L'essentiel de la cybersécurité pour les entreprises LegalTech

Selon IBM et Ponemon, le coût moyen d'une violation de données est de 4,35 millions de dollars ! Il n'est donc pas étonnant que les entreprises ressentent le besoin d'investir massivement dans la cybersécurité. Pour les entreprises de technologie juridique, qui traitent quotidiennement un grand nombre de données sensibles sur leurs clients, les enjeux sont encore plus importants. Au-delà de l'impact financier immédiat, une violation de données peut causer une grave atteinte à la réputation qui est souvent beaucoup plus difficile à réparer, ce qui fait de la cybersécurité une priorité absolue pour les professionnels du droit. À mesure que le monde numérique évolue, les stratégies de protection des informations sensibles doivent également s'adapter à des menaces de plus en plus sophistiquées.

ELTA, l'association européenne des technologies juridiques, a réuni certains des plus grands experts en cybersécurité d'aujourd'hui dans une salle de réunion numérique. Roeland DelrueCofondateur et directeur de la recherche chez Aikido Security, Aidas Kavaliscofondateur et chef de produit chez Amberlo, Wouter Van Respaillecofondateur et directeur technique de Henchman, et Michiel DenisHead of Growth at Henchman, partagent leur expertise et leurs idées sur la manière de mettre en place un cadre de cybersécurité solide pour les entreprises de LegalTech.

L'importance croissante de la cybersécurité

Quelles sont les normes fondamentales de cybersécurité que toute application de technologie juridique devrait respecter, et comment ces normes ont-elles évolué avec les menaces émergentes ? Roeland Delrue, cofondateur et directeur de la recherche chez Aikido Security, souligne que le développement d'une application juridique sécurisée commence par le code.

1. Les programmeurs écrivent l'application en code. La première couche de sécurité consiste à s'assurer que le code lui-même est sécurisé
2. Une fois que le code est prêt, il est généralement expédié dans des conteneurs - qui représentent la deuxième couche qui doit être scannée et surveillée.
3. La troisième couche est l' environnement en nuage dans lequel l'application est déployée.

Vient ensuite la quatrième couche, les domaines (login.com ou app.com) par lesquels les utilisateurs accèdent à l'application.

Conformité et contrôle continu

Wouter Van Respaille, cofondateur et directeur technique de Henchman, a souligné l'importance du respect des normes industrielles telles que ISO 27001 et SOC 2. Ces certifications ne sont pas de simples cases à cocher ; elles indiquent que le fournisseur prend la sécurité au sérieux. Il a fait remarquer que les entreprises qui n'ont pas ces certifications pourraient ne pas disposer des ressources nécessaires ou ne pas s'engager en faveur de la sécurité.

Au-delà de la conformité, la surveillance continue et les approches créatives telles que les programmes de récompense des bogues sont cruciales. Ces programmes font appel à des hackers éthiques qui testent continuellement le système, offrant ainsi une couche de sécurité supplémentaire par rapport aux outils d'analyse traditionnels. M. Van Respaille décrit l'approche adoptée par Henchman : "Aikido scanne en permanence notre infrastructure et notre code. En outre, nous utilisons Intigriti pour la chasse aux bogues, ce qui implique un collectif de pirates sociaux qui sondent et explorent nos systèmes de manière créative. Comparée aux outils d'analyse traditionnels, cette approche est beaucoup plus innovante. Nous utilisons également Phished pour envoyer des simulations d'hameçonnage à tous nos employés, afin de les sensibiliser à l'hameçonnage et à la sécurité tout en ajoutant une touche de gamification. En tant qu'entreprise gérant un flux incessant de données sensibles, il est important d'avoir ces partenariats plutôt que de tout faire soi-même.

La cybersécurité étant un sujet complexe, Aidas Kavalis, cofondateur et responsable des produits chez Amberlo, souligne qu'il est judicieux de faire appel à un tiers pour évaluer les fournisseurs. "Un expert dans le domaine peut vous aider à découvrir des choses auxquelles vous n'auriez jamais pensé. Même si une norme ISO27001 ou SOC 2 est mise en œuvre, comment être sûr que le certificat correspond à la réalité ? Un professionnel aide à poser les bonnes questions et à s'assurer que les bonnes choses sont vérifiées dès le départ.

Les données juridiques sont très sensibles et précieuses

Les panélistes s'accordent à dire que les applications de technologie juridique sont confrontées à des défis de cybersécurité uniques par rapport à d'autres applications web, étant une cible privilégiée pour les pirates informatiques, au même titre que les institutions financières. Les données juridiques, tout comme les données financières, sont très sensibles et précieuses. "La différence est que les institutions financières gèrent de l'argent, alors que les cabinets d'avocats gèrent des informations sur leurs clients, qui peuvent parfois causer plus de dégâts en cas de violation. Récemment, il y a eu plusieurs attaques où des cabinets d'avocats ont été piratés, ce qui a conduit à un ciblage individuel de leurs clients. C'est pourquoi je pense que les cabinets d'avocats font définitivement partie des secteurs les plus à risque", déclare M. Kavalis.

M. Delrue recommande vivement de tenir compte de la valeur des données que vous traitez, car elle a une incidence sur le niveau de sécurité requis : "Par exemple, il y a une grande différence entre un fournisseur de technologie juridique qui se contente d'examiner les contrats sans les stocker et un fournisseur qui détient les contrats réels de nombreux clients. Plus vous détenez de données sensibles, plus vous devenez une cible attrayante pour les pirates informatiques, qui cherchent à extorquer de l'argent par le biais de ransomwares ou en vendant les données. Par conséquent, que vous soyez un fournisseur ou un consommateur de legaltech, vous devez évaluer la sensibilité et la valeur de vos données pour des acteurs malveillants potentiels. Si vos données ont une grande valeur, il est essentiel de mettre en œuvre des mesures de cybersécurité plus rigoureuses que celles d'une entreprise moyenne."

Évaluation de la sécurité des technologies juridiques

Lorsqu'ils évaluent la sécurité des produits de technologie juridique, les cabinets d'avocats doivent également tenir compte de la sensibilité et du volume des données qu'ils traitent et s'assurer que les applications disposent des mesures de sécurité nécessaires.

En tant que fournisseur de technologie juridique, Kavalis reçoit trois demandes de la part de ses clients :

1. Les certifications ISO ou SOC 2, ainsi que les questionnaires de conformité au GDPR.
2. Évaluation externe de la cybersécurité : Les grands cabinets d'avocats demandent souvent des sessions techniques, au cours desquelles ils font appel à des experts externes pour examiner en profondeur Amberlo et vérifier si la technologie et les politiques mises en place sont adéquates.
3. Et de temps en temps, des incidents de sécurité. "Heureusement, nous n'avons pas connu d'incidents de sécurité majeurs jusqu'à présent, ce que je considère comme une réussite importante. Depuis que nous avons lancé Amberlo en 2017, nous avons vu des tentatives quotidiennes d'intrusion dans nos systèmes à partir de certains lieux de piratage bien connus", explique Kavalis.

Il est facile de vérifier si une entreprise est conforme aux normes ISO 27001 ou SOC 2. Toutefois, M. Delrue insiste sur l'importance de comprendre ce que ces certifications impliquent. M. Delrue considère les certifications ISO 27001 ou SOC 2 comme un raccourci pour remplir un long questionnaire sur la sécurité, où ⅔ des cases peuvent être cochées automatiquement. Toutefois, certaines choses ne sont pas couvertes par les certifications, comme l'analyse des logiciels malveillants, qui n'est pas couverte par SOC2, par exemple. Dans certains cas, les certifications ISO standard ne suffisent donc pas et il peut être utile d'ajouter des questions plus approfondies.

Sur site ou hébergé dans le nuage ?

Avec les progrès rapides apportés par le GPT et d'autres technologies d'IA, l'évaluation de la technologie dans les cabinets d'avocats est devenue de plus en plus cruciale. Cependant, il y a toujours eu un débat entre l'hébergement sur site et l'hébergement dans le cloud. Voyons d'abord ce que cela signifie :

• Logiciel sur site : les clients possèdent physiquement les serveurs et y hébergent leurs applications.
• Le nuage privé : les clients adoptent Microsoft Azure, Google Cloud Platform ou AWS où ils exécutent toutes les applications à l'intérieur de leur réseau.
• Le nuage : les applications fonctionnent entièrement sur le nuage et les clients adaptent ensuite cette technologie.

"Je ne veux pas me faire renverser par une voiture, alors je reste chez moi pour toujours. Ou bien je peux aller quelque part, et quand je traverse la rue, je regarde d'abord à gauche et à droite pour m'assurer que je suis en sécurité".

M. Van Respaille utilise cette analogie pour comparer l'informatique sur site à l'informatique dématérialisée. Selon lui, rester sur place est dépassé. "Cela signifie que vous serez exclus d'un grand nombre d'innovations. Je conseille à tous les cabinets d'avocats d'adopter pleinement le nuage, mais de l'aborder de manière réfléchie. Sachez qu'il existe des listes de contrôle de sécurité. Il n'est pas nécessaire qu'elles soient très complexes ou qu'elles demandent beaucoup de ressources ; un questionnaire de base peut suffire pour évaluer les outils que vous souhaitez adopter. Cette approche crée une première couche de sécurité et vous permet de comprendre clairement ce que vous achetez. En résumé, "Optez pour le full cloud, mais sachez quels outils vous allez adopter".

Si certaines normes sont respectées, M. Delrue considère que la solution sur site est une option légitime : "Si vous disposez d'un programme sur site de premier ordre avec des responsables de la sécurité dédiés qui savent comment gérer ce programme sur site, il s'agit alors d'une option viable." Cependant, il pense que la sécurité de haute qualité sur site est rare. "Si vous avez affaire à des fournisseurs de services en nuage très professionnels et que vous ne disposez pas des ressources internes pour gérer votre système sur site, il est probablement plus sûr d'opter pour la version en nuage, car il existe de nombreux risques de sécurité sur site. Il s'agit donc essentiellement d'une évaluation des risques : où voulez-vous que le risque se situe, et qui voulez-vous pour gérer ce risque ?

"Très souvent, le système sur site devient un point de défaillance unique", ajoute M. Adias. "Si un périmètre est violé, cela signifie souvent que tous les autres systèmes sont également facilement accessibles. J'ai rarement vu une approche stratifiée de la cybersécurité sur site, où chaque application est isolée dans une zone de sécurité distincte.

De l'idée au déploiement

Bien entendu, les fournisseurs de technologies juridiques devraient intégrer des normes et des mesures de sécurité dès le départ, avant même que le produit ne soit construit.

"Cela commence par l'ordinateur portable du développeur de logiciels. Le développeur écrit le code, et c'est là que l'on peut faire le premier contrôle. C'est ce que fait Aikido", explique M. Delrue. "Qu'il s'agisse de code, de conteneurs, de nuage, de domaine, à chaque étape du cycle de vie du développement, Aikido peut effectuer des contrôles de sécurité. Cependant, être trop strict peut ralentir considérablement le processus de développement. C'est pourquoi Delrue conseille d'utiliser intelligemment la catégorisation des risques des vulnérabilités et des problèmes de sécurité (faible, moyen, élevé, critique). "Si vous commencez à les bloquer à un niveau moyen, vous allez ralentir le développement : ils seront arrêtés à chaque étape à cause d'un contrôle de sécurité qui doit être corrigé. Parfois, il est un peu plus facile de ne bloquer que les "problèmes critiques" et de régler les "problèmes élevés" plus tard, de manière ciblée.

Tout au long du cycle de développement, vous pouvez effectuer différents contrôles afin d'adopter une posture de sécurité adéquate. Dans le monde des produits de sécurité, on parle de "déplacement vers la gauche". "Cela signifie qu'il est possible d'attraper quelqu'un plus tôt dans le cycle, ce qui rend la correction plus facile que lorsque le produit est déjà en ligne avec le client, car à ce moment-là, le mal est fait. Car à ce moment-là, le mal est fait". explique M. Delrue.

À une époque où les violations de données peuvent coûter des millions et où les réputations ne tiennent qu'à un fil, il est clair que la cybersécurité n'est plus une option pour les entreprises de technologie juridique, c'est une nécessité. Que vous soyez en train de débattre entre le cloud et le système sur site ou d'évaluer une nouvelle solution technologique, n'oubliez pas qu'à l'ère numérique, la seule chose qui coûte plus cher que d'investir dans la cybersécurité, c'est de ne pas investir dans ce domaine.