Les SIEM sont le meilleur moyen de renforcer la cybersécurité d’un cabinet d’avocats.
Expliquer un SIEM en termes simples (en quelque sorte…)
Ce n’est pas facile de l’expliquer simplement, mais c’est parti. SIEM – prononcé « sim » – est un acronyme pour « gestion des informations et des événements de sécurité ». En termes simples, il s’agit d’une solution de sécurité qui détecte les activités menaçantes avant que votre cabinet d’avocats ne soit significativement impacté. Les SIEM peuvent détecter, analyser et, surtout, répondre aux problèmes de sécurité.
Les SIEM collectent des données de journaux provenant de nombreuses sources, exécutant ainsi le tour de sorcier consistant à identifier les activités qui ne sont pas normales grâce à une analyse en temps réel. Mieux encore, il peut agir sans implication humaine : la nécessité d’une implication humaine ralentit tout. Comme toute technologie, les SIEMS ont évolué au cours des dernières années et détectent désormais les menaces et y répondent plus rapidement et avec plus de certitude qu’ils prennent les mesures appropriées grâce à l’intelligence artificielle.
Quel genre de choses un SIEM peut-il faire pour les cabinets d’avocats ?
Voici un exemple de ce qu’un SIEM peut faire rapidement. Il peut signaler un compte utilisateur comme suspect lorsqu’il génère 25 tentatives de connexion infructueuses en 25 minutes, mais il sera probablement considéré comme une priorité inférieure car les tentatives ont probablement été effectuées par un utilisateur qui a oublié ses informations de connexion. Cependant, un compte utilisateur qui génère 130 tentatives de connexion infructueuses en cinq minutes serait marqué comme un événement hautement prioritaire, car l’explication la plus probable est qu’une attaque par force brute est en cours contre votre cabinet d’avocats.
Un autre exemple est celui des voyages impossibles.
Après une connexion réussie, il peut y avoir une deuxième connexion réussie à partir d’une adresse IP qui indiquerait un temps de trajet impossible. Par exemple, peut-être que la deuxième connexion se situe à plus de 2 500 miles et a eu lieu cinq minutes après la première. Il se peut que l’utilisateur utilise un VPN et que l’accès soit valide. Cela n’implique certainement pas l’utilisation d’un transporteur Star Trek pour parcourir la distance, mais il peut s’agir plutôt d’un attaquant qui a obtenu des informations d’identification d’utilisateur valides.
Quelles sont les fonctions principales d’un SIEM ?
C’est la partie la plus difficile, alors soyez indulgents avec nous. Les fonctionnalités des SIEM varient, ce qui signifie que vous devez prêter attention à ce que propose une plateforme SIEM particulière. Cependant, les fonctions principales sont les suivantes :
Gestion des journaux. Les SIEM collectent de grandes quantités de données dans un emplacement central, les organisent, puis déterminent s’il existe des données indiquant une menace, une attaque réelle ou une violation. Corrélation d’événements. Cela signifie essentiellement que le SIEM triera les données pour identifier les relations et les modèles, ce qui lui permettra d’identifier les incidents de sécurité sur le réseau de votre cabinet d’avocats, ce qui permettra une détection et une réponse rapides aux menaces possibles. Surveillance et réponse aux incidents. En bref, un SIEM surveillera les incidents de sécurité sur l’ensemble du réseau d’un cabinet d’avocats, fournissant des alertes et des audits de toutes les activités liées à un incident.
Quels sont les avantages de l’utilisation d’un SIEM pour un cabinet d’avocats ?
Les cabinets d’avocats ont le devoir éthique de protéger leurs données confidentielles. Les cabinets d’avocats de toutes tailles doivent prendre des mesures raisonnables pour réduire les risques de cybersécurité et respecter les normes de conformité réglementaire.
Les SIEM constituent le meilleur moyen de renforcer la cybersécurité d’un cabinet d’avocats, offrant les éléments suivants :
Une vision des menaces potentielles. Identification des menaces en temps réel et réponse rapide, ce qui minimise les dommages causés au cabinet d’avocats. Intelligence très avancée sur les menaces. Audit et reporting de conformité réglementaire. BEAUCOUP plus de transparence dans la surveillance des utilisateurs, des applications et des appareils. En cas de violation, il peut effectuer une analyse médico-légale détaillée.
Comment un cabinet d’avocats met-il en œuvre un SIEM ?
Voici quelques-uns des éléments impliqués dans la mise en œuvre d’un SIEM :
Définissez vos exigences pour le déploiement SIEM. Vous aurez probablement besoin de l’aide de votre fournisseur de services gérés ou de vos employés internes en informatique/cybersécurité. Une fois que vous l’avez installé, effectuez quelques tests. Assurez-vous de disposer d’une quantité suffisante de données à des fins de test. Avoir un SIEM ne garantit pas que vous n’aurez pas d’incidents ou de violation, alors assurez-vous d’avoir un plan de réponse aux incidents, juste au cas où ! Au fur et à mesure que des améliorations deviennent disponibles pour votre SIEM, intégrez-les.
Combien coûtera un SIEM à votre petit cabinet d’avocats ?
Pas autant qu’on pourrait le penser. Bien que les prix varient selon les différentes solutions SIEM, recherchez des offres basées sur le cloud et tarifées par utilisateur. De telles solutions devraient coûter environ 10 dollars par utilisateur et par mois, ce qui est très abordable même pour un avocat solo.
Le rôle qu’un SIEM jouera pour votre cabinet d’avocats
Disposer d’un SIEM fait partie intégrante de la cybersécurité d’une entreprise. De nos jours, la plupart des cabinets d’avocats disposent d’un fournisseur informatique/cybersécurité géré. Un SIEM offre à ce fournisseur un lieu central pour collecter et analyser des volumes de données, rationalisant ainsi le flux de travail de sécurité. De plus, il dispose de fonctionnalités opérationnelles telles que les rapports de conformité, la gestion des incidents et des tableaux de bord sophistiqués qui hiérarchisent les activités de menace.
Il est sans cesse frustrant d’entendre des cabinets d’avocats dire qu’ils choisissent de ne pas installer de SIEM pour des raisons budgétaires. Même si cela ressemble à un disque rayé, nous disons souvent à nos entreprises clientes : « Si vous ne pouvez pas vous permettre la sécurité, vous ne pouvez pas vous permettre une violation. »
Et croyez-nous, cette violation est bien plus coûteuse.
Sharon D. Nelson est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA. snelson@senseient.com.
John W. Simek est vice-président de Sensei Enterprises. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale en criminalistique numérique. Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie. jsimek@senseient.com.
Michael C. Maschke est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises. Il est examinateur certifié EnCase et examinateur informatique certifié. mmaschke@senseient.com.
En savoir plus sur l’équipe Sensei :
Image © iStockPhoto.com.
Ne manquez pas nos conseils de gestion de cabinet au quotidien. Abonnez-vous à la newsletter gratuite de Attorney at Work ici >
