Village de la Justice www.village-justice.com

Avocats, pensez à sécuriser votre système d’informations !
Parution : mardi 6 mai 2014
Adresse de l'article original :
https://www.village-justice.com/articles/Avocats-pensez-securiser-votre,16814.html
Reproduction interdite sans autorisation de l'auteur.

Au même titre que les PME, les cabinets d’avocats ne sont pas à l’abri des cybercriminels. Mais, beaucoup d’avocats ne prennent pas ces menaces et la sécurité en général au sérieux et se retrouvent à la merci des délinquants informatiques ou à de la malveillance (une personne mécontente dans le cabinet par exemple...).

Menaces et enjeux pour le cabinet d’avocats...

Il est vital de prendre conscience que toute structure, indépendamment de son type ou de sa taille, peut être victime d’un cyberdélinquant. Les criminels du cyberespace ne font pas de distinction entre les grandes entreprises ou les petites structures indépendantes. Tant qu’il y a de l’argent à la clé, ils tenteront leur chance. Toute structure dont la sécurité est faible, y compris un cabinet d’avocats, est une proie potentielle.

Si les petites structures sont si attrayantes pour les pirates informatiques, c’est parce qu’elles ne disposent souvent pas des ressources nécessaires pour garantir la sécurité de leur parc informatique.

Pour se protéger de ces actes malveillants, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) recommande des mesures qualifiées « d’hygiène informatique » afin de bien sécuriser son environnement et équipements de travail.

Elles ne sont pas exhaustives. Elles constituent cependant le socle minimum des règles à respecter pour protéger les informations du cabinet.

Les recommandations de l’ANSSI.

1- Connaître le système d’information et ses utilisateurs

La connaissance de son système d’information est un préalable indispensable à sa sécurisation.
Le cabinet d’avocats doit disposer d’une cartographie précise de l’installation informatique et la maintenir à jour. Elle doit comprendre au minimum les éléments suivants :
- la liste des ressources matérielles et logicielles utilisées ;
- une architecture réseau sur laquelle sont identifiés les points sensibles (connexions externes, serveurs hébergeant des données, etc..) ;

Par ailleurs, le cabinet doit posséder un inventaire exhaustif des comptes utilisateurs et le mettre à jour, notamment à chaque départ et arrivée (mots de passe par exemple).

2- Maîtriser le réseau

Il est important de limiter le nombre d’accès Internet au cabinet au strict nécessaire et interdire la connexion d’équipements personnels au système d’information. L’ANSSI précise que les équipements personnels (ordinateur portable, clé USB, tablettes, smartphone, MP3, etc) sont difficilement maîtrisables par la structure dans la mesure où ce sont les utilisateurs eux-mêmes qui décident du niveau de sécurité de leurs équipements. Les mesures de sécurité en vigueur au sein du cabinet ne peuvent donc pas s’appliquer à ce type d’équipement. Cette mesure est le plus souvent perçue comme une contrainte rétrograde par de très nombreux utilisateurs. Cependant, y déroger facilite grandement le travail d’un attaquant en fragilisant le réseau du cabinet.

3- Mettre à jour les logiciels

Il est primordial de déterminer comment les logiciels utilisés par le cabinet peuvent être mis à jour (pour corriger les failles de sécurité). Si un logiciel ne peut être mis à jour, il est vivement conseillé de ne pas l’utiliser. Les mises à jour doivent être téléchargées uniquement depuis des sites de confiance (en général le site éditeur).

4- Authentifier l’utilisateur

Chaque personne ayant accès au système doit pouvoir être identifiée nommément. Concernant les mots de passe, des règles de choix et de dimensionnement doivent être définies. Le cabinet doit donc sensibiliser son personnel sur les risques liés au choix d’un mot de passe qui puisse être deviné trop facilement et à la réutilisation de mots de passe en particulier entre messageries personnelles et professionnelles.

Afin de s’assurer que ces mesures soient bien appliquées, il est possible de mettre en place des moyens techniques permettant de les faire respecter. Par exemple, il est possible de bloquer un compte utilisateur tous les 6 mois tant que le mot de passe n’a pas été changé. Il va de soi qu’il ne faut pas conserver les mots de passe en clair dans des fichiers au sein du système informatique...

5- Sensibiliser

L’action la plus importante pour le cabinet est probablement celle de sensibiliser son personnel aux règles « d’hygiène informatique  » élémentaire. Chaque utilisateur devrait en permanence se voir rappeler que les informations traitées doivent être considérées comme sensibles. De plus, il doit avoir conscience que la sécurité de ces informations repose sur l’exemplarité de son comportement et le respect des règles élémentaires « d’hygiène informatique  ».

6 – Faire auditer la sécurité du système informatique

Chaque année, le cabinet devrait faire auditer son système d’information qui devrait être associé à un plan d’action dont la mise en œuvre est suivie au plus haut niveau. L’audit est le seul moyen efficace de constater concrètement l’efficacité des mesures mises en œuvre par le cabinet.

En conclusion...

La perte ou le vol de certaines informations ou l’indisponibilité de son système d’information peuvent avoir de lourdes conséquences pour le cabinet : perte de confiance des clients, des partenaires, avantage pris par un confrère lors d’une procédure. Protéger ses données et son réseau informatique se révèle donc crucial pour la pérennité du cabinet... Et si tout ce qui est présenté ci-dessus est contraignant, pensez que c’est un investissement utile en cas d’attaque ou de malveillance, et au-delà en cas de perte matérielle (incendie, inondation, vol...) pour envisager de reprendre au plus vite son activité.

Réginald Le Plénier Rédaction du Village de la justice
Comentaires: