Le dernier rapport de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) alerte sur la recrudescence des menaces qui pèsent sur les cabinets d'avocats.
Les enjeux économiques liés à la nature des données hébergées sur les serveurs des cabinets (les données des clients des avocats et les entreprises en particulier) les rendent particulièrement attractives pour les cybercriminels dont le but premier est lucratif via la revente des données ou leur prise en otage contre versement d’une rançon.
70% des problèmes de sécurité impliquent directement les employés et 90% des cyberattaques commencent par l’ouverture d’un email. Le facteur humain est donc prépondérant dans les probabilité d’aboutissement des risques cyber.
Des mesures de prévention et de sécurité doivent impérativement être déployées pour protéger votre cabinet. En voici 8 à mettre en place ou à renforcer dès aujourd'hui au sein de votre structure.
La moindre absence, même courte, peut suffire pour une intrusion qui peut ne nécessiter que quelques secondes pour injecter un malware ou un logiciel espion sur un ordinateur. Aussi, verrouillez systématiquement votre poste quand vous quittez votre bureau. (sur Windows : Ctrl + L, sur mac : Ctrl + Cmd +Q)
Même un acte de nos jours anodin comme l’inscription sur un site ou un achat en ligne peut présenter des risques si la plateforme n’est pas complètement sécurisée. Dans le doute, abstenez-vous, changez de site ou alors utilisez une adresse e-mail secondaire ou jetable (https://10minutemail.com).
L’usurpation d’identité est courante avec une adresse e-mail qui circule beaucoup et un mot de passe non sécurisé. Elle est beaucoup plus compliquée quand il faut en plus fournir une confirmation par téléphone (réception d’un code par SMS ou email, système d’authentification biométrique…). Quand elle est possible, l’activation de la double authentification prend un peu de temps à paramétrer la première fois mais la sécurité apportée n’a pas de prix.
Même les bases de données les plus fiables peuvent être piratées et vos identifiants de connexion à de nombreux services peuvent se retrouvés dans la nature ou vendus aux plus offrants… et ce à plusieurs reprises ! Pour éviter les risques, variez et changez vos mots de passe au moindre doute. Pour vous faciliter la tâche, n’hésitez pas à utiliser un gestionnaire de mot de passe (1password, Dashlane, Keeper...) sur tous vos supports de navigation.
Et en particulier ceux demandant un changement de RIB, de compléter des coordonnées numériques etc. Quand bien même la source de la demande peut paraître fiable et légitime, usurper un nom et une identité visuelle est très facile et vous pourriez sans vous en rendre compte et sans coercition, donner des informations sensibles à des cybercriminels. Demandez toujours un autre moyen de connexion : site Web, application mobile, rendez-vous physique etc.
Une pièce jointe, aussi innocente qu’elle paraisse, peut dissimuler des malwares pouvant infliger des dégâts considérables à votre système d’information et de gestion : destruction de données, chiffrage (et donc, blocage) de disques durs, fuite de data… Là aussi, dans le doute, abstenez-vous impérativement, demandez une confirmation si vous connaître l’expéditeur ou trouvez un moyen moins incertain d’obtenir le fichier.
Ils ont été mis en place pour de bonnes raison et par des gens plus compétents que vous sur les questions de cybersécurité et de cyberdéfense. Si ces paramétrages vous bloquent ou vous ralentissent dans votre travail, parlez-en à votre administrateur ou à votre technicien qui trouvera une solution pour vous permettre d’avancer.
Tout le monde peut s’y connecter, y compris des personnes mal intentionnées qui accèdent facilement à n’importe quelle machine connectée au même réseau et donc à l’ensemble de leurs données : documents, fichiers, identifiants de connexion etc. Pour naviguer et travailler en paix, utilisez un VPN fiable qui sécurisera vos connexions et votre navigation.
Si certaines solutions sont techniques, les systèmes d’exploitation et les plateformes en ligne proposent de plus en plus des systèmes de sécurité bien rodés. Pour le reste, un peu de prévention assortis de rappels réguliers sur les bonnes pratiques en termes de cybersécurité vous épargneront bien des désagréments : financiers, opérationnels, de relation clients ou encore de réputation, tous préjudiciables à votre activité et à votre développement.
Vous souhaitez en savoir plus sur la cybersécurité dans les cabinets d’avocats ? Découvrez le replay de notre webinar du 24 mai dernier "Cybersécurité : risques et solutions pour les avocats".