Quels sont les enjeux de protection des données pour les cabinets de conseil et d’avocats ?

Les prestataires de services intellectuels (conseil, audit, avocat, notaire…) manipulent au quotidien des informations sensibles de nombreux clients. Le contexte de transformation digitale dans lequel toute société évolue désormais impose de nouvelles manières de travailler, mêlant efficacité, mobilité et transversalité. Vient alors se poser la question de la cybersécurité. Si les outils collaboratifs sont indispensables de nos jours pour travailler en tout temps et de partout, ils sont parfois utilisés à mauvais escient dans un contexte professionnel mettant alors à risque les données confidentielles confiées par les clients. Garantir l’intégrité des informations échangées et stockées entre un cabinet et son client est désormais un prérequis critique de pérennité. Explications.

 

 

Garantir la confidentialité des échanges, un enjeu de taille

Quoi de plus confidentiel que des échanges qui existent entre un avocat, un consultant ou un juriste et ses clients ? Toutes ces professions traitent les problématiques et les informations sensibles confiées par une multitude de clients. D’une stratégie de fusion-acquisition, de joint-venture à celle d’une restructuration, en passant par des affaires de droit du travail (optimisation fiscale, transformation RH), de concurrence ou de propriété intellectuelle (lancement de nouvelles offres, innovation, brevets, inventions) les informations échangées sont souvent très sensibles. Ce sont ces informations confidentielles, celles qui ont de la valeur, qui intéressent les « pirates ».

C’est l’impératif de travailler en circuit court et d’accélérer les échanges qui pousse ces professionnels à opter pour des outils collaboratifs, simplifiant ainsi le partage et le stockage de données. Naturellement, par habitude personnelle, nécessité ou productivité, ce sont les outils collaboratifs grand public de type Google Drive, Dropbox ou WeTransfer qui sont largement utilisés pour des usages professionnels. En plus d’exposer le cabinet aux cybermenaces, l’utilisation de ces solutions entraine une dispersion, une perte de maitrise et de garantie, ce que l’on appelle en entreprise le « Shadow IT« .

Il convient alors de trouver des solutions prévues pour répondre aux besoins métiers dont la sécurité, intégrée dès la conception, sera transparente pour l’utilisateur.

 

Prendre conscience des cybermenaces

Garantir la confidentialité des échanges est indispensable pour les cabinets de conseil et d’avocats. C’est d’ailleurs parfois une demande expresse qui figure dans les appels d’offres. Il est donc nécessaire de justifier et de prouver que les systèmes mis en place garantissent la sécurité des échanges.

Laisseriez-vous votre bureau ouvert alors qu’il contient des documents hautement confidentiels ?  Au sein d’un réseau interne, tout est interconnecté et un simple lien infecté peut contaminer toute une infrastructure. Certaines organisations – en particulier celles de tailles modestes – ne disposent pas toujours des ressources opérationnelles nécessaires et expertes pour anticiper, détecter et corriger les failles de sécurité.

La plupart des outils collaboratifs arborent fièrement une ou plusieurs mentions « chiffrement at rest », « chiffrement du transport ». Bien qu’apportant un niveau de sécurité minimal et désormais standard, la sécurité n’est en rien totalement assurée. En effet, un fichier déposé par l’une ou l’autre des parties ne sera chiffré sur le serveur qu’une fois traité par le système. A la sortie du canal sécurisé (SSL, TLS), il va arriver en clair sur le serveur puis pourra passer à travers un anti-virus, un moteur d’indexation, un générateur de miniatures, etc. Autant de zones d’un serveur ou toute personne malveillante pourra copier un fichier sans être « repérée ».

 

 

Avant toutes choses, il convient de sensibiliser et de former les collaborateurs aux bonnes pratiques à adopter. Une responsabilisation individuelle peut contribuer à faire baisser le niveau de risque. En effet, il ne faut pas oublier que les outils collaboratifs utilisés sont un concentré de données stratégiques très convoitées et que des mesures parfois élémentaires sont à appliquer.

Une des première mesure est de donner, via la solution de partage retenue, un accès aux dossiers qu’aux personnes qui y sont intégrées, que ce soient des salariées du cabinet, du client ou bien des consultants externes. C’est ce qui est appelé, notamment dans le monde militaire, le « besoin d’en connaître ».

Si ce dernier est respecté, il faut également veiller à garantir l‘intégrité des données. Il faut aussi pouvoir gérer la localisation des données, les différents niveaux d’accès et disposer d’une totale autonomie vis-à-vis de l’administrateur.

Si l’accès aux solutions collaboratives se fait depuis un smartphones, il faut veiller à ce que ce dernier soit également sécurisé. Un des risques majeurs est celui de l‘interception des données lors du transfert et de la messagerie instantanée qui peut y être liée. À partir du moment où ces données sont échangées à travers les réseaux habituels, elles deviennent potentiellement accessibles et lisibles. Pour cela, les cybercriminels ont de nombreux outils à leur disposition : piratage via réseau Wifi, application vérolée, vol de smartphone ou interception.

 

Maintenir sa réputation

En tout état de cause, la réputation, qu’elle soit collective ou personnelle, est un atout majeur de votre cabinet qui, pour des raisons de pérennité, ne peut être altérée.

Une faille de sécurité qui exposerait les données stratégiques de vos clients pourrait avoir des conséquences catastrophiques et remettre en question les fondations de votre structure basée sur la reconnaissance et la confiance.  

Les conséquences sont donc majeures : non seulement des données peuvent disparaître, des secrets personnels ou industriels peuvent être rendus publics, l’image de votre cabinet serait endommagée mais en plus, la confiance des clients et des futurs clients serait très sérieusement atteinte.

 

Êtes-vous certain d’avoir mis en place toutes les mesures nécessaires pour garantir à vos clients que leurs données sont en sécurité ?

Si non, êtes-vous prêt à prendre le risque ?