Les études peinent à évaluer ce risque et à s’adapter de façon efficace à cette nouvelle menace. En premier lieu, nombreux avocats ne réalisent pas la valeur de ces données ni comment un individu malveillant pourrait les exploiter. Deuxièmement, bien que les bureaux soient presque tous équipés d’un système d’alarme afin de protéger leurs dossiers, rares sont les études possédant cette équivalence dans le monde digital. Pourtant, les études sont aujourd’hui une cible systématique des hackeurs, car pirater une étude d’avocats présente l’avantage d’être peu coûteux à exécuter tout en offrant une rentabilité rapide.

En effet, leurs systèmes constituent une source riche et profonde d’informations confidentielles, que ce soit des données de santé et financières des personnes physiques ou les valeurs de propriété intellectuelle et secrets commerciaux des personnes morales. De surcroît, les études ne détiennent pas seulement les données les plus sensibles de leurs clients, mais ont aussi des droits de procuration sur leurs biens, sociétés et fortunes.

Que ce soit pour de l’espionnage industriel sur un projet de fusion, l’acquisition d’avantages stratégiques dans un cas de litige, le vol d’informations privilégiées sur une personne, les hackeurs sont à la recherche de ces informations pour leur propre utilisation ou pour les revendre.

Les techniques, tactiques et procédures des hackeurs visant les études d’avocats sont assez uniques. Nous entendons beaucoup parler des ransomware dans les médias, mais ce danger n’est pas la plus grande menace pour les avocats. Les hackeurs, en visant une étude, s’intéressent principalement à ses clients ; ainsi, le hackeur prendra toutes les précautions nécessaires afin de rester caché et indétecté des mois, voire des années, afin d'exfiltrer des informations sur un long terme. Additionnellement, nous voyons aussi des attaques de type sabotage (piratage sur l’intégrité des données), où le hackeur va corrompre des informations détenues par l’étude, par exemple pour changer le compte destinataire d’un transfert, insérer des informations erronées dans un dossier ou détruire des preuves.

Nous remarquons souvent des exceptions graves aux règles de sécurité nécessaires, imputées aux demandes de clients exigeants et au coût élevé du tarif horaire des avocats qui prône l’efficacité et le rendement sur la sécurité.

De ce fait, certains associés adoptent une attitude de « cette règle ne s’applique qu’aux autres, mais pas à moi » et de nombreux clients exigent « je veux que ça se fasse de cette façon et pas autrement » ; c’est ainsi que nous voyons des études utiliser DropBox (qui permet à leurs employés et aux "tiers de confiance" d'accéder et consulter les fichiers stockés sur leurs serveurs) même lorsque cette pratique est interdite dans leurs règlements internes.

L’utilisation du Cloud est aussi un enjeu pour les études. Bien que, de façon générale, ces solutions soient plus sécurisées qu’une infrastructure sur site, les problématiques de résidence des données, cryptage, dépendance du fournisseur, contrôle interne et droit à l’audit font que la transition est souvent difficile, impliquant des diligences et négociations contractuelles. C’est pour cela que beaucoup d’études restent réticentes à ces nouvelles technologies et refusent de migrer.

Avec près de 3’000 avocats en Suisse romande répartis dans approximativement 1’000 études, la majorité des établissements légaux sont des petites structures. De ce fait, ils ne peuvent pas assumer en interne toutes les tâches et doivent faire appel à des fournisseurs tiers. Lors de l’externalisation des services conventionnels, tels que le nettoyage de bureaux, le contrôle de la qualité du travail rendu est aisé ; par contre, pour ce qui a trait à la cyber-sécurité, il n’est possible d’évaluer son efficacité qu’en cas d’incident. Dans ce contexte, nombreuses études pensent être correctement protégées par leur prestataire jusqu’au jour de la catastrophe.

De l’autre côté du spectre, les grandes études internalisent leurs services informatiques, mais leurs équipes sont généralement surchargées rien que par la fourniture et gestion quotidienne des services informatiques opérationnels ; ainsi, ils n’ont tout simplement pas le temps ni les ressources nécessaires pour traiter le domaine de la cybersécurité.

En conclusion

Alors que la pratique du droit devient de plus en plus numérique et dépend des nouvelles technologies, les études d’avocats doivent comprendre comment rester les dépositaires de confiance des données de leurs clients. Pour ne pas devenir le maillon faible de ses clients, une étude d'avocats se doit de connaître leurs risques et leurs adversaires, et cela afin de pouvoir mettre en place les outils de sécurité appropriés. Aussi, elle doit définir des canaux de communication sécurisés, cryptés et authentifiés afin de s'assurer de la confidentialité et intégrité de ses échanges.

Finalement, comme toute entreprise, elle doit suivre les cyber-hygiènes de base, que ce soit dans la configuration de son infrastructure, la protection de ses appareils, la détection des incidents et la mise en place d’une procédure post-attaque.

Vous avez trouvé une erreur?Merci de nous la signaler.