Au-delà du pare-feu

Dans un monde où les risques de cybersécurité se multiplient, tous les cabinets d’avocats doivent être à la hauteur pour contrecarrer des attaques et prévenir les intrusions qui risquent de nuire à leur réputation et à leurs activités.

Les menaces sont plus complexes et plus nombreuses que jamais. « Nous sommes témoins d’un changement dans la nature de ces menaces, et c’est pourquoi les organi­sations doivent accentuer leurs efforts, cibler leurs priorités et affirmer leur imputabilité pour contrer efficacement les risques », défend Adam Kardash, associé chez Osler, Hoskin & Harcourt à Toronto.

Les cabinets d’avocats sont une mine d’or pour les cybercriminels qui comprennent que « parfois, le meilleur moyen d’atteindre sa cible est de passer par un fournisseur de services ou une personne qui détient des renseignements confidentiels sur cette cible, parce que leurs façons de faire sont parfois moins rigoureuses, explique Carolena Gordon, associée chez Clyde & Co. à Montréal. Les cybercriminels pourraient donc se servir des cabinets pour atteindre des clients influents. »

Les avocats sont soumis à toutes sortes d’obligations éthi­ques, juridiques et contractuelles; ils sont tenus, par des règles d’éthique professionnelle, d’assurer la plus stricte confidentialité des renseignements concernant les affaires de leurs clients. Selon Me Kardash, les cabinets devraient savoir que, « le plus souvent [ils] sont assujettis aux lois applicables en matière de confidentialité dans le secteur privé ». Les clients peuvent d’ailleurs imposer des exigences commerciales relativement à la protection de leurs renseignements, ajoute Kevvie Fowler, associé, services-conseils, de KPMG à Toronto.

Il est donc primordial de mettre sur pied un programme de gestion des données. D’après Me Kardash, il faudrait, dans les grands cabinets, créer des comités formés de divers intervenants des ser­vices responsables de la gestion et de la conservation des données pour élaborer des politiques, des pratiques et des procédures d’encadrement des données, de leur apparition à leur destruction.

Il faut pour cela implanter des mesures assurant la protection de la technologie utilisée dans les cabinets. « Il faudra ainsi inspecter les appareils et les tenir à jour, s’assurer que tous utilisent des mots de passe [sécuritaires], qu’ils sont conscients des divers dangers et qu’ils prennent des précautions pour garantir la confidentialité des renseignements, surtout sur les appareils porta­tifs », explique Dan Pinnington, vice-président, prévention des réclamations et relations avec les intervenants, de LawPRO à Toronto.

L’utilisation accrue des ordinateurs portatifs, des téléphones intelligents et des tablettes pose un énorme défi en matière de confidentialité, puisque les renseignements confidentiels sur les­quels travaillent les avocats en dehors du bureau doivent être protégés eux aussi. « De nombreux appareils sont maintenant pourvus de fonctions de chiffrement qu’il est relativement facile d’activer et qui procurent une protection supplémentaire en cas de perte ou de vol », souligne Me Pinnington.

L’infonuagique est une autre solution, selon Me Gordon, qui constate que beaucoup d’avocats ne conservent rien sur les portatifs qu’ils amènent à la maison : « Quand je suis chez moi ou ailleurs et que je me connecte à Internet, j’utilise un jeton ou une clé pour entrer dans le système. Je me trouve alors sur un réseau protégé où je peux accéder à mes documents ou à mes renseignements. C’est ce qu’on attend de nous, aujourd’hui. »

Cela rappelle l’importance de protéger la confidentialité des serveurs des cabinets, auxquels il faut à tout le moins un bon pare-feu mis à jour régulièrement, ajoute-t-elle. « Le service des technologies de l’information ou le conseiller en TI doit le tenir à jour et l’adapter au contexte actuel, parce qu’un seul virus peut détruire tout un réseau. »

Idéalement, les cabinets devraient faire installer un système de protection contre les intrusions (IPS) qui « surveille le trafic d’un réseau pour tenter de détecter les structures de trafic malveillantes en se basant sur une liste de signatures connues », recommande M. Fowler. Mais même cette technique ne suffit plus aujourd’hui, et les plus rusés utilisent la détection des extrusions.

« Le problème des [IPS], c’est qu’on ne connaît pas toutes les mauvaises signatures, ajoute-t-il. C’est pourquoi les organisations les plus proactives se tournent vers la détection des extrusions. Elles cherchent toujours à empêcher les intrus d’entrer, mais elles se sont rendu compte que certains étaient déjà dans le réseau. En détectant les extrusions, elles espèrent déterminer à quel moment ces intrus trouvent des renseignements délicats et cherchent à les transférer ailleurs. »

Toutefois, les plus strictes mesures de sécurité ne seront d’aucune utilité si les utilisateurs ne sont pas correctement formés. « Quiconque s’y connaît un peu vous dira que le plus grand risque vient de l’utilisateur, explique Me Gordon. S’il ne sait pas ce qu’il fait et qu’il n’a pas conscience des risques, les [cybercri­mi­nels] entrent alors en jeu. »

La cybersécurité doit être prise au sérieux d’abord par la haute direction : « Les dirigeants doivent donner le ton, affirme Me Kardash. Il est bien connu qu’une gestion efficace des données passe par l’engagement réel et sincère des dirigeants. »

Il leur faut donc allouer les fonds et les ressources nécessaires à la cybersécurité pour montrer qu’ils ne plaisantent pas du tout avec ce risque : « Les associés devraient faire savoir aux avocats adjoints et aux jeunes avocats du cabinet qu’ils s’intéressent de près à la cybersécurité, fait valoir Me Gordon. Nous prêchons par l’exemple en travaillant neuf ou dix heures par jour, et nous devons faire de même en ce qui concerne la cybersécurité, pour qu’ils comprennent que cela fait partie de notre travail. »

Enfin, sachez qu’il n’existe pas de panacée pour la protection des données. « Il n’y a pas de solution magique, malheu­reusement, remarque Me Pinnington. Il s’agit d’une ques­tion complexe pour laquelle vous devez prendre de nombreuses mesures. » 

Préserver la confidentialité

Envoyer un courriel non chiffré ou une carte postale revient au même : les petits génies de l’informatique peuvent trouver et lire votre message sur Internet. De nombreux cabinets optent donc pour les courriels chiffrés afin de préserver la confidentialité de leurs communications. Voici ce dont vous devez tenir compte si vous y pensez aussi :

• De nombreux clients exigent maintenant un système de courriel chiffré pour leurs relations avec des fournisseurs de ser­vices juridiques, parce c’est une excellente façon de garantir la confidentialité de leurs renseignements.

• Il est plus facile de mettre en place un tel système à l’interne qu’à l’externe, où le défi est de taille : le cabinet et le client doivent alors l’installer sur leurs serveurs respectifs.

• Les produits sont légion et les solutions, variées : trouvez celle qui vous convient.