Les employés sont impliqués dans plus de 80 % des cyberattaques réussies. Cela signifie qu’il est essentiel de mettre en œuvre une formation de sensibilisation à la cybersécurité dans les cabinets d’avocats pour vos employés.
Avec l’augmentation continue des attaques de cybersécurité, il est plus essentiel que jamais de mettre en œuvre des stratégies efficaces d’atténuation des risques pour améliorer la sécurité de votre entreprise et protéger les données confidentielles – et cela est impossible sans éduquer vos employés. Les employés sont impliqués dans plus de 80 % des cyberattaques réussies. Pourtant, l’un des aspects les plus négligés de la cybersécurité des cabinets d’avocats est la formation des employés.
Qu’est-ce qu’une formation de sensibilisation à la cybersécurité ?
Qu’implique la formation en cybersécurité ? Une présentation typique d’une heure couvre plusieurs domaines. Il comprend des recommandations pour un comportement informatique sécurisé ; éducation sur le spam, le phishing et les attaques ciblées de logiciels malveillants ; et des informations sur ce que les utilisateurs peuvent faire pour se protéger eux-mêmes et protéger leur cabinet d’avocats, ainsi que pour respecter leurs devoirs éthiques. La formation doit toujours intégrer de bonnes histoires tout au long du parcours pour que les leçons restent également fidèles.
La formation des employés est particulièrement importante compte tenu des dangers qui se cachent dans les environnements de travail à distance et hybrides d’aujourd’hui. Cela peut même être exigé par la compagnie de cyberassurance de votre cabinet d’avocats.
Qui devrait suivre la formation ?
Certainement pas les propriétaires de cabinets d’avocats, même s’ils pensent s’y connaître en cybersécurité. Le plus gros marteau est un cabinet de conseil qui connaît clairement les enjeux et les stratégies dont il parle et qui peut facilement répondre aux questions. Ils apporteront une crédibilité immédiate en raison de leurs références.
Si vous êtes un cabinet Am Law 200, vous allez probablement embaucher l’un des gros canons avec un prix élevé. Mais si vous êtes une petite entreprise, de nombreuses petites entreprises proposent des formations en cybersécurité. Vous voulez une entreprise spécialisée dans la formation, comprenant des échantillons d’e-mails de phishing actuels et réels et des tests pour permettre à vos employés de démontrer qu’ils sont conscients des risques de sécurité. (Un employé qui échoue à plusieurs reprises à de tels tests est-il vraiment un employé dont vous souhaitez qu’il gère des données sensibles ?)
La formation en ligne est un choix pour les cabinets d’avocats depuis la COVID-19. La bonne nouvelle est que la formation à distance de sensibilisation à la cybersécurité est moins coûteuse. À titre d’exemple, notre formation coûte 500$ pour une séance d’une heure. Pour quelque chose d’aussi précieux pour votre cabinet d’avocats, c’est une pilule facile à avaler. L’inconvénient évident est que ceux qui regardent la formation à distance risquent de ne pas y prêter pleinement attention. Certaines entreprises rendent obligatoire la présence physique dans une salle de conférence, ce qui atténue ce problème.
Quant à la fréquence des formations, les compagnies de cyberassurance demandent désormais si vous proposez une formation annuelle à la cybersécurité pour vos employés.
En savoir plus sur quoi et quand
Assurez-vous que vos formateurs peuvent discuter et démontrer des exemples d’e-mails et de tests de phishing. Autre message essentiel de la formation : si un employé sait qu’un autre employé adopte un comportement informatique non sécurisé, il doit en informer un superviseur. « Vous voyez quelque chose ? Dis quelque chose », tel est le mantra !
Moment de la journée ? Il est préférable de s’entraîner le matin, lorsque les gens sont le plus alertes. Printemps pour le petit-déjeuner et continuez à recevoir le café. La cybersécurité peut être abrutissante si elle n’est pas bien faite.
Et rendre absolument la formation obligatoire. Prenez la participation.
« Ne soyez pas en colère contre votre employeur ! »
Les employés n’aiment pas de nombreux aspects de la sécurité de l’information. Un bon formateur vous soutiendra et expliquera aux employés exactement pourquoi vos politiques de sécurité sont nécessaires et pourquoi elles doivent être appliquées. Ils expliqueront comment l’entreprise peut protéger ses données grâce à la liste blanche des applications, à la journalisation de certains événements et à l’installation de logiciels ou de matériels qui « signalent » l’accès à certains fichiers (ou à un certain nombre de fichiers).
Expliquer l’importance des mots de passe forts est également indispensable. La formation doit cependant montrer que ce qui constitue des mots de passe forts est en train de changer. Le National Institute of Standards and Technology a finalement recommandé que nous modifiions notre notion de « mots de passe forts ». (Et faites-nous confiance, vous allez vivre un grand changement d’ici début 2025.) Les règles ne cessent de changer, n’est-ce pas ? Mais c’est aussi pour cela que vous vous entraînez régulièrement.
Et les formateurs doivent prêcher la valeur des gestionnaires de mots de passe cryptés – une nécessité quasiment nécessaire si vous souhaitez suivre la règle cardinale de ne pas réutiliser les mots de passe partout, ce qui conduit souvent à une seule violation compromettant votre sécurité à plusieurs endroits plutôt qu’un seul.
Ingénierie sociale
Les experts en pénétration d’entreprises grâce à l’ingénierie sociale affirment qu’il leur faut généralement moins d’une heure pour accéder à votre réseau. En tant qu’humains, nous sommes très désireux d’être utiles. Vos employés doivent savoir que le support technique de Microsoft n’appellera jamais pour demander l’accès à leur machine (oui, nous avons vu des avocats trompés). Ils doivent également comprendre que quelqu’un qui appelle et dit qu’il vient de votre entreprise informatique et qu’il a besoin d’informations de connexion pour résoudre un problème peut ne pas réellement appartenir à votre entreprise informatique, même s’il connaît le nom de l’entreprise.
Phishing
Comme nous l’avons déjà dit, le phishing est le moyen le plus simple d’accéder aux cabinets d’avocats. Même un bon logiciel défensif ne détecte pas tout – et de nombreux exploits zero-day (c’est-à-dire aucune défense connue) sont vendus chaque jour sur le Dark Web.
La pire menace vient des attaques de phishing ciblées, dans lesquelles les pirates informatiques ciblent spécifiquement votre cabinet d’avocats. Les cabinets d’avocats sont ici désavantagés car une grande partie des données juridiques sont publiques. Un attaquant peut savoir dans quelles affaires vous êtes impliqué, qui sont les avocats, dans quels tribunaux se trouvent les affaires et bien plus encore. Et ils peuvent usurper l’adresse e-mail d’un avocat ou d’un tribunal : combien d’avocats peuvent résister à l’envie d’ouvrir quelque chose qui semble provenir d’un tribunal ?
Les cabinets d’avocats sont également désavantagés car ce sont des « pots de miel » : ils détiennent les données d’un très grand nombre de clients. Les pirates peuvent effectuer une petite recherche sur le site Web du cabinet ou sur la page LinkedIn d’un avocat, où ils trouvent des informations personnelles qu’ils peuvent insérer dans un e-mail ou un texte de phishing ciblé.
Les formateurs les amèneront à mettre en pause, à réfléchir, à inspecter et à signaler avant de cliquer sur des pièces jointes ou des liens suspects dans un e-mail ou un SMS.
Il existe des indices de phishing évidents à transmettre aux employés :
Vous ne connaissez pas l’expéditeur. Vous connaissez l’expéditeur, mais si vous regardez bien, l’adresse est à une lettre de distance (cela arrive souvent). Rien dans la note ne vous semble personnel. Vous ne vous attendiez pas à l’e-mail. Il est fait référence à une banque/produit/service que vous n’utilisez pas. Les mots sont mal orthographiés. La grammaire est mauvaise. L’e-mail/SMS ne vous adresse pas par votre nom. Le message demande des informations personnelles. Il existe une pièce jointe qui semble suspecte en conjonction avec d’autres facteurs ou un lien vers un site Web (et non, survoler le lien ne garantit pas nécessairement que vous irez à l’adresse indiquée – les infections de logiciels malveillants provoqués par la visite de sites malveillants sont assez commun).
De nos jours, les formateurs doivent parler de l’intelligence artificielle et de son efficacité à créer des e-mails de phishing qui réussissent, en partie parce qu’il n’y a pas de fautes d’orthographe ou de grammaire. Comme si nous avions besoin d’un autre défi !
Sharon D. Nelson est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale dans le domaine de la criminalistique numérique. Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke est le PDG de Sensei Enterprises. Il est un examinateur certifié EnCase (EnCE), un examinateur informatique certifié (CCE #744), un examinateur certifié AccessData (ACE), un CISSP ainsi qu’un CEH. Il intervient fréquemment sur l’informatique, la cybersécurité et la criminalistique numérique et est co-auteur de 14 livres publiés par l’ABA.
En savoir plus sur l’équipe Sensei :
Image © iStockPhoto.com.
Ne manquez pas nos conseils de gestion de cabinet au quotidien. Abonnez-vous à la newsletter gratuite de Attorney at Work ici >
