Nouvelles

Les avocats dans les filets des hackers

Main image

Céline Gobert

2015-03-25 15:00:00

Que cherchent les pirates ? Comment vont-ils utiliser les informations dérobées dans les cabinets ? Comment les avocats peuvent-ils se protéger ? Droit-inc fait le point sur la question...

Peter Tyrell, directeur de la firme Digital Guardian.
Peter Tyrell, directeur de la firme Digital Guardian.
80 % des grands cabinets américains auraient subi des violations de données suite à des attaques de pirates informatiques, selon Peter Tyrell, directeur de la firme Digital Guardian.

Il serait « réaliste » d’évoquer un chiffre similaire chez nous, selon l’expert Me Dominic Jaar, associé et leader national des Services de Gestion de l’Information chez KPMG, si tant est que l’on puisse réellement quantifier ou identifier toutes les attaques subies.

Les chiffres qu’indique KPMG pour l’année 2012 parlent d’eux-mêmes: les 2.5% de la perte de données informatiques, que ce soit dans le stockage ou la transmission d’informations, concernent le secteur juridique. Les causes majeures ? Sans surprise, à 63% il s’agit de hacking. À 11% de fraude et “d’ingénierie sociale”, autre nom pour parler d’escroquerie virtuelle.

Ce n’est pas étonnant lorsque l’on sait que les grands cabinets d’avocats possèdent des informations à très haute valeur pour le pirate: propriété intellectuelle, renseignements personnels sur les grandes entreprises clientes, ou encore détails sur de futures fusions et acquisitions. Le plus souvent, ce sont moins les firmes d’avocats que les grands groupes qu’ils représentent qui sont visés.

Deux branches du hacking

Me Vincent Gautrais, avocat et professeur titulaire de la chaire en droit de la sécurité et des affaires électroniques à l’Université de Montréal
Me Vincent Gautrais, avocat et professeur titulaire de la chaire en droit de la sécurité et des affaires électroniques à l’Université de Montréal
La première concerne l’espionnage industriel pur et simple, ce que l’on appelle du « insider hacking ». Le pirate cherche de l’information afin d’acheter des actions boursières, celles prêtes à grimper en flèche en cas de fusion, celles qui vont s’effondrer, en cas de problèmes d’insolvabilité par exemple.

Il peut aussi s’agir de voler, comme nous l’explique Me Vincent Gautrais, avocat et professeur titulaire de la chaire en droit de la sécurité et des affaires électroniques à l’Université de Montréal, un volume massif de données personnelles afin de construire des profils, concernant aussi bien des personnes physiques que morales. Les hackers pourront par la suite vendre ces informations aux concurrents des cabinets concernés. Dans les deux cas, la finalité est la même: faire de l’argent.

La seconde forme de hacking se veut socio-politique : c’est « l’hacktivisme ». Les cabinets d’avocats sont la cible d’attaques en raison des clients qu’ils représentent: il s’agit de hacking « à visée sociale ».

Citons le cas médiatisé de l’équipe juridique du cabinet Puckett and Faraj, dont les courriels ont été révélés après qu’elle ait représentée un sergent qui a bombardé une ville d’Irak et tué 24 civils désarmés. Le cabinet d’avocats a été piraté par le collectif Anonymous pour dénoncer l’impérialisme américain et un système juridique qu’il juge corrompu. Rappelons également les attaques du site web du cabinet anglais Gallant Macmillan, après que les avocats soient partis en guerre contre le téléchargement illégal et Pirate Bay.

Fishing et secret professionnel

Dominic Jaar, associé et leader national des Services de Gestion de l’Information chez KPMG
Dominic Jaar, associé et leader national des Services de Gestion de l’Information chez KPMG
Le cas Wallace & Pittman en Caroline du Nord est intéressant lorsque l’on sait qu’encore de nombreux cabinets canadiens tombent dans le panneau du fishing. Avec cette technique, l’avocat clique sur un lien envoyé dans un courriel et installe, sans le vouloir, un petit logiciel sur son ordinateur, appelé « key logger», qui permet au pirate de voir tout ce que ce dernier tape sur son clavier.

C’est ainsi que le cabinet Wallace & Pittman s’est fait dérober 300 000 dollars, montant que la banque a refusé ensuite de rembourser évoquant la « négligence » du cabinet, et exigeant via ce refus la définition d’une norme raisonnable de protection.

« L’éducation et la sensibilisation du personnel sont essentielles, commente Me Jaar. Comment 300 000 dollars peuvent-ils être transférés ainsi sans vérification ? Il y a des questions à se poser quant à la gouvernance en place au sein du cabinet.»

D’ailleurs, en cas de piratage, et en raison de son obligation de secret professionnel, dans quelle mesure l’avocat peut-il être tenu responsable ? « C’est la question à 1000 dollars ! », plaisante Me Gautrais.

En effet, seul l'article 26 de la Loi concernant le cadre juridique des technologies de l’information offre une maigre idée de la responsabilité des avocats; il dispose que « le prestataire est tenu, par des moyens technologiques convenus, d’en assurer la sécurité, d’en préserver l’intégrité, d’en protéger la confidentialité et d’en interdire l’accès aux personnes qui ne sont pas habilitées à le connaître ». Tout porte à croire, selon le professeur, que la jurisprudence viendra augmenter la responsabilité des avocats et offrir un meilleur encadrement. Ce sera, peut-être même, nécessaire.

Comment les cabinets peuvent-ils se protéger ?

Le maître mot et la solution universelle pour prévenir toute forme de piratage est la documentation, explique Me Gautrais. « Les bureaux d’avocats doivent mettre en place des procédures qui expliquent aux avocats comment les données sont conservées. » Il y a encore trop d’ignorance de la part des professionnels au sein des firmes. Sans un encadrement mieux défini de la part du Barreau, le cadre juridique en matière de protection de données dans lequel évoluent les avocats demeure trop flou.

Mais bien qu’il soit majeur, le facteur humain, ainsi que la « culture de la sécurité » que l’on doit inculquer au personnel, n’est qu’un des éléments à prendre en compte au sein des cabinets.

Il n’y a pas de « recette miracle », selon Me Jaar, mais un nombre de pistes à creuser notamment en matière de leadership et de gouvernance. Selon lui, il faut qu’il y ait des lignes directrices claires posées par les dirigeants et concernant les aspects juridiques de conformité, la protection des renseignements personnels ou du secret professionnel. Si elles ne sont pas respectées, il faut « des sanctions», dit-il, et des « responsables ».

Il serait toutefois difficile d’établir des sanctions quand la preuve du manquement n’est pas toujours évidente, tempère Me Gautrais, qui garde en tête les contours flous de la Loi sur les TI. « Mais on y arrive, on voit de plus en plus une conscientisation de certains tribunaux qui ont tendance à sanctionner. »

Prévoir un plan en cas d’attaque

La responsabilité doit être placée au plus haut niveau possible, sur les dirigeants, sur ceux qui ont les budgets et les moyens d’instaurer des mesures importantes, selon Me Jaar. Aussi, la gestion du risque de l’information doit être pensée et exécutée en équipe, entre les différents partenaires du cabinet.

En cas de crise, il faut avoir défini un plan de reprise clair, « mature », et « éprouvé », selon Me Jaar; plan qui a été pratiqué AVANT la crise. « Il faut à tout prix s’éviter le stress qui vient avec la crise: il faut parler aux médias, contacter les clients, on ne peut alors pas avoir de recul et penser aux éléments parallèles. »

Enfin, selon l’expert, il ne faut pas tout miser sur la technologie. Les avocats ne doivent pas penser qu’ils « achètent la paix » en utilisant la technologie qui n’est à elle seule pas suffisante et dont les hackers traquent et identifient les failles dès les premiers jours de sa mise en marché.
7557

Publier un nouveau commentaire

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires