Charlotte Bourguignon

IT security in lawfirm

Aujourd’hui, une grande partie de notre travail est numérisée. Les organisations adaptent leur stratégie et leurs processus commerciaux à une approche davantage axée sur les données, ce qui présente de nombreux avantages mais aussi des risques. En effet, beaucoup de ces processus contiennent des informations personnelles identifiables ou sensibles. Cela se traduit par un risque accru de violation des données et peut même conduire à des atteintes à la réputation.

 

Pour les cabinets d’avocats en particulier, la numérisation a un impact important. Les cabinets d’avocats traitent beaucoup de données personnelles, non seulement sur les clients, mais aussi sur les directeurs, les cadres… Il est de plus en plus commun de récolter des informations sensibles sur les clients, ce qui fait d’un cabinet d’avocats une cible idéale pour les cyberattaques. Certains des cabinets les plus prestigieux, ainsi que de plus petits cabinets, ont déjà dû faire face à un piratage. Bien entendu, cela vaut également pour toute entreprise traitant des données personnelles. Alors, pourquoi et comment la sécurité de l’information est-elle l’une de vos priorités à l’heure actuelle ?

 

Votre réputation est primordiale !

Les violations de données ou l’interruption des activités de votre entreprise peuvent entraîner des pertes financières et porter atteinte à la réputation de votre organisation. Ce type de dommage peut également avoir un impact négatif sur votre avantage concurrentiel. La mise en place des mesures efficaces envoie un signal aux clients, aux tiers, aux parties prenantes et aux partenaires commerciaux que votre organisation est fiable. De plus, votre réputation sera renforcée et la confiance dans vos pratiques organisationnelles sera accrue. Enfin, vous augmenterez les chances à votre organisation d’être perçue comme un moteur d’assurance qualité.

 

Où sont stockées toutes vos informations ?

Beaucoup d’organisations ont du mal à cartographier leurs structures de données (où se trouvent les informations, d’où elles proviennent, pourquoi elles sont collectées, comment elles sont traitées, quel est l’objectif du traitement, etc.) Pour les données personnelles, les organisations sont légalement contraintes par le RGPD de déterminer quelles données personnelles sont traitées. Vous devez en garder la trace dans vos registres des activités de traitement (RoPA). Les données non personnelles peuvent également être ajoutées à ce document, afin de vous assurer que vous avez toutes vos activités de traitement des données dans un grand registre de données.

 

Qui veut voler vos informations ?

Vous vous demandez peut-être qui pourrait bien vouloir voler les données de votre organisation. Les petites organisations, en particulier, ont souvent du mal à comprendre l’importance de la sécurité des données. Pourtant, il existe de nombreux criminels qui pourraient être intéressés par vos données :

 

  • L’hacktiviste : Il s’agit d’une personne qui pirate à des fins sociales ou politiques. Ils agissent principalement en réaction à ce qu’ils considèrent comme « injuste ».
  • Le crime organisé : Il s’agit d’un groupe de hackers qui combinent leurs connaissances et leurs ressources pour commettre des crimes majeurs. Pensez à un éventuel ransomware pour obtenir une rançon.
  • Concurrents : Ils pourraient tirer des avantages en obtenant vos informations. Ils pourraient utiliser ces informations pour gagner des procès.
  • Les États-nations sont également des pirates importants. Ils attaquent d’autres État-nations pour défendre leur souveraineté nationale et projeter leur puissance nationale.
  • Les internes. Pensez aux employés mécontents. Ils pourraient vendre les informations ou simplement les voler et nuire à la réputation de votre entreprise.

 

Comment essaieraient-ils de voler vos informations ?

Les individus mentionnés ci-dessus peuvent voler des données ou causer des problèmes de continuité au sein de votre organisation de plusieurs manières. Les moyens les plus courants sont l’ingénierie sociale, comme le phishing, les logiciels malveillants et les ransomwares.

  • L’ingénierie sociale consiste à manipuler les gens pour qu’ils effectuent certaines actions ou divulguent des informations.
  • Le phishing est un type d’ingénierie sociale. Le pirate envoie un message frauduleux dans le but d’inciter sa cible à révéler des informations sensibles.
  • Les logiciels malveillants sont des logiciels destinés à nuire ou à obtenir un accès non autorisé à un système.
  • Le ransomware est actuellement la méthode de piratage la plus courante et la plus connue. Il bloque l’accès à un système jusqu’à ce que vous payiez une certaine somme d’argent.

Toutes ces attaques ont un impact sur la confidentialité, l’intégrité ou la disponibilité des données de votre organisation. On pense souvent qu’une violation ou un incident de données se résume à une fuite de données. Or, ce n’est le cas que si l’on parle d’une violation de la confidentialité ou d’un accès non autorisé. Une atteinte à l’intégrité signifie que les données sont corrompues d’une manière ou d’une autre et ne sont plus fiables. Une violation de la disponibilité se produit lorsque vous ne pouvez pas accéder aux informations et que la continuité de votre activité est interrompue.

Toutes les mesures de gestion de la sécurité de l’information que vous prenez réduisent la probabilité d’une violation de la confidentialité, de l’intégrité ou de la disponibilité des informations.

Comment pouvez-vous protéger les informations importantes ?

Le responsable informatique n’est pas le seul à être responsable de la sécurité des informations. Tout employé d’une entreprise peut prendre des mesures pour réduire les risques. Cela commence par le bon sens. Les bonnes pratiques, telles que la suppression des documents lorsqu’ils ne sont plus nécessaires et leur stockage en toute sécurité, sont de bons premiers pas. Dans la pratique, il convient de mettre en place et appliquer une politique et une stratégie de stockage bien ficelées, déchiqueter les documents et ne pas les laisser sans surveillance sur les bureaux. Sur le plan numérique, il est préférable de stocker les documents en toute sécurité et, si possible, de les crypter.

Voici d’autres exemples :

  • Ne vous laissez pas berner par l’ingénierie sociale, réfléchissez à deux fois avant de donner certaines informations ou avant de cliquer sur un lien.
  • Utilisez des mots de passe forts et un gestionnaire de mots de passe (par exemple LastPass).
  • Lorsque vous attendez des visiteurs, accompagnez-les toujours et ne les perdez jamais de vue.
  • Travaillez avec un laissez-passer pour les visiteurs.

Félicitations ! Vous venez de réaliser une évaluation des risques !

Si votre organisation garde collectivement à l’esprit les bonnes pratiques mentionnées ci-dessus, alors vous adoptez une approche fondée sur les risques.

Toutes les organisations ne sont pas identiques et, par conséquent, toutes les approches de la sécurité de l’information ne sont pas les mêmes. Chaque organisation présente des risques différents en fonction de sa nature, du type de données qu’elle traite, de son activité principale, de sa taille, etc. Il est donc important d’adopter une approche fondée sur les risques. Si vous tenez compte de tout ce que nous avons évoqué ci-dessus, alors vous le faites déjà ! Si vous souhaitez mieux gérer votre sécurité de l’information ou le faire selon certaines normes, il existe également des cadres et des normes qui peuvent vous aider. C’est ainsi que vous obtenez un système de gestion de la sécurité de l’information (SGSI) durable et viable.

ISO 27001

La norme la plus connue en matière de sécurité de l’information est celle de ISO 27001. Ce modèle fondé sur les risques explique à différents niveaux ce que votre organisation doit mettre en œuvre dans votre SGSI en fonction du risque que vous présentez en tant qu’organisation. Tout SGSI contient des politiques et des procédures sur les mesures organisationnelles ou techniques. La norme ISO 27001 divise ces mesures organisationnelles et techniques en quatre sujets :

  1. Contrôles organisationnels,
  2. Contrôles des personnes (liés aux RH),
  3. Contrôles physiques
  4. Contrôles techniques.

Lorsque vous, en tant qu’organisation, mettez en œuvre ces contrôles, vous pouvez obtenir une certification. Étant donné que le développement de la sécurité de l’information ne s’arrête pas et qu’il y a toujours de nouvelles menaces, votre SGSI doit également être tenu à jour au moyen de la roue de Deming (Plan-Do-Check-Act). Autrement dit, vous devez réfléchir à ce qui doit être en place (Plan), à ce qui est mis en œuvre (Do), à l’examen des contrôles que vous avez mis en œuvre (Check) et à l’amélioration et à la mise en œuvre de nouveaux éléments et des mises à jour (Act).

Envisagez-vous d’obtenir la certification ISO27001 ? Ou souhaitez-vous avoir un aperçu de ce que cela signifie pour votre organisation ? CRANIUM a déjà mené à bien plusieurs projets de certification ISO27001. Nous nous ferons un plaisir de vous aider dans le domaine de la sécurité de l’information et/ou de l’ISO 27001 ! N’hésitez pas à nous contacter dès maintenant.