Les services juridiques traitent au quotidien de nombreuses données sensibles (santé de marché financiers, informations relatives au personnel, comptes bancaires, etc.) dont la protection est régie par de nombreux textes de lois, à l’image du RGPD entré en vigueur en mai dernier.
Dans ce contexte, en cas de violation de la sécurité des données, les cabinets juridiques peuvent non seulement se voir infliger des sanctions juridiques et financières, mais la relation de confiance qu’ils ont établie avec leurs clients peut aussi être considérablement ébranlée.

Compte tenu de l’importance des enjeux, il est essentiel que les cabinets juridiques aient pris les précautions nécessaires pour protéger les données personnelles et sensibles de leurs clients. Parmi les menaces utilisées par les hackers, concentrons-nous sur trois d’entre elles contre lesquelles les cabinets juridiques doivent aujourd’hui s’être prémunis.

La majorité des virus informatiques se propagent par email.

Les virus ne s’accompagnent pas nécessairement d’un signalement de violations de données. Cependant, ils peuvent causer beaucoup plus de dommages. En se propageant via des dossiers électroniques, ils accèdent aux données clients/employés directement à la source et diminuent largement le temps d’exécution des systèmes informatiques. Ils ont même la possibilité de verrouiller les ordinateurs des utilisateurs à distance, d’endommager les fichiers, d’accéder au compte bancaire du cabinet, etc.

Aujourd’hui, la plupart des virus informatiques prend la forme d’une pièce jointe. Si beaucoup d’entreprises ont mis en place des sessions de formation de leur personnel pour se prémunir contre le social engineering, les attaques par phishing restent parmi les vecteurs les plus prisés par les cybercriminels.
Au-delà des l’aspect pédagogique, la protection des outils et des systèmes est un impératif.

Les tentatives d’ ’email spoofing’ sont de plus en plus sophistiquées.

L’usurpation d’identité est une forme de cyberattaque. Les pirates falsifient les en-têtes des courriers électroniques de sorte que ceux qui sont malveillants semblent provenir d’une source fiable. Cette tactique est utilisée depuis des années pour amener les utilisateurs à ouvrir des malwares (logiciels malveillants).
Le but ? Permettre aux cybercriminels de causer des dommages considérables au sein du réseau d’une entreprise et accéder aux informations sensibles. Par le passé, ils récupéraient des listes de contacts à partir d’ordinateurs infectés par virus. Aujourd’hui, ils choisissent leurs cibles de façon plus stratégique avec des courriels qui semblent provenir d’expéditeur au nom connu de la cible : amis, collègues voire fournisseurs Internet.

L’email spoofing est possible car le protocole SMTP ne fournit pas de mécanismes permettant d’authentifier les adresses. Néanmoins, il existe des protocoles et des mécanismes au sein de certaines messageries électroniques pour lutter contre ce type d’attaque. Ils restent aujourd’hui utilisés de manière marginale, faisant courir encore des risques inconsidérables à de nombreuses entreprises.

Le chiffrement des données ne suffit pas toujours.

Méthode la plus simple et la plus utilisée pour protéger les données à caractère personnel, transmises par email, le chiffrement rend la compréhension d’un document impossible aux personnes ne disposant pas de sa clé de lecture. Les emails cryptés exigent normalement l’authentification du destinataire prévu (habituellement grâce à un mot de passe) pour confirmer la réception. Divers outils technologiques sont utilisés pour crypter les emails, notamment des serveurs cryptés de messagerie. Ces derniers redirigent les destinataires vers des sites Internet sécurisés de signatures numériques pour garantir une protection supplémentaire aux données.

Toutefois, il semblerait que le chiffrement ne soit pas une mesure aussi infaillible. En effet, une équipe de chercheurs européens a récemment découvert des vulnérabilités critiques dans PGP et S/MIME, deux des formes les plus courantes de chiffrement signifiant que leurs utilisateurs seraient des cibles de potentiel piratage informatique. Autrement dit, non seulement leurs emails risquent d’être interceptés, mais le contenu de leurs archives mails risque également d’être dévoilé.

Afin de contrer les menaces citées (malware, phishing, email spoofing etc.), les cabinets juridiques doivent avoir intégré la nécessité de doter leurs employés d’un système ergonomique et performant de partage de fichiers volumineux. L’emploi de solutions basées sur plusieurs facteurs d’authentification renforce aujourd’hui la protection offerte aux données sensibles et permet de sécuriser la réception et l’envoi de pièces jointes.
Pour bénéficier d’une sécurité ‘end-to-end’ lors du partage de données sensibles, il est nécessaire que l’analyse des fichiers soit aussi opérée lors de leur téléchargement afin de détecter toutes menaces potentielles auxquelles les informations pourraient être exposées.

Stéphane Vidal est Vice-président marketing et communication chez XMedius, société spécialisés dans les échanges sécurisés.