Une enquête 2020 par l'American Bar Association a constaté que 29% des cabinets d'avocats participants ont rencontré une forme de menace de cybersécurité, tandis que 21% n'ont pas pu déterminer complètement si une cyberattaque avait eu lieu ou non.
Des exemples de ces violations de la cybersécurité incluent le vol de données et l'exploitation de sites Web. En outre, l'étude a révélé qu'il y avait une augmentation de 3% du nombre de cabinets d'avocats qui ont été confrontés à des menaces de cybersécurité de 2019 à 2020.
À un moment où la pandémie provoque une augmentation des transactions commerciales en ligne et des configurations de travail à distance, ces données devraient être une source de préoccupation non seulement pour les cabinets d'avocats, mais également pour leurs clients. L'étude fait état d'un sentiment apparent de fausse sécurité parmi de nombreux cabinets d'avocats, étant donné que 70 % des personnes interrogées pensaient qu'aucune perte ou interruption de leur activité ne s'était produite. Cependant, comme l'American Bar Association elle-même note dans l'enquête, "... il est naturel de se demander si les tendances apparemment positives reflètent un sentiment de confort troublant à court terme dans la perspective d'un préjudice potentiellement à plus long terme."
As Magazine de sécurité noté dans ce 2017 article, « les violations de données criminelles coûteront aux entreprises un total de 8 5 milliards de dollars au cours des 2019 prochaines années, en raison des niveaux plus élevés de connectivité Internet et d'une sécurité inadéquate à l'échelle de l'entreprise. » De même, une étude réalisée en 5 par le groupe de réflexion sur la technologie numérique Juniper Research a prédit que le coût des pertes commerciales dues aux attaques de cybersécurité dépasserait les 2024 XNUMX milliards de dollars d'ici XNUMX.
Pourquoi les cabinets d'avocats sont-ils une cible mondiale pour les cybercriminels ?
Les cybercriminels ont une affinité particulière pour attaquer des cabinets d'avocats en raison de la possession par ce dernier d'énormes quantités d'informations sensibles sur les clients et l'industrie. S'ils ont accès à ces informations, ils peuvent les utiliser pour prendre en otage des entreprises et des clients. Ils demanderont alors le paiement d'une rançon avant de permettre aux victimes de reprendre possession de leurs données. Ou s'ils sont capables de pirater les identifiants de connexion pour les informations bancaires et de carte de crédit, ils peuvent carrément voler de l'argent.
Comme nous le verrons plus loin, les cybercriminels ne reculent pas devant les grands cabinets d'avocats. Ces dernières années, il y a eu de nombreux cas d'attaques et d'invasions de grands cabinets juridiques aux États-Unis, au Royaume-Uni et en Australie. Avec d'énormes renseignements à leur disposition, y compris des informations personnellement identifiables (PII), des informations financières et des données de fusion et acquisition (M&A), les cabinets juridiques sont devenus une cible privilégiée pour les cyber-escrocs.
Cette tendance des cybercriminels à attaquer les avocats est renforcée par le fait que les cabinets d'avocats ont généralement des systèmes de cybersécurité plus faibles que les entreprises d'autres secteurs comme la technologie. Même les entreprises technologiques de plus petite taille bénéficieraient d'une meilleure cyberprotection que les grands cabinets d'avocats. Comme rapporté par Attorney at Law Magazine, de nombreux avocats « sont toujours réticents à engager des experts en cybersécurité pour leur cabinet, soit en interne, soit en tant que consultants, généralement parce qu'ils ne savent pas dans quelle mesure ces types de menaces en ligne peuvent être dommageables ».
En Australie, la faiblesse de nombreux systèmes de cybersécurité des cabinets d'avocats se reflète dans une statistique stupéfiante qui indique qu'un tiers des cabinets d'avocats du pays n'affectent pas de fonds à la formation en cybersécurité. Des recherches menées par GlobalX et l'Australian Legal Practice Management Association (ALPMA) ont révélé une situation paradoxale dans laquelle 79 % des avocats sont alarmés par la cybersécurité, mais seulement 21 % font confiance à leur cabinet pour survivre à une cyberattaque. Malgré une prise de conscience de la gravité des menaces de cybersécurité, 33% des cabinets d'avocats australiens semblent être pris dans une culture de complaisance dans le secteur juridique. Comme nous le verrons plus loin dans des études de cas, la position moins proactive des cabinets d'avocats en matière de cybersécurité a entraîné des dommages massifs pour leurs entreprises.
Quelles tactiques les cybercriminels utilisent-ils pour attaquer les cabinets d'avocats ?
Malware
En 2017, DLA Piper a été attaqué par un ransomware qui a affaibli des milliers de ses ordinateurs. L'attaque a forcé DLA Piper à fermer ses opérations numériques à l'échelle mondiale. Les systèmes de courrier électronique et de téléphone ont été désactivés, forçant les avocats et autres employés à faire des affaires en utilisant des téléphones portables. Inutile de dire que ce fut une affaire très stressante pour le personnel de l'entreprise étant donné qu'une société légale dépend fortement des documents pour ses opérations. Avocat américain fait un montage observation de l'effet négatif de l'attaque de ransomware : « Considérez les avocats plaidants incapables d'accéder aux motions dans les délais impartis. Les avocats plaidants se préparent à plaider sans documents clés. Les avocats transactionnels incapables de communiquer avec les clients qui tentent de conclure des transactions de plusieurs milliards de dollars.
Phishing
Le Royaume-Uni est devenu un terrain fertile pour les attaques de phishing contre les cabinets d'avocats à la suite des blocages de 2020 en raison de la pandémie de COVID-19. La Solicitors Regulation Authority a identifié une augmentation de 300 % du phishing même au cours des deux premiers mois depuis le début du verrouillage. Au cours des six premiers mois de 2020, des cabinets d'avocats britanniques ont signalé que des cybercriminels leur avaient volé près de 2.5 millions de livres, soit plus de trois fois le montant signalé au cours des six premiers mois de 2019. Un cabinet d'avocats a signalé une escroquerie par hameçonnage qui a victimisé leur partenaire principal. Un e-mail de phishing contenant un malware a été déguisé en venant d'un client. Lorsque la victime a cliqué sur la pièce jointe, elle a instantanément envoyé des messages électroniques aux contacts du partenaire principal leur demandant de cliquer sur un lien et de fournir les informations demandées. Cela a amené le cabinet d'avocats à demander à sa banque de geler son compte client et à envoyer des excuses aux clients concernés.
Le vol d'identité
En octobre 2020, le cabinet d'avocats en droit de l'immigration Fragomen, Del Rey, Bernsen & Loewy a eu accès à des données non autorisées à des fichiers I-9 qui contenaient des informations personnelles d'anciens et d'actuels employés de Google. Ce cabinet d'avocats effectue des contrôles de vérification pour les entreprises afin de déterminer si leurs employés ont un statut juridique sain pour travailler aux États-Unis. Les fichiers I-9 contiennent de nombreuses données confidentielles, notamment des informations sur les passeports, les permis de conduire et les cartes d'identité, ce qui en fait une tarte sucrée pour les pirates informatiques et les voleurs d'identité.
Exemples récents d'attaques contre des cabinets d'avocats
En janvier 2021, un fournisseur de Goodwin Procter en charge des transferts de fichiers volumineux a été victime d'un piratage. Cela a permis aux cybercriminels d'accéder aux données que le fournisseur supervisait pour le cabinet d'avocats. L'enquête de Goodwin a conclu que : certains des clients du cabinet d'avocats pourraient avoir obtenu un accès non autorisé à des documents sensibles, seul un petit pourcentage d'employés de Goodwin ont été touchés, et il n'y avait aucune preuve indiquant que d'autres actifs et opérations commerciales ont été affectés négativement. Cependant, en tant que grande société de renseignement Law.com note, "certains pensent que les vrais drames se déroulent en privé."
Allens, l'un des cabinets d'avocats australiens les plus importants et les plus réputés, a également été victime d'une faille de cybersécurité sophistiquée en janvier 2021. L'attaque aurait été lancée sur un système de transfert et de stockage de fichiers vieux de deux décennies utilisé par Accellion. , une société de cybersécurité basée en Californie qui fournit un service de transfert et de stockage de fichiers pour les grandes entreprises, y compris de nombreux cabinets juridiques à travers le monde. Accellion n'a mis à jour son produit hérité que l'année dernière lorsqu'il a découvert une vulnérabilité dans le système. De manière plutôt ironique, l'ancien gestionnaire d'infrastructure d'Allens, Shawn Schmidt, a été cité sur le site Web d'Accellion concernant le choix du cabinet d'avocats australien de la société de cybersécurité : « Nous aurions facilement pu permettre aux employés d'utiliser des solutions grand public telles que Dropbox qui, en apparence, auraient fait le travail. Mais nous savions que notre cabinet et nos clients avaient besoin de quelque chose en qui ils pouvaient avoir confiance et sur lesquels ils pouvaient compter.
Jones Day, le 10e plus grand cabinet d'avocats des États-Unis et également client d'Accellion, a signalé en février 2021 que les données privées de leurs clients ainsi que les fichiers de communication de l'entreprise avaient été piratés également en raison d'une vulnérabilité dans le fichier d'Accellion vieux de deux décennies. Appareil de transfert.
Conclusion
L'enquête 2020 sur la cybersécurité de l'American Bar Association révèle les dommages considérables que les cabinets d'avocats ont subis en raison de violations. Trente-cinq pour cent des participants à l'étude ont signalé une perte d'heures facturables à leurs clients ; trente-neuf pour cent ont dû dépenser des frais de consultation pour la réparation ; dix-sept pour cent ont dû remplacer leur matériel ou leur logiciel ; vingt-trois pour cent ont perdu leur accès au réseau ; et dix pour cent ont perdu l'accès à leur site Web.
Les cabinets d'avocats doivent adopter une position plus proactive s'ils veulent être en mesure de lutter contre les attaques de cybersécurité. Ils doivent être en communication constante avec leur fournisseur de sécurité afin de recevoir les derniers correctifs et mises à jour. Même les entreprises de cybersécurité peuvent tomber dans la complaisance et il appartient donc aux cabinets d'avocats de choisir avec soin leurs fournisseurs de services.
Les avocats savent avant tout que le respect de la confidentialité des informations est une référence dans leur métier. C'est l'un des fondements de la réputation de leur entreprise. C'est la base pour développer une relation de confiance avec leurs clients. Et cela leur offre une protection contre les poursuites pour faute professionnelle. En fin de compte, les cabinets d'avocats devraient chercher à investir dans des produits et services de cybersécurité à la pointe de la technologie et bénéficiant d'excellentes critiques.
