Éd. Remarque : Il s’agit du dernier article de la série Cybersécurité : conseils tirés des tranchées, rédigé par nos amis de Sensei Enterprises, un fournisseur spécialisé de services informatiques, de cybersécurité et d’investigation numérique.
Alors que nous entamons 2025, les avocats espèrent que la nouvelle année leur apportera bonheur, santé et prospérité. Une situation que tous les cabinets d’avocats souhaitent éviter cette année à venir est celle d’un cyber-incident ou, pire encore, d’une violation de données. Tous les cyberincidents ne sont pas des violations de données, mais des protections en matière de cybersécurité doivent être mises en œuvre pour protéger les informations et les fichiers confidentiels de votre entreprise.
Garder les attaquants hors de vos systèmes d’information est devenu plus difficile que jamais. Les cybermenaces sont devenues plus sophistiquées, plus difficiles à détecter et beaucoup plus coûteuses à récupérer. Selon Thomson Reuters, en 2024, le coût moyen d’une violation de données a atteint 4,88 millions de dollars. Ce coût à lui seul pourrait faire sombrer certains cabinets d’avocats, en particulier ceux qui sont sous-assurés. Comprendre le coût réel d’une violation de données ne fera qu’aider les entreprises à prendre conscience de l’importance cruciale du maintien des mesures de cybersécurité actuelles.
Définition de la violation de données
Une violation de données est un incident de sécurité au cours duquel des personnes non autorisées accèdent à des informations sensibles ou confidentielles, telles que des données personnelles (numéros de sécurité sociale, coordonnées bancaires) ou des données d’entreprise (dossiers clients, propriété intellectuelle), en raison d’un manquement aux mesures de sécurité, souvent par piratage ou erreur humaine. Essentiellement, cela se produit lorsque des informations privées sont exposées à des personnes qui ne devraient pas y avoir accès.
Les violations de données peuvent se produire de plusieurs manières, notamment par des attaques de phishing, des logiciels malveillants, des ransomwares et des attaques internes. Ils peuvent entraîner un vol d’identité, une fraude financière, une atteinte à la réputation et éventuellement des poursuites judiciaires. Les recours collectifs se multiplient à une vitesse effrayante.
Les attaques de phishing sont plus sophistiquées que jamais et, lorsqu’elles sont combinées à l’IA, elles peuvent traverser les filtres de protection de la messagerie et voler les informations d’identification des utilisateurs (on les appelle attaques Business Email Compromise).
Les ransomwares actuels, la version d’exfiltration de données, continuent de tourmenter les cabinets d’avocats en exigeant deux paiements de rançon : un pour décrypter et un autre pour restituer les données « volées ».
L’exploitation des vulnérabilités de systèmes obsolètes et non corrigés permet aux attaquants d’accéder au système infecté et de se déplacer latéralement au sein du réseau, échappant ainsi à la détection par les mesures de cybersécurité standard communes.
Enfin, il ne faut pas oublier les anciens salariés mécontents, car ils peuvent parfois causer des dégâts bien plus importants compte tenu de leur connaissance approfondie de la technologie de l’entreprise.
L’impact financier : c’est souvent brutal
Il existe des coûts évidents associés aux violations de données. Premièrement, il y a la réaction immédiate et la réponse aux incidents. Vous pouvez avoir des dépenses avec des fournisseurs de technologies de l’information, des consultants en cybersécurité et des enquêteurs en criminalistique numérique pour comprendre ce qui s’est passé, la portée de l’attaque et quelles données confidentielles ont pu être consultées ou volées.
Les coûts de continuité d’activité sont les dépenses liées à la récupération et à la restauration de vos systèmes, qui peuvent être coûteuses, en fonction du nombre de points finaux infectés et de la complexité de l’environnement technique. Rendre votre entreprise opérationnelle et opérationnelle est essentielle pour survivre à une violation de données. Une sauvegarde immuable (sauvegardes qui ne peuvent pas être modifiées ou supprimées pendant une période de temps spécifiée) à partir de laquelle vous pouvez restaurer est l’antidote n°1 à la récupération après le venin d’une cyber-attaque telle qu’un ransomware.
En fonction de l’ampleur et de la gravité, les cabinets d’avocats sont désormais confrontés à des amendes réglementaires pour violation des lois nationales sur la confidentialité des données, en plus de la menace d’un recours collectif. Retenir une représentation juridique pour se défendre contre ces actions supplémentaires peut s’avérer astronomique et constitue un autre coût à ajouter aux énormes dépenses dues à une violation de données.
Enfin, et c’est le plus difficile à mesurer, il s’agit de l’atteinte à la réputation. Combien de clients ont été perdus à cause de la violation ? Combien de clients potentiels ont fait affaire ailleurs ? Combien d’employés ont quitté votre entreprise et trouvez-vous plus difficile de les remplacer par de bons talents ? Ce sont tous des points de données que nous espérons que vous n’aurez jamais à mesurer.
Vous pouvez réduire le risque de violation de données pour votre entreprise de plusieurs manières. Même si aucune combinaison n’est efficace à 100 %, chaque petit geste compte. Formation obligatoire de sensibilisation à la cybersécurité, avoir une bonne posture de cybersécurité, des contrôles de gestion des risques, une surveillance proactive des cyberincidents et suivre les meilleures pratiques de cybersécurité pour les petites entreprises telles que le NIST (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP .1300.pdf) ou CISA (https://www.cisa.gov/cyber-guidance-small-businesses) sont d’excellents moyens de commencer 2025 sur la bonne voie vers une année sans incident.
Michael C. Maschke ([email protected]) est président et chef de la direction de Sensei Enterprises, Inc. M. Maschke est un examinateur certifié EnCase (EnCE), un examinateur informatique certifié (CCE #744), un examinateur certifié AccessData (ACE), un hacker éthique certifié (CEH ), et un professionnel certifié en sécurité des systèmes d’information (CISSP). Il donne fréquemment des conférences sur l’informatique, la cybersécurité et la criminalistique numérique et est co-auteur de 14 livres publiés par l’American Bar Association.
Sharon D.Nelson ([email protected]) est co-fondatrice et consultante de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek ([email protected]) est le co-fondateur et consultant de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert en criminalistique numérique de renommée nationale. Il est co-auteur de 18 livres publiés par l’ABA.
