Attaque cybernétique : le nouveau défi des cabinets

Plus ou moins, répond Michael Sugrue, le président chez Pace technical, une entreprise ontarienne spécialisée dans la protection des données des entreprises.

« Beaucoup croient à tort qu'elles n'ont besoin que d'outils de sécurité pour se protéger. Cependant, malgré l'installation d'un pare-feu, d'un antivirus et des sauvegardes, nous entendons encore parler d'attaques tous les jours », dit-il.
« La plupart des cabinets d'avocats prennent le risque au sérieux, mais bon nombre d'entre eux ne sont pas bien informés sur la bonne façon d'atténuer ces risques. Ils ont recours à un service TI ou ont des ressources internes en TI et pensent qu'ils sont protégés. Malheureusement, la plupart d'entre eux ne disposent pas d'un véritable processus proactif de gestion informatique, ce qui les rend vulnérables », poursuit-il.

Des proies de choix

Les cabinets d'avocats, de par les renseignements dont ils disposent sur leurs clients, font partie des proies de choix pour les pirates informatiques. Aux États-Unis, un article du Law.com rapporte qu'une centaine de cabinets d'avocats américains ont été victimes d'attaques cybernétiques depuis 2014, et ce chiffre augmente d'année en année.

Austin Berglas, ancien directeur de la branche cybernétique du FBI à New York et aujourd'hui responsable mondial des services professionnels de la société de cybersécurité BlueVoyant, explique que les cabinets représentent des « guichets uniques. Et parce que le succès des cabinets d'avocats est souvent lié à leur réputation de préserver le secret professionnel, ils peuvent être plus enclins à payer les pirates s'ils sont victimes d'une rançon ».
« De nombreuses entreprises qui ne sont pas correctement protégées perdent des milliers d'heures facturables en raison du temps que cela va mettre à l'entreprise informatique de récupérer les données ou au cabinet de payer une rançon (demandée par les pirates informatiques) », explique Michael Sugrue.

Le procureur du district sud de New York, Preet Bharara, a aussi récemment déclaré : « vous (les cabinets, NDLR) êtes et serez la cible de piratage informatique parce que vous possédez des renseignements précieux pour les criminels ».

Malheureusement, beaucoup de cabinets semblent estimer que la cybersécurité est un coût qui a une incidence sur leurs profits. Toujours d'après Pace Technical, la situation est en train de changer, puisque les cabinets d'avocats dépensent environ 2 % de leurs revenus pour la cybersécurité.

M. Surgue leur conseille de certes, avoir de bons par-feu et de bons antivirus, de vérifier régulièrement les systèmes installés, de faire des mises à jour, mais aussi d'« éduquer » les utilisateurs, donc les employés.

« L'ingénierie sociale, qui consiste essentiellement à amener un utilisateur à faire quelque chose qu'il ne devrait pas faire, a été un moyen très efficace utilisé par les cybercriminels. Même une formation de base pour les utilisateurs sur l'identification des courriels suspects peut réduire considérablement les risques pour une entreprise », explique-t-il.

Les cabinets ne doivent pas non plus négliger les coûts associés à la défense d'une poursuite intentée par un client ou d'un recours collectif victimes du piratage du cabinet.

Aux États-Unis par exemple, déjà en 2017, les formulaires fiscaux d'une centaines d'employés - actuels et passés - de Jenner & Block ont été dérobés, exposant leurs adresses privées, leur numéros d'assurance social et leurs informations salariales. Au total, 859 personnes ont été concernées par cette faille.

Comment ? Tout simplement car des employés avaient répondu à une demande par courriel de la direction qu'ils croyaient être légitime. Le hameçonnage est d'ailleurs la principale technique utilisée pour infiltrer les réseaux des cabinets.

Des cabinets discrets

« Les cabinets d'avocats sont assez discrets sur la façon dont ils signalent les atteintes à la protection des données », déclare Claudia Rast, chef du groupe cybersécurité de Butzel Long et membre du groupe de travail juridique sur la cybersécurité de l'American Bar Association.

DLA Piper, par exemple, a été victime d'une importante cyberattaque à l'été 2017, qui a détruit des téléphones et des ordinateurs dans toute l'entreprise. Un porte-parole du cabinet a assuré à Law.com qu'« aucune donnée client n'a été volées. »

Contacté par Droit-inc pour savoir comment, depuis cet événement, le cabinet - du moins sa branche montréalaise - protège les données de ses clients, le cabinet n'a pas retourné nos appels.

Chez BCF, on assure prendre ce risque au sérieux. « La protection des données de nos clients et de nos employés est une priorité pour notre équipe TI. Nous faisons aussi appel à des conseillers externes », dit Danielle Miller Olofsson, la cheffe de la protection de la vie privée et du savoir au cabinet.

« Ce ne sont pas des exercices ponctuels, cela fait partie d'un calendrier de vérifications précis. On apprend à nos avocats à bien réagir et à adopter les bons réflexes », ajoute-t-elle.

À sa connaissance, BCF n'a jamais été victime de tentative d'intrusion malveillante. Au Canada, les entreprises qui tombent sous l'égide de la loi fédérale sont tenues d'informer leurs clients que leurs données ont été compromises. À celles-ci, elle conseille la coopération. Le seule moyen selon elle d'espérer sauver la réputation de l'entreprise.