Éd. Remarque : Il s’agit du dernier article de la série Cybersécurité : conseils tirés des tranchées, rédigé par nos amis de Sensei Enterprises, un fournisseur spécialisé de services informatiques, de cybersécurité et d’investigation numérique.
Nous approchons de la fin d’une autre année remplie d’avancées significatives dans les protections en matière de cybersécurité adoptées par les cabinets d’avocats pour lutter contre les cyberattaques constantes auxquelles ils sont confrontés. Les cabinets d’avocats adoptent enfin les logiciels Endpoint Detection and Response (EDR), les formations de sensibilisation à la cybersécurité et les simulations de phishing. La réalité est que la mesure des protections en matière de cybersécurité ne peut jamais être véritablement quantifiée. La principale raison est que l’objectif que tout le monde vise ne cesse de s’éloigner à mesure que de nouvelles vulnérabilités ou méthodes d’attaque sont découvertes ou développées par les attaquants. Le monde complexe et en constante évolution de la cybersécurité ne montre aucun signe de ralentissement.
Plus de gouvernance.
À quoi d’autre les cabinets d’avocats doivent-ils faire face en dehors des cyberattaques constantes et du phishing ? Qu’en est-il d’une gouvernance plus poussée en matière de confidentialité des données ? Les cabinets d’avocats en ont eu un avant-goût en 2016 avec l’adoption par l’UE du Règlement général sur la protection des données (RGPD), présenté comme la loi la plus stricte au monde en matière de confidentialité et de sécurité. Le RGPD impose des obligations à toute organisation qui cible ou collecte des données relatives aux personnes dans l’UE.
Le California Consumer Privacy Act (CPPA) est entré en vigueur en janvier 2020, offrant aux résidents de Californie un plus grand contrôle sur les données personnelles collectées, y compris la possibilité de demander à une entreprise de supprimer toute information personnelle collectée. Cette législation s’applique à toute personne qui exerce des activités en Californie et qui atteint certains seuils. C’est juste la loi californienne sur la vie privée. Il existe désormais 20 États dotés de différents degrés de lois sur la confidentialité des données.
En raison de leur gouvernance, les cabinets d’avocats ont adopté des politiques de confidentialité et de collecte de données pour répondre à ces exigences, notamment des politiques RGPD et des notifications contextuelles concernant les cookies et les types de données collectées lorsque les visiteurs naviguent sur leurs sites Web. Le non-respect de ces réglementations changeantes peut entraîner des réclamations pour faute professionnelle, des poursuites ou des amendes pour non-conformité. Cela a certainement retenu l’attention de nombreux cabinets d’avocats. Soudain, les cabinets d’avocats prennent au sérieux les réglementations en vigueur depuis longtemps, qui ont été largement ignorées dans le passé.
Poussé par la demande des clients
Il ne s’agit pas seulement des compagnies d’assurance cyber ; les clients sont également devenus plus intelligents en matière de protection des données. Les cabinets d’avocats reçoivent généralement des questionnaires sur la cybersécurité de la part de grandes entreprises ou d’entrepreneurs de la défense, qui doivent être remplis avant de s’engager avec le cabinet d’avocats. Les clients exigent de savoir quelles protections sont en place pour assurer la sécurité de leurs données et, dans certains cas, veulent des preuves, et pas seulement une auto-attestation. Ces questions sont très similaires à celles posées par les prestataires de cyberassurance.
Certaines des mesures de cybersécurité demandées par les clients comprennent :
100 % des terminaux sont-ils protégés par des logiciels « antivirus nouvelle génération » et « EDR » ? Avez-vous effectué un test d’intrusion et une évaluation des vulnérabilités au cours de l’année écoulée et, si oui, toutes les vulnérabilités moyennes, élevées et critiques ont-elles été corrigées ? Vos systèmes d’information sont-ils surveillés par une solution de gestion des informations et des événements de sécurité (SIEM) appuyée par un centre d’opérations de sécurité 24h/24 et 7j/7 ? Vos systèmes critiques sont-ils sauvegardés dans un emplacement hors site protégé contre les attaques ou les infections de ransomwares (sauvegardes immuables) ? Vos collaborateurs ont-ils suivi une formation de sensibilisation à la cybersécurité au cours des 12 derniers mois ? L’AMF est-elle requise pour accéder à toutes les ressources de l’entreprise ?
Ce sont des questions très difficiles de la part des clients, mais elles soulignent l’importance de la protection des données et de la confidentialité du point de vue du client. Les cabinets d’avocats qui n’ont pas mis en œuvre les mesures demandées utilisent souvent la demande comme catalyseur de changement positif pour mettre en œuvre les solutions avant de répondre au questionnaire et sont prêts à assumer les coûts pour obtenir le client. C’est gagnant-gagnant.
Risques de litige
Ce n’était qu’une question de temps avant que les avocats chargés des violations de données ne se présentent à la fête. Les recours collectifs sont désormais devenus un cauchemar pour les cabinets d’avocats victimes d’une violation de données. Les cabinets d’avocats font l’objet de recours collectifs, qui ont souvent tendance à être réglés relativement rapidement sans que les détails soient exposés au tribunal. Recours collectifs, exigences coûteuses en matière de notification des violations de données et amendes imposées par les procureurs généraux des États pour violations de la confidentialité des données : que peut-on faire de plus pour faire comprendre la nécessité de protections rigoureuses en matière de sécurité des données ? Pendant longtemps, les cabinets d’avocats ont hésité à engager des recours collectifs contre d’autres cabinets d’avocats victimes de violations de données. Ces jours sont révolus depuis longtemps.
Les obligations en matière de confidentialité et de protection des données sont là pour rester, tout comme les cyberattaques. Les cabinets d’avocats doivent rester proactifs dans l’adoption de ces mesures qui profitent au cabinet et à ses clients. Des examens sérieux de votre cybersécurité et des changements annuels en matière de sécurité atténuent les risques et l’exposition et maintiendront les recours collectifs à distance. Comme avantage supplémentaire, vous pouvez même demander à votre compagnie d’assurance cyber de réduire votre prime (ou de ne pas l’augmenter autant qu’elle le fait habituellement) avec toutes les mesures de sécurité supplémentaires que vous avez mises en œuvre.
Michael C. Maschke ([email protected]) est président et chef de la direction de Sensei Enterprises, Inc. M. Maschke est un examinateur certifié EnCase (EnCE), un examinateur informatique certifié (CCE #744), un examinateur certifié AccessData (ACE), un hacker éthique certifié (CEH ), et un professionnel certifié en sécurité des systèmes d’information (CISSP). Il donne fréquemment des conférences sur l’informatique, la cybersécurité et la criminalistique numérique et est co-auteur de 14 livres publiés par l’American Bar Association.
Sharon D.Nelson ([email protected]) est co-fondatrice et consultante de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek ([email protected]) est le co-fondateur et consultant de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert en criminalistique numérique de renommée nationale. Il est co-auteur de 18 livres publiés par l’ABA.
