Menaces et enjeux pour le cabinet d’avocats...
Il est vital de prendre conscience que toute structure, indépendamment de son type ou de sa taille, peut être victime d’un cyberdélinquant. Les criminels du cyberespace ne font pas de distinction entre les grandes entreprises ou les petites structures indépendantes. Tant qu’il y a de l’argent à la clé, ils tenteront leur chance. Toute structure dont la sécurité est faible, y compris un cabinet d’avocats, est une proie potentielle.
Si les petites structures sont si attrayantes pour les pirates informatiques, c’est parce qu’elles ne disposent souvent pas des ressources nécessaires pour garantir la sécurité de leur parc informatique.
Pour se protéger de ces actes malveillants, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recommande des mesures qualifiées « d’hygiène informatique » afin de bien sécuriser son environnement et équipements de travail.
Elles ne sont pas exhaustives. Elles constituent cependant le socle minimum des règles à respecter pour protéger les informations du cabinet.
Les recommandations de l’ANSSI.
1- Connaître le système d’information et ses utilisateurs
La connaissance de son système d’information est un préalable indispensable à sa sécurisation.
Le cabinet d’avocats doit disposer d’une cartographie précise de l’installation informatique et la maintenir à jour. Elle doit comprendre au minimum les éléments suivants :
la liste des ressources matérielles et logicielles utilisées ;
une architecture réseau sur laquelle sont identifiés les points sensibles (connexions externes, serveurs hébergeant des données, etc..) ;
Par ailleurs, le cabinet doit posséder un inventaire exhaustif des comptes utilisateurs et le mettre à jour, notamment à chaque départ et arrivée (mots de passe par exemple).
2- Maîtriser le réseau
Il est important de limiter le nombre d’accès Internet au cabinet au strict nécessaire et interdire la connexion d’équipements personnels au système d’information. L’ANSSI précise que les équipements personnels (ordinateur portable, clé USB, tablettes, smartphone, MP3, etc) sont difficilement maîtrisables par la structure dans la mesure où ce sont les utilisateurs eux-mêmes qui décident du niveau de sécurité de leurs équipements. Les mesures de sécurité en vigueur au sein du cabinet ne peuvent donc pas s’appliquer à ce type d’équipement. Cette mesure est le plus souvent perçue comme une contrainte rétrograde par de très nombreux utilisateurs. Cependant, y déroger facilite grandement le travail d’un attaquant en fragilisant le réseau du cabinet.
3- Mettre à jour les logiciels
Il est primordial de déterminer comment les logiciels utilisés par le cabinet peuvent être mis à jour (pour corriger les failles de sécurité). Si un logiciel ne peut être mis à jour, il est vivement conseillé de ne pas l’utiliser. Les mises à jour doivent être téléchargées uniquement depuis des sites de confiance (en général le site éditeur).
4- Authentifier l’utilisateur
Chaque personne ayant accès au système doit pouvoir être identifiée nommément. Concernant les mots de passe, des règles de choix et de dimensionnement doivent être définies. Le cabinet doit donc sensibiliser son personnel sur les risques liés au choix d’un mot de passe qui puisse être deviné trop facilement et à la réutilisation de mots de passe en particulier entre messageries personnelles et professionnelles.
Afin de s’assurer que ces mesures soient bien appliquées, il est possible de mettre en place des moyens techniques permettant de les faire respecter. Par exemple, il est possible de bloquer un compte utilisateur tous les 6 mois tant que le mot de passe n’a pas été changé. Il va de soi qu’il ne faut pas conserver les mots de passe en clair dans des fichiers au sein du système informatique...
5- Sensibiliser
L’action la plus importante pour le cabinet est probablement celle de sensibiliser son personnel aux règles « d’hygiène informatique » élémentaire. Chaque utilisateur devrait en permanence se voir rappeler que les informations traitées doivent être considérées comme sensibles. De plus, il doit avoir conscience que la sécurité de ces informations repose sur l’exemplarité de son comportement et le respect des règles élémentaires « d’hygiène informatique ».
6 – Faire auditer la sécurité du système informatique
Chaque année, le cabinet devrait faire auditer son système d’information qui devrait être associé à un plan d’action dont la mise en œuvre est suivie au plus haut niveau. L’audit est le seul moyen efficace de constater concrètement l’efficacité des mesures mises en œuvre par le cabinet.
En conclusion...
La perte ou le vol de certaines informations ou l’indisponibilité de son système d’information peuvent avoir de lourdes conséquences pour le cabinet : perte de confiance des clients, des partenaires, avantage pris par un confrère lors d’une procédure. Protéger ses données et son réseau informatique se révèle donc crucial pour la pérennité du cabinet... Et si tout ce qui est présenté ci-dessus est contraignant, pensez que c’est un investissement utile en cas d’attaque ou de malveillance, et au-delà en cas de perte matérielle (incendie, inondation, vol...) pour envisager de reprendre au plus vite son activité.
Discussions en cours :
Faire delà sécurité périmetrique c’est bien, mais ce n’est pas suffisant.
Sécuriser ses documents, quand ils sont en mouvement, c’est mieux,
savoir qui y a eu accès, qui les a manipulé, c’est mieux.
Gérer et modifier à tout moment les règles d’accès aux fichiers, quelque soit leur localisation. Ca c’est le top.
M. CLAVEL
(+33 660791844)
J’observe, un rien marri, que depuis pas mal d’années maintenant, les propos sur la sécurité informatique occultent complétement le mot « virus ». Un signe des temps, assurément, et cet article enfonce le clou. On nous rappelle les recommandations de l’ANSSI qui (que l’on me rectifie si je me trompe) travaille sur le concept de sécurité informatique. Je fais hélas le même constat : le mot « virus » est même pas cité ne serait-ce qu’une fois, ne serait-ce que pour passer aussitôt à autre chose sans développer quoique ce soit.
Même les livres blancs sur la sécurité informatique en font autant.
Hier, j’ai été saisi d’un cas de contamination avec, comme effet pervers, un cryptage de bon nombre de fichiers dont des images et des fichiers Word. S’il existe la possibilité de transmettre pour traitement ce genre de fichiers aux supports techniques des éditeurs d’anti-virus, aucune garantie de bonne fin n’est évidemment donnée. Et quand bien même l’on réussirait à remettre tout d’équerre, que fait-on de cette perte de confidentialité possible résultant du transfert de fichiers à des structures tierces ?
Concernant un cabinet d’avocat, par exemple, je laisse chacun apprécier le problème déontologique que pose le fait de voir divulgués :
un fichier Word,
une image
correspondance entre l’avocat et son client dévoilant la stratégie de défense
, pièce à conviction et désormais inexploitable si l’éditeur anti-virus ne parvient pas à décrypter l’image corrompue
26 années après le premier virus médiatique ("Jérusalem " automne 1989), AUCUNE formation universitaire ou professionnelle n’existe concernant le risque de malveillance de type virus. Sans commentaire.
L’ANSSI, encore elle, a pondu un PDF intitulé crânement et dont la rédaction remonte à 2001 comme on l’apprend, presque par hasard, dans les 4 dernières lignes. Rapport complètement anonymisé, cela dit en passant : on croit rêver !
Je laisse à chacun de soin de juger si des recommandations techniques (et anonymes) vieilles d’une quinzaine d’années restent fiables en matière de virus où les mises à jour des produits sont pluri-quotidiennes !
Le professionnel que je suis ne peut pas applaudir.
Quid de la jurisprudence autour de l’article 323 et suivants du CP pourtant maintenant âgé de 13 — treize — années ? Néante ou presque.
Sans commentaire et sans applaudissement, on l’aura compris.
Cordialement,
—
Gerard Mannig
ex-membre de la Wild List
Découveur de 23 virus - Veille Internet, Web visible et invisible.
http://fr.linkedin.com/in/gerardmannig
Modérateur de la liste "WebSite-Watcher" française