Six façons pour les cabinets d’avocats de protéger leurs nuages contre les attaques

6 ways law firms can protect their clouds from attack

Les cabinets d’avocats sont tout autant, sinon plus, exposés à une cyber-attaque en raison de la nature confidentielle de leurs activités. Apprendre aux avocats et aux autres membres du personnel les bases de la cybersécurité contribuera grandement à protéger l’entreprise, mais, de plus en plus, des services automatisés peuvent assurer automatiquement la protection, car un nombre croissant d’activités juridiques sont effectuées dans le nuage.

L’époque des télécopies et des enveloppes contenant de lourds contrats et autres documents juridiques est révolue (ou presque). La plupart des entreprises ont besoin d’une efficacité commerciale de pointe, avec des documents signés numériquement qui font le tour de l’internet en quelques secondes pour les clients. Ces documents sont de plus en plus souvent créés par des services automatisés, les avocats assurant la supervision et apportant leurs connaissances essentielles, car le rythme du droit continue de s’accélérer.

Alors que la plupart des cabinets d’avocats adoptent lentement les services en nuage, pour tout, de la comptabilité à la gestion des documents et des dossiers, ils sont tenus, tant au niveau de la conformité que de la tranquillité d’esprit, de veiller à ce que les données soient protégées à chaque étape. Le dernier rapport de l’Association du Barreau Américain enquête sur l’informatique en nuageCette enquête pose et répond à la question que se posent de nombreux cabinets d’avocats : “Le cloud est-il suffisamment sûr pour les cabinets d’avocats ? Avec l’importance accordée à la sécurité des données, les logiciels basés sur le cloud peuvent être un moyen efficace de mettre votre cabinet en ordre.”

1 L’être humain reste le maillon faible

Comme toujours, la sécurité commence par les personnes. Les avocats, les secrétaires juridiques et tous les autres membres du personnel doivent apprendre dès le premier jour à se méfier des demandes pressantes d’informations financières, des pièces jointes aux courriels, voire des appels téléphoniques qui pourraient provenir d’un “associé principal”, mais qui pourraient faire partie d’une escroquerie criminelle.

La technologie est utile, avec des pare-feu et des scanners de logiciels malveillants qui vérifient chaque courriel ou fichier, mais une formation solide lors de l’intégration et la garantie que le personnel n’a accès qu’aux magasins d’informations appropriés contribueront à protéger l’entreprise. De même, la suppression de tous les privilèges lorsque les stagiaires, les assistants juridiques et les autres membres du personnel changent de service ou partent protégera l’entreprise contre les attaques ou les abus de pouvoir de la part d’initiés ou de partants mécontents.

2 Construire une solide protection de l’accès

Les entreprises devraient déjà demander à leur personnel d’utiliser des phrases de passe au lieu de mots de passe, et de les mettre à jour tous les deux mois pour minimiser le risque d’une violation basée sur un mot de passe. Même si nous sommes tous encouragés à ne pas le faire, la plupart des gens n’utilisent encore que quelques mots de passe. Ainsi, une seule violation d’un site Web d’achat indiquant qu’un employé a utilisé une adresse électronique de l’entreprise pour acheter des fournitures de bureau peut facilement devenir le moyen pour un pirate de pénétrer dans l’entreprise.

L’amélioration de la sécurité par l’authentification à deux facteurs (2FA) et d’autres moyens sera également utile lorsque les avocats travaillent à domicile ou en déplacement, leur appareil mobile professionnel fournissant une couche secondaire de sécurité, soit par un message SMS, soit en utilisant des applications comme Authenticator.

3 Le cryptage dans toute l’entreprise

Le cryptage local sur les serveurs est un moyen courant pour les opérations juridiques de protéger les documents au niveau des fichiers. Ainsi, seuls les destinataires possédant la clé (envoyée séparément) peuvent lire le document. Cependant, comme les fichiers circulent de plus en plus entre plusieurs applications et services, les données doivent être cryptées sur les réseaux et les nuages.

Pour garantir la conformité aux règles de stockage locales et internationales, les cabinets d’avocats doivent renforcer leur sécurité, comme le courrier électronique, les VPN et les autres méthodes ont tous des points faibles. L’utilisation du cryptage de bout en bout garantit la sécurité du stockage et du partage des fichiers sur les réseaux, mais l’équipe informatique de l’entreprise doit comprendre les couches et les niveaux de cryptage de ses nuages.

Par exemple, “Google Cloud crypte tout le contenu du client stocké au repos, sans aucune action requise de la part du client, en utilisant un ou plusieurs mécanismes de cryptage.” Mais cela ne signifie pas que vos données sont en sécurité si elles quittent le nuage de Google.

4 Les répartiteurs de charge sont l’outil polyvalent du “cloud”.

Les grandes entreprises ont de nombreux serveurs et services en nuage en service. À l’origine, les équilibreurs de charge partageaient équitablement ces ressources entre les utilisateurs, mais ils ont évolué pour devenir des outils plus intelligents, offrant des fonctions de sécurité des applications, comprenant souvent une préautorisation et une authentification unique,

des pare-feu d’application web et une gestion avancée du trafic dans le cadre du service pour protéger les données légales.

5 Pare-feu partout

Les pare-feu et les outils antivirus ou anti-malware restent les piliers de tous les efforts de sécurité des entreprises, mais ils sont plus flexibles dans leurs formes en nuage et font souvent partie d’autres solutions (voir équilibreurs de charge). Mais il est facile, surtout pour les entreprises ne disposant pas de ressources informatiques importantes, de penser qu’un seul pare-feu peut tout faire.

Cependant, les pare-feu de bureau (qu’ils soient logiciels ou matériels) ne protègent que les données entrantes, en décidant si elles sont sûres ou non. Les méthodes comprennent le filtrage des paquets, une approche basée sur des règles ou l’utilisation de serveurs proxy et de passerelles d’application pour autoriser ou bloquer certains types de données. Les pare-feu pour applications cloud et web font un travail similaire, mais ils protègent les documents et services légaux en dehors de l’entreprise, protègent les applications web en bloquant le trafic internet malveillant qui se dirige vers l’application, et empêchent les données non autorisées de quitter l’application grâce à des outils basés sur des politiques. De plus en plus automatisés, les pare-feu font un travail sans fin pour protéger les cabinets d’avocats.

6 La puissance de la conformité automatisée

La conformité est un mantra dominant dans les secteurs juridiques et réglementés. Il n’est donc pas surprenant que de nombreux services en nuage offrent un contrôle automatisé de la conformité, les entreprises n’ayant qu’à sélectionner les régimes législatifs dont elles relèvent, et les outils de conformité vérifiant les services et les documents, et portant tout problème à l’attention des responsables.

Une défense à plusieurs niveaux est la meilleure façon de protéger votre cabinet juridique et ses documents ou services juridiques, en utilisant la plupart ou la totalité des outils à votre disposition.

 

About Greg