des comptables de cabinets d’avocats détourner de l’argent. Faites simplement une recherche et vous verrez la nécessité de faire vérifier vos livres par quelqu’un.
Espérons que vous n’autorisez pas le partage de mots de passe. Mais les employés le font quand même.
L’excuse habituelle est que, par exemple, un avocat et un parajuriste doivent avoir accès aux courriels de chacun. Si l’un est compromis, les deux le sont. Appliquez votre politique !
Lorsque vous avez besoin d’une évaluation de sécurité, ne laissez PAS vos informaticiens le faire. Ils ont un intérêt direct dans le résultat.
Nous pourrions continuer, mais vous voyez l’idée. Pour reprendre les mots de Ronald Reagan, « si vous doit faites confiance, puis vérifiez.
N°6 : Ils emmènent leur ordinateur portable de travail à l’étranger
Si vous emmenez votre ordinateur portable de travail à l’étranger, vous tentez votre chance. Certains pays sont plus dangereux que d’autres.
Nous avons vu une vidéo d’un ordinateur portable laissé dans une chambre d’hôtel en Chine et avons vu deux hommes entrer dans la chambre de l’avocat et télécharger tout le contenu de l’ordinateur portable.
Attention, tous les pays ne sont pas aussi dangereux que la Chine lorsqu’il s’agit de convoiter les données d’un avocat.
Mais les grandes entreprises disposent régulièrement d’ordinateurs portables propres qu’elles prêtent pour des voyages à l’étranger.
Pour les petites entreprises, le coût d’un ou deux ordinateurs portables supplémentaires en vaut la peine. Assurez-vous d’en faire une exigence politique du cabinet d’avocats.
Rappelez-vous les paroles du sergent de police après l’appel. Phil Esterhaus sur Hill Street Blues ? “Soyons prudents là-bas.” Ces mots s’appliquent ici – et ils peuvent également avoir des implications éthiques.
N°7 : Ils laissent les applications accéder à leurs « contacts »
Nous voyons régulièrement des avocats faire cela.
DE NOMBREUSES applications demandent l’accès à vos « Contacts » et l’avocat moyen le permet simplement.
A quoi pensent-ils ???? Vos « Contacts » contiennent toutes sortes de données sensibles et l’intégrité de la plupart des applications est hautement discutable. Beaucoup vendent des données.
Plusieurs bars ont déjà déclaré qu’il était contraire à l’éthique d’autoriser des applications à accéder à vos « Contacts ». Et ils ont raison !
Cette liste pourrait s’allonger encore et encore, mais suivre les conseils ci-dessus devrait améliorer considérablement votre cybersécurité !
Sharon D. Nelson est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA. snelson@senseient.com
John W. Simek est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale dans le domaine de la criminalistique numérique. Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie. jsimek@senseient.com
Michael C. Maschke est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises, Inc. Il est un examinateur certifié EnCase, un examinateur informatique certifié (CCE #744), un hacker éthique certifié et un examinateur certifié AccessData. Il est également un professionnel certifié en sécurité des systèmes d’information. mmaschke@senseient.com
