Conscients que les atteintes à la protection des données sont aussi importantes que les problèmes de gouvernances puisqu’ils sont un problème de TI, les services juridiques d’entreprise se sont habitués à être sur leurs gardes lorsqu’il est question des défenses numériques de leur organisation dans les dernières années.
À l’heure actuelle, une récente montée des cybercrimes a rendu la gestion robuste des risques encore plus essentielle.
Rapides à exploiter les impacts perturbateurs de la pandémie, les pirates informatiques tirent avantage de l’augmentation du travail à distance et des activités en ligne pour trouver de nouvelles cibles et des façons plus élaborées de s’y attaquer. Selon l’ACEI, près de trois organisations canadiennes sur dix ont observé une hausse des cyberattaques durant la pandémie. Un quart de ces entreprises ont rapporté une brèche dans les données des clients ou des employés.
De l’hameçonnage aux attaques par interface de protocole d’application, il ne manque pas de portes que les cybercriminels peuvent utiliser pour s’infiltrer dans le système d’une entreprise pour voler leurs données.
Et les services juridiques, plaque tournante des informations sensibles, en sont une cible principale. Voilà pourquoi la cybersécurité et la protection des données doivent être la préoccupation numéro un des conseils d’administration, des avocats généraux et de leurs équipes juridiques d’entreprise qui se dirigent vers 2022. En implantant les meilleures pratiques de l’industrie et des outils axés sur la sécurité, les services juridiques peuvent être proactifs dans la gestion et l’atténuation des risques pour s’attaquer à toutes menaces plutôt que de se dépêcher à réagir une fois que les dommages sont faits.
Les rançongiciels et autres cybermenaces
La plus grande menace cybernétique en vogue en 2021 était le rançongiciel, un type d’attaque qui va former le paysage de la sécurité pour les années à venir.
Sorte de logiciel malveillant, le rançongiciel est utilisé par les pirates informatiques pour obtenir des données sensibles qui sont par la suite utilisées pour faire chanter leurs victimes. En janvier 2021, la compagnie d’assurance collective québécoise Promutuel a été prise pour cible et les pirates informatiques ont partagé l’information des clients en ligne après qu’elle ait refusé de payer.
Pour les services juridiques d’entreprise, le rançongiciel est le pire scénario possible, pas juste en termes de coûts, mais aussi parce que ces incidents exposent les vulnérabilités internes, les informations des clients et les données sensibles de l’entreprise. La clé pour prévenir ce type d’attaques est de bloquer le chemin à la source en identifiant et en fermant les brèches potentielles. Les pirates informatiques comptent sur l’attaque au rançongiciel pour se faire un chemin derrière les pare-feux de sécurité de plusieurs façons.
L’hameçonnage – L’hameçonnage est ce qui se produit lorsqu’un pirate informatique convainc une personne de partager ses informations personnelles telles que leurs mots de passe ou leurs informations bancaires. Dans une entreprise, ceci implique généralement qu’un courriel malicieux trouve une façon de contourner les pare-feux du serveur pour atteindre le compte d’un employé. Le courriel peut leur demander de télécharger un document ou de cliquer sur un lien ce qui ouvre une porte que le cybercriminel peut utiliser pour entrer. Les analystes en cybersécurité s’attendent à ce que l’hameçonnage augmente en fréquence et en sévérité cette année.
La fraude du président (BEC) – Le courriel est utilisé de façon courante par les mauvais joueurs pour accéder aux comptes d’entreprise, mais ces accès ne finissent pas tous en hameçonnage. Si un criminel peut accéder à votre serveur de courriel, il peut facilement personnifier un membre du personnel de haut rang. En personnifiant un cadre supérieur ou un membre du conseil d’administration, ces cybercriminels peuvent demander des informations, transférer des fonds ou simplement chercher dans les bases de données internes des données dont ils peuvent se servir comme moyens de pression pour leurs demandes. Si on exclut les attaques par rançongiciel, la fraude du président est la menace la plus préoccupante pour les dirigeants canadiens pour 2022 selon PwC.
Les applications malveillantes – Avec de plus en plus d’employés travaillant à distance ou adoptants le travail hybride, les activités se font de plus en plus avec les téléphones intelligents, les tablettes et autres appareils personnels. Ceci donne aux pirates informatiques amplement de possibilités pour trouver une faille dans l’armure d’une entreprise par l’intermédiaire d’applications malveillantes. Ce sont des logiciels qui ciblent spécifiquement les appareils mobiles en utilisant la messagerie texte ou d’autres applications pour accéder aux fonctionnalités ou aux données de l’appareil. Dans son rapport de 2022 sur les menaces, le groupe Sophos qualifie la montée des logiciels malveillants de « impossible à stopper ».
Les attaques par interface de protocole d’application (API) – Les nouvelles technologies ont donné aux entreprises une abondance de choix lorsqu’il est question d’outils pour leurs bureaux. Des plateformes pour les RH aux archives, les milieux de travail utilisent une multitude d’applications au quotidien qui sont partagées dans les différents services et équipes. Lors d’attaque par API, ces outils sont compromis puisque les pirates informatiques ciblent les API qui connectent les applications à travers le réseau partagé. Gartner avance que les atteintes par API seront le vecteur d’attaque le plus fréquent en 2022.
Les attaques DDoS – Mieux connus sous le nom d’attaque par déni de service distribué, ces cyberincidents ont augmenté de 24 % dans le dernier semestre de 2021. Il implique généralement de bombarder le site web de l’entreprise, ou d’autres ressources en ligne, de façon répétitive jusqu’à ce qu’il tombe en panne. Même si le motif est habituellement monétaire – payez ou le bombardement continue – il arrive que les attaques DDoS donnent une certaine couverture aux pirates informatiques pendant qu’ils cherchent d’autres façons d’entrer dans le système. Dans les deux cas, ils peuvent perturber grandement les organisations et les ouvrir à des risques futurs.
La cybersécurité : quelles sont les meilleures pratiques de l’industrie?
La résilience numérique implique d’avoir un cadre de gestion des risques en place pour prévenir les cyberattaques. Les avocats généraux et leurs services juridiques (incluant le Legal Ops) doivent travailler avec le RSI et le personnel TI pour créer ce cadre en combinant leurs connaissances techniques et l’expertise juridique pour couvrir toutes les fuites potentielles et les obligations.
Être proactif plutôt que réactif
En partant du fait que les cyberattaques sont une question de quand plutôt qu’une question de si, les services juridiques doivent approcher leur stratégie de sécurité en gardant en tête que les incidents sont inévitables et qu’ils doivent s’y préparer en conséquence. Préparer un plan robuste de récupération des données et implanter une couche de défense peut empêcher les pirates informatiques de faire leur chemin dans le système et minimiser la quantité de données qu’ils peuvent extraire.
Une fois que votre plan de récupération des données est en place, il doit être testé à l’aide de simulations d’attaques pour évaluer son efficacité. Il doit aussi être mis à jour au moins une fois par année pour qu’il reste actuel.
L’engagement et l’éducation des employés
Tout comme le général allant au combat informe ses soldats, vos employés doivent donner leur assentiment et adhérer à votre stratégie de gestion du risque. Il est primordial que l’éducation ne s’arrête pas à l’avocat et aux équipes TI et qu’elle s’applique aussi à tous les niveaux, des dirigeants aux internes.
Chaque employé doit apprendre comment gérer ses propres risques et obligations. Les outils technologiques peuvent aider, mais leur utilisation doit respecter la feuille de route de l’entreprise. Ces efforts éducationnels doivent aussi inclure la formation sur les différents types de cyberattaques, les trucs pour identifier les menaces, les conseils pour le travail à distance et les processus entourant le partage de matériel de l’entreprise et des mots de passe.
Les outils technologiques juridiques
Votre meilleure arme dans la guerre contre les cybercriminels est la technologie. Plus leurs attaques sont sophistiquées, plus votre sécurité doit être sophistiquée pour leur barrer l’accès.
Suivez les conseils de l’industrie. Cherchez des logiciels qui se conforment à la norme ISO 27001, la norme internationale la plus élevée en matière de sécurité TI.
Rationalisez votre système. Une architecture désordonnée et chaotique qui se fie sur différentes plateformes de différents fournisseurs augmente les vulnérabilités, donnant plusieurs points de pression qui peuvent être ouverts par des cybercriminels opportunistes.
En comparaison, l’utilisation d’un serveur central avec un seul logiciel permet de tout rassembler afin de faciliter la gestion des données et de les mettre à l’abri des regards indiscrets.
Avec une interface unifiée, vous pouvez facilement déterminer quel employé peut avoir accès à quels documents. Ceci permet de fermer les brèches et de limiter l’exposition par les appareils mobiles et les courriels des employés. Ceci offre aussi un meilleur contrôle des filiales, des partenaires externes et des entités juridiques.
Ne vous privez pas de l’analytique. Deux entreprises canadiennes sur cinq n’intègrent pas l’analytique dans leurs outils de sécurité et ceci implique qu’il leur manque le pouvoir de l’intelligence des données pour solidifier la modélisation des menaces et l’analyse prédictive. Ces données inestimables peuvent aider votre service juridique à quantifier les risques, à voir comment l’entreprise doit évoluer pour s’adapter à ces risques et à planifier un futur plus sécuritaire.
Passez à l’automatisation là où c’est possible. Il ne faut jamais sous-estimer le pouvoir d’une erreur humaine. Il ne faut qu’une erreur en apparence minime pour permettre aux pirates informatiques de trouver une voie même dans le plus complexe des systèmes. Automatiser les processus clés dans le service juridique ne fait pas que réduire le risque d’erreur, il sécurise aussi l’accès à tous les liens plus fragiles dans la chaîne de communication, tels que l’autorisation des utilisateurs, le partage des dossiers et la gestion des données. Il donne aussi des alertes automatiques pour permettre une réponse rapide en cas de menace immédiate.
L’importance de la conformité
Sans système de sécurité en place, les organisations ne seront pas capables de gérer la présence de menaces et encore moins les défis changeants du futur. La conformité avec les normes de l’industrie et les exigences règlementaires doivent être intégrées à tous les niveaux, incluant pour tous les partenaires externes, les filiales et les entités juridiques.
Une plateforme collaborative permet plus de visibilité et de transparence en plus de surveiller les opérations des entités juridiques pour que les organisations puissent s’assurer qu’elles adhèrent aux normes en matière de sécurité et que toutes les obligations potentielles soient rapidement découvertes et corrigées.
Pour les mêmes raisons, la gestion du cycle de vie des contrats est un des autres points faibles qui doit être vérifié et évalué afin de déterminer leur profil de risque. Si on tient compte que c’est à cet endroit que les informations les plus sensibles des clients sont stockées et partagées, n’importe quelle faille peut avoir des conséquences importantes sur la protection ainsi que des répercussions juridiques.
Le risque zéro n’existe pas, mais la suite DiliTrust Governance peut vous aider à vous en rapprocher le plus possible. Notre système intuitif est une plateforme collaborative ultra-sécurisée qui automatise les processus clés de votre service juridique.
Les modules incluent :
- La gestion des contrats – permets d’obtenir des détails sur toutes les étapes du cycle de vie des contrats avec notre portail CLM sécurisé. Alertes horodatées, étiquettes intelligentes et archivage intelligent, rationaliser même le contrat le plus complexe avec des droits d’accès flexibles pour les utilisateurs afin d’améliorer la sécurité.
- La gestion des entités juridiques – maintient une surveillance complète de toutes les entités juridiques tout en centralisant et en sécurisant sur une plateforme toute la documentation éparpillée.
- Le fonds documentaire – permets aux utilisateurs de chercher, partager et travailler sur des documents confidentiels à partir d’un emplacement sécurisé. Les utilisateurs peuvent définir les privilèges d’accès, voir des rapports en temps réel de toutes les activités du fonds documentaire et suivre les indicateurs pour surveiller l’utilisation.
Face aux cybermenaces grandissantes et à l’augmentation de la pression sur les services juridiques pour prendre un rôle plus important en cybersécurité, DiliTrust s’enorgueillit de pouvoir fournir des outils technologiques juridiques de confiance qui répondent aux normes les plus sévères de l’industrie autant qu’aux exigences nationale et internationale en matière de conformité.
Contactez-nous dès maintenant pour réserver votre démonstration de la suite DiliTrust Governance.
Ce contenu pourrait également vous intéresser :.