Selon IBM et Ponemon, le coût moyen d'une violation de données s'élève à un montant stupéfiant de 4,35 millions de dollars ! Il n'est pas étonnant que les entreprises ressentent le besoin d'investir massivement dans la cybersécurité. Pour les entreprises de legal tech, qui traitent quotidiennement une grande quantité de données clients sensibles, les enjeux sont encore plus élevés. Au-delà de l'impact financier immédiat, une violation de données peut entraîner des dommages réputationnels graves, souvent beaucoup plus difficiles à réparer, faisant de la cybersécurité une priorité absolue pour les professionnels du droit. À mesure que le monde numérique évolue, les stratégies de protection des informations sensibles doivent également s'adapter aux menaces de plus en plus sophistiquées.
L'ELTA, l'Association Européenne des Legal Tech, a réuni certains des principaux experts en cybersécurité d'aujourd'hui dans une salle de réunion numérique. Roeland Delrue, co-fondateur et CRO chez Aikido Security, Aidas Kavalis, co-fondateur et Head of Product chez Amberlo, Wouter Van Respaille, co-fondateur et CTO chez Henchman et Michiel Denis, Head of Growth chez Henchman partagent leur expertise et leurs perspectives sur la manière d'installer un cadre de cybersécurité solide pour les entreprises LegalTech.
L'importance croissante de la cybersécurité
Quelles sont les normes fondamentales de cybersécurité que chaque application legaltech devrait respecter, et comment ces normes ont-elles évolué face aux menaces émergentes ? Roeland Delrue, co-fondateur et CRO chez Aikido Security, souligne que le développement d'une application legaltech sécurisée commence par le code.
- Les programmeurs écrivent l'application en code. La première couche de sécurité consiste à s'assurer que le code lui-même est sécurisé.
- Une fois le code prêt, il est généralement livré dans des conteneurs – ce qui représente la deuxième couche qui doit être scannée et surveillée.
- La troisième couche est l'environnement cloud où l'application est déployée.
Vient ensuite la quatrième couche, les domaines (login.com ou app.com) par lesquels les utilisateurs accèdent à l'application.
Conformité et surveillance continue
Wouter Van Respaille, co-fondateur et CTO chez Henchman, a souligné l'importance de la conformité aux normes de l'industrie telles que ISO 27001 et SOC 2. Ces certifications ne sont pas de simples formalités ; elles sont des indicateurs qu'un fournisseur prend la sécurité au sérieux. Il a fait remarquer que les entreprises sans ces certifications pourraient manquer des ressources nécessaires ou de l'engagement envers la sécurité.
Au-delà de la conformité, la surveillance continue et les approches créatives comme les programmes de bug bounty sont cruciales. Ces programmes impliquent des hackers éthiques qui testent continuellement le système, offrant une couche de sécurité supplémentaire au-delà des outils de scanning traditionnels. Van Respaille partage leur approche chez Henchman : “Aikido scanne continuellement notre infrastructure et notre code. De plus, nous utilisons Intigriti pour la chasse aux bug bounty, ce qui implique un collectif de hackers sociaux qui sondent et explorent nos systèmes de manière créative. Comparée aux outils de scanning traditionnels, cette approche est bien plus innovante. Nous utilisons également Phished pour envoyer des simulations de phishing à tous nos employés, sensibilisant ainsi au phishing et à la sécurité tout en ajoutant une touche de gamification. En tant qu'entreprise gérant un flux incessant de données sensibles, il est important d'avoir ces partenariats plutôt que de tout faire nous-mêmes."
Parce que la cybersécurité est une question complexe, Aidas Kavalis, co-fondateur et responsable produit chez Amberlo, souligne qu'il est judicieux de faire appel à un tiers pour évaluer les fournisseurs. « Un expert dans le domaine peut vous aider à découvrir des choses auxquelles vous n'auriez jamais pensé. Même si une norme ISO27001 ou SOC 2 est mise en œuvre, comment être sûr que le certificat correspond à la réalité ? Un professionnel aide à poser les bonnes questions et à s'assurer que les bonnes vérifications sont effectuées en amont. »
Les données juridiques sont très sensibles et précieuses.
Les panélistes conviennent que les applications legaltech sont confrontées à des défis de cybersécurité uniques par rapport à d'autres applications web, étant une cible privilégiée pour les hackers, au même titre que les institutions financières. Les données juridiques, tout comme les données financières, sont extrêmement sensibles et précieuses. « La différence est que les institutions financières gèrent de l'argent, tandis que les cabinets d'avocats gèrent des informations clients, ce qui peut parfois causer plus de dommages en cas de violation. Récemment, plusieurs attaques ont ciblé des cabinets d'avocats, entraînant un ciblage individuel de leurs clients. Par conséquent, je crois que les cabinets d'avocats figurent définitivement parmi les secteurs les plus à risque », déclare Kavalis.
Delrue insiste sur l'importance de la valeur des données que vous traitez, car elle a un impact sur le niveau de sécurité requis : « Par exemple, il existe une différence significative entre un fournisseur legaltech qui ne fait que réviser des contrats sans les stocker et un autre qui détient de nombreux contrats réels de clients. Plus vous détenez de données sensibles, plus vous devenez une cible attrayante pour les hackers, qui cherchent à extorquer de l'argent via des ransomwares ou en vendant les données. Par conséquent, que vous soyez un fournisseur ou un consommateur de legaltech, vous devez évaluer la sensibilité et la valeur de vos données pour d'éventuels acteurs malveillants. Si vos données sont très précieuses, il est crucial de mettre en œuvre des mesures de cybersécurité plus rigoureuses que la moyenne des entreprises. »
Évaluation de la sécurité des LegalTech
Lors de l'évaluation de la sécurité des produits legaltech, les cabinets d'avocats devraient également prendre en compte la sensibilité et le volume des données qu'ils traitent et s'assurer que les applications disposent des mesures de sécurité nécessaires.
En tant que fournisseur de legaltech, Kavalis est sollicité pour trois choses par ses clients :
- Certifications ISO ou SOC 2, ainsi que des questionnaires de conformité au RGPD.
- Évaluation externe de la cybersécurité : Les grands cabinets d'avocats demandent souvent des sessions techniques, où ils font appel à des experts externes pour examiner en profondeur Amberlo afin de vérifier s'il dispose de technologies et de politiques adéquates.
- Et de temps en temps, un historique d'incidents de sécurité. “Heureusement, nous n'avons pas connu d'incidents de sécurité majeurs jusqu'à présent, ce que je considère comme une réussite significative. Depuis le lancement d'Amberlo en 2017, nous avons constaté des tentatives quotidiennes d'intrusion dans nos systèmes depuis des lieux de hackers bien connus,” déclare Kavalis.
Une chose facile à vérifier est si une entreprise est conforme à la norme ISO 27001 ou SOC 2. Cependant, Delrue souligne l'importance de comprendre ce que ces certifications impliquent. Delrue considère ISO27001 ou SOC 2 comme un raccourci pour remplir un long questionnaire de sécurité, où les ⅔ des cases peuvent être cochées automatiquement. Cependant, certaines choses ne sont pas couvertes par les certifications, comme l'analyse des malwares qui n'est pas couverte par SOC2, par exemple. Ainsi, dans certains cas, les certifications ISO standard pourraient ne pas suffire et vous pourriez vouloir ajouter des questions plus approfondies.
On-premise ou hébergé dans le cloud ?
Avec les avancées rapides apportées par GPT et d'autres technologies d'IA, l'évaluation des technologies dans les cabinets d'avocats est devenue de plus en plus cruciale. Cependant, le débat entre l'hébergement on-premise et le cloud a toujours existé. Examinons d'abord ce que cela signifie :
- Logiciels sur site : les clients possèdent physiquement les serveurs et y hébergent leurs applications
- Le cloud privé : les clients adoptent Microsoft Azure, Google Cloud Platform ou AWS où ils exécutent toutes les applications au sein de leur réseau
- Le cloud : les applications s'exécutent entièrement sur le cloud, et les clients adaptent ensuite cette technologie
« Je ne veux pas me faire renverser par une voiture, alors je vais rester chez moi pour toujours. Ou je pourrais en fait aller quelque part, et quand je traverse la rue, je regarde d'abord à gauche et à droite pour m'assurer que je suis en sécurité. »
Van Respaille utilise cette analogie pour comparer l'on-premise au cloud. Selon lui, rester en on-premise est dépassé. « Cela signifie que vous serez exclus de beaucoup d'innovation. Mon conseil à tous les cabinets d'avocats est d'adopter pleinement le cloud, mais de l'aborder de manière réfléchie. Sachez qu'il existe des listes de contrôle de sécurité disponibles. Celles-ci n'ont pas besoin d'être excessivement complexes ou gourmandes en ressources ; un questionnaire de base peut suffire pour évaluer les outils que vous souhaitez adopter. Cette approche crée une première couche de sécurité, vous donnant une compréhension claire de ce que vous achetez réellement. En résumé, 'Passez entièrement au cloud, mais sachez quels outils vous allez adopter !' »
Si certaines normes sont respectées, Delrue considère l'on-premise comme une option légitime : « Si vous avez un programme on-premise de premier ordre avec des experts en sécurité dédiés qui savent comment gérer cet on-premise, alors c'est une option tout à fait viable. » Cependant, il estime qu'une sécurité on-premise de haute qualité est rare. « Si vous travaillez avec des fournisseurs de cloud très professionnels et que vous n'avez pas les ressources internes pour gérer votre on-premise, il est probablement plus sûr d'opter pour la version cloud, car il existe de nombreux risques de sécurité en on-premise. » Il s'agit donc fondamentalement d'une évaluation des risques : où voulez-vous que le risque se situe, et qui voulez-vous pour gérer ce risque ?
« Très souvent, l'on-premise devient un point de défaillance unique, » ajoute Adias. « Si un périmètre est compromis, cela signifie souvent que tous les autres systèmes sont également assez facilement accessibles. J'ai rarement vu une approche en couches de la cybersécurité on-premise, où chaque application est isolée dans une zone de sécurité distincte. »
De l'idéation au déploiement
Bien sûr, les fournisseurs de legaltech devraient intégrer des normes et des mesures de sécurité dès le départ, avant même que le produit ne soit développé.
« Cela commence avec l'ordinateur portable du développeur logiciel. Le développeur écrit du code, et c'est là que vous pouvez effectuer la première vérification. C'est ce que fait Aikido, » déclare Delrue. « Qu'il s'agisse de code, de conteneurs, de cloud, de domaine, à chaque étape du cycle de vie du développement, Aikido peut effectuer des contrôles de sécurité. » Être trop strict, cependant, peut ralentir considérablement le processus de développement. C'est pourquoi Delrue conseille d'utiliser intelligemment la catégorisation des risques des vulnérabilités et des problèmes de sécurité (faible, moyen, élevé, critique). « Si vous commencez à les bloquer au niveau moyen, vous allez ralentir le développement : ils seront arrêtés à chaque étape en raison d'un contrôle de sécurité à corriger. Parfois, il est un peu plus facile de ne bloquer que les « problèmes critiques » et de corriger ensuite les « élevés » à un moment précis. »
Tout au long du cycle de vie du développement, vous pouvez effectuer différentes vérifications pour assurer une posture de sécurité adéquate. Dans le monde des produits de sécurité, cela est appelé le « shifting left ». « Cela signifie détecter un problème plus tôt dans le cycle, ce qui le rend plus facile à corriger que lorsqu'il est déjà en production chez un client. Car à ce stade, les dégâts sont faits », déclare Delrue.
À une époque où les violations de données peuvent coûter des millions et où les réputations ne tiennent qu'à un fil, il est clair que la cybersécurité n'est plus une option pour les entreprises legaltech, c'est une nécessité. Ainsi, que vous débattiez du cloud vs. l'on-premise ou que vous évaluiez une nouvelle solution technologique, rappelez-vous : à l'ère numérique, la seule chose plus coûteuse que d'investir dans la cybersécurité est de ne pas y investir.
Sécurisez votre logiciel dès maintenant.
.jpg)
.avif)
