La cybersécurité pour les petits cabinets

Sur le plan de la cybersécurité, la pandémie de COVID-19 a ouvert une boîte de Pandore pour nombre de cabinets qui ont virtualisé leurs services : voilà ce qu’affirme Paul J. Unger, de la firme de services-conseils juridiques Affinity Consulting Group à Columbus, en Ohio.

Comme celui-ci l’explique, « du jour au lendemain, les gens ont dû rentrer à la maison et travailler de chez eux. Ils ont sorti leur portable des boules à mites et patenté comme ils le pouvaient un système pour pouvoir se mettre au travail. Ils ont copié leurs documents sur leurs propres disques durs et sur Dropbox, ce qui a décentralisé les données. Et des données éparpillées aux quatre vents, ça ne se protège pas. »

D’après Statistique Canada, les cyberattaques se sont multipliées depuis le début de la pandémie : 42 % des répondants à son sondage de septembre ont rapporté au moins un problème de sécurité en ligne – tentatives d’hameçonnage, attaques par maliciel, cyberfraude, etc.

Voici sept mesures que devraient prendre les cabinets juridiques pour se protéger.

Obtenir une assurance cybersécurité

La première chose à faire pour les cabinets est de communiquer avec leur assureur.

« Il s’agit de mettre le processus en branle, affirme M^e Unger. Et je dis “mettre en branle” parce qu’il vous faudra peut-être faire certaines choses avant de pouvoir souscrire l’assurance. »

En règle générale, la société d’assurance évalue le cabinet et ce qu’il fait pour contrer les cyberattaques.

« Elle pourrait vous demander si vous employez l’authentification à deux facteurs, ou si vous conservez vos mots de passe dans un répertoire crypté. Elle peut vous refuser la police tant que ce ne sera pas le cas. »

Monter un groupe de travail

« Même si vous n’êtes que trois dans le cabinet, dit M^e Unger, je vous conseille de mettre sur pied un groupe de travail sur la cybersécurité qui cernera vos vulnérabilités. »

Pour bien des cabinets, surtout les petits, l’exercice peut s’avérer difficile. « Il va ressortir des choses : un tel qui sauvegarde ses documents sur deux ordinateurs différents, un tel qui verse ses affaires sur Dropbox, un autre qui utilise Google Disque… Il faut recenser tous les programmes employés et toutes les vulnérabilités et déterminer où se trouvent vos données pour pouvoir les protéger », selon M^e Unger.

Retenir les services d’un expert en cybersécurité

C’est la mesure à prendre une fois que le groupe de travail aura produit sa liste des vulnérabilités potentielles, explique M^e Unger, et il est important de choisir quelqu’un qui s’y connaît. « Il ne lui suffit pas de savoir comment configurer un réseau : il vous faut quelqu’un qui a de l’expérience et une certification en cybersécurité. »

Cet expert pourra vous aider à rédiger un programme de sécurité de l’information, à savoir une politique de cybersécurité qui traitera de l’endroit où stocker les documents, de la gestion des mots de passe, du chiffrement des ordinateurs et d’autres mécanismes de cybersécurité.

Ne conserver que l’information nécessaire

Jordan Furlong, un analyste et consultant juridique d’Ottawa, indique que les cabinets devraient déterminer la nature de l’information qu’ils stockent. Beaucoup d’incidents se produisent parce que des pirates informatiques trouvent des données là où elles n’ont pas leur place.

Ses recommandations? « Si vous ne comptez pas utiliser l’information, ne la recueillez pas. Vous n’en avez plus besoin? Ne la gardez pas. N’attendez pas le printemps pour faire un grand ménage dans vos données : faites-le aussi à l’été, à l’automne et à l’hiver pour qu’il n’y ait jamais grand-chose de valeur ou de dommageable pour vos clients dans vos systèmes. »

Sensibiliser le personnel

Une façon courante pour les pirates de sévir consiste à passer par l’adresse courriel de quelqu’un pour envoyer un courriel-hameçon aux personnes qui figurent dans son carnet de contacts, qui croiront le message authentique puisqu’il provient d’une source de confiance, indique Paul Unger.

« Ensuite, ils cliquent sur un lien qui entraîne l’installation d’un script malveillant, conçu pour surveiller l’activité de l’utilisateur sur son ordinateur, s’il ne crypte pas carrément ses fichiers pour les tenir en otage contre rançon, explique-t-il. C’est un gros problème, car les documents peuvent s’en trouver compromis. Et en tant que juristes, nous avons le devoir éthique de prendre des mesures raisonnables pour protéger les documents et leur confidentialité. »

Jordan Furlong abonde dans le même sens, ajoutant que tous les employés d’un cabinet juridique devraient exercer une « bonne hygiène sécuritaire ».

Il renchérit : « Il suffit d’une personne qui ne lit pas le courriel assez attentivement pour remarquer les coquilles ou l’étrangeté de l’adresse. Distraitement, elle clique sur le lien fatal et voilà : c’est la catastrophe. Il faut donc s’assurer que tout le monde dans le cabinet connaît toutes les astuces pour repérer les tentatives d’hameçonnage et sait reconnaître un courriel surveillé. Et surtout, il faut se défaire de l’habitude de cliquer sur un lien dès qu’on le voit. »

Veiller à la cybersécurité à domicile

Selon M^e Unger, les cabinets juridiques doivent aussi voir à ce que les juristes et le personnel qui travaillent de la maison le font de manière sécuritaire.

« Votre spécialiste informatique doit rendre visite aux employés à domicile pour s’assurer que la sécurité de leur poste et les mécanismes de chiffrement de leur routeur sont adéquats. »

Une option qu’il recommande est de passer par un service infonuagique crypté pour stocker les documents.

« Un bon système infonuagique de gestion de documents ou de gestion de cabinet permettra aux utilisateurs de travailler depuis leur domicile – ou d’à peu près partout – en toute sécurité; les serveurs à vos bureaux ne seront pas à la hauteur de la tâche. J’invite les cabinets à explorer les options de ce côté parce que leurs solutions internes seront soit moins sécuritaires, soit beaucoup plus chères à implanter. »

Revoir et actualiser continuellement son programme

La cybersécurité est un processus continu.

« N’allez pas remercier votre groupe de travail après seulement trois mois, fait valoir M^e Unger. Non, vous devez établir une continuité, parce que la technologie évolue si vite que le groupe devra constamment évaluer et réviser vos politiques ainsi que la technologie que vous utilisez. Du jour au lendemain, vous pourriez voir surgir de nouveaux risques qui viendront tout chambouler. »

M^e Unger suggère aux cabinets d’organiser régulièrement des séances de formation sur divers thèmes de la cybersécurité, comme l’hameçonnage, la gestion des mots de passe et les formes courantes de cyberattaques. « Il est important que les gens sachent que c’est un problème qui est là pour rester. »