Lawyerz

Les cabinets d'avocats sont-ils cybersécurisés ?

21/04/16 à 10:00 - Mise à jour à 24/01/17 à 17:04

Le scandale des Panama Papers met en lumière le risque bien réel que constituent les fuites de données informatiques. Les cabinets d'avocats sont-ils armés face aux hackers ?

Les cabinets d'avocats sont-ils cybersécurisés ?

© istock

Le cabinet d'avocats panaméen Mossack Fonseca a laissé dériver une quantité affolante de données. Cette firme spécialisée dans les sociétés offshore et l'évasion fiscale à grande échelle est visiblement moins bien équipée en matière de sécurité informatique. Pas moins de 11,5 millions de documents (2,6 teraoctets de données) se sont "échappés" de son serveur, alimentant la plus grande enquête journalistique jamais réalisée sur la fraude fiscale internationale.

D'après plusieurs sites spécialisés en informatique, qui ont ausculté à distance la configuration des différentes composantes IT du cabinet, il s'avère que c'était une véritable passoire. Aucun cryptage sur les e-mails, site internet vulnérable aux attaques, oubli de mises à jour pendant plusieurs années... "Leur infrastructure, c'est Disneyland", conclut un expert cité par le site français Rue89.

1,25 million d'euros

La somme que débourse chaque année le cabinet Linklaters pour la cybersécurité.

Les activités peu recommandables de Mossack Fonseca ont fait de la firme panaméenne une cible de choix pour des hackers (ou pour un ancien employé). Ce n'est évidemment pas le cas de tous les cabinets d'affaires. Cependant, tous les cabinets d'avocats traitent des données sensibles et confidentielles. Ce qui les amène à prendre des mesures particulières en matière de sécurité informatique.

En contact avec le MI5

Chez Linklaters, la cybersécurité occupe à temps plein une équipe de cinq personnes, au sein d'un département IT comptant 200 collaborateurs. " Nous dépensons chaque année environ un million de livres (1,25 million d'euros, Ndlr) pour la cybersécurité", souligne Jon Segger, information security manager chez Linklaters, cabinet international présent dans une vingtaine de pays.

L'équipe de Jon Segger traque en permanence les tentatives d'intrusion sur le serveur du cabinet. "Nous sommes le premier cabinet à avoir mis en place un service de détection de certaines anomalies statistiques, qui représentent des signes de tentatives de prise de contrôle de nos systèmes, explique-t-il. Cela nous permet de détecter les attaques les plus sophistiquées." Comme d'autres grandes organisations au Royaume-Uni, le cabinet est en contact avec le MI5. Les services de renseignement britanniques briefent régulièrement les grandes entreprises sur les nouvelles formes de piratage informatique.

Le cabinet a mis en place des techniques poussées de virtualisation et de sécurisation des données dans les data centers qu'ils occupent en colocation. Le tout est soumis à un cahier des charges très strict, souvent imposé par les clients (essentiellement des grandes entreprises ) dans le cadre des contrats signés avec la firme. "Nos clients relayent de plus en plus souvent des questions ou demandent des audits en matière de cybersécurité. Nous nous devons de rencontrer leur niveau d'exigence en la matière", poursuit le responsable de la sécurité informatique chez Linklaters.

Comme la plupart des grandes sociétés, le cabinet est soumis à de nombreuses attaques. Mais elles ne sont pas forcément ciblées sur ses serveurs en particulier : la plupart des tentatives de hacking sont en effet le fait de machines attaquant des systèmes informatiques de manière aléatoire. Jusqu'à présent, Linklaters n'a jamais subi d'effraction. "Personne ne peut dire que ça n'arrivera jamais. Mais nous avons confiance dans nos mesures de sécurité", indique Jon Segger.

Clés USB interdites

Les mesures de sécurité mises en place dans un grand cabinet comme Linklaters suivent les standards internationaux en vigueur dans les multinationales qu'ils conseillent. Nous avons contacté d'autres grandes firmes comme Allen & Overy ou Freshfields, qui n'ont pas souhaité s'exprimer sur le sujet.

Ces grandes associations d'avocats ont une taille importante et génèrent des chiffres d'affaires suffisamment conséquents pour investir dans des équipes dédiées et des infrastructures de pointe. A leur échelle, les cabinets belges investissent aussi des sommes importantes dans la cybersécurité. Chez Liedekerke, les dépenses se chiffrent en centaines de milliers d'euros, nous indique-t-on. Le cabinet a investi dans un système virtuel, des pare-feux, mais aussi une segmentation du réseau qui permet de compartimenter les données afin de minimiser les risques en cas d'attaque. Les clés USB, qui sont considérées à risque, sont interdites. Et l'accès au réseau depuis l'extérieur du cabinet est spécialement protégé.

De nouveaux développements, notamment un disaster recovery plan, qui permet de restaurer le système informatique en cas d'attaque, sont à l'étude. Pour toutes ces mesures, le cabinet bénéficie de l'expertise développée dans le réseau international Lex Mundi, dont Liedekerke fait partie. "L'affaire des Panama Papers a remis le sujet de la cybersécurité en lumière. Nous allons d'ailleurs en profiter pour refaire une communication en interne sur la sécurité informatique. Mais cela fait plusieurs années que nous nous en préoccupons", pointe Vincent Busschaert, managing partner de Liedekerke.

Réputation

Vu les moyens importants qu'il faut mobiliser pour assurer une cybersécurité de pointe, tous les cabinets ne sont pas en mesure de mettre en place les systèmes de protection les plus performants. Les structures plus modestes, qui ne font pas partie d'un réseau international, sont-elles plus vulnérables ? "La sécurité informatique n'est pas au top de nos priorités", confesse un avocat d'affaires faisant partie d'une association de taille moyenne. Préférant rester anonyme, celui-ci pointe la différence entre les grandes firmes internationales et les plus petites structures : "Les grands cabinets anglo-saxons peuvent se payer des systèmes qui coûtent une petite fortune. Et cela se reflète dans leurs honoraires. A ma connaissance, les cabinets belges ne mettent pas grand-chose en place."

Aucune fuite de données provenant d'un cabinet belge n'a jusqu'à présent été révélée. Mais vu les données sensibles que les cabinets d'affaires manipulent, une telle situation pourrait s'avérer très problématique pour les clients concernés... et pour le bureau lui-même. "Le risque le plus important, c'est le dommage à la réputation du cabinet. Ce serait dramatique", souligne Jan Hofkens, avocat associé chez Lydian. C'est la raison pour laquelle le cabinet va faire réaliser un audit interne de ses mesures de protection par un bureau spécialisé en cybersécurité. Lydian a également contracté il y a quelques mois une extension de police d'assurance afin de couvrir le risque de hacking. On n'est jamais trop prudents.

Nos partenaires