Meilleures pratiques de cybersécurité pour les professionnels du droit
Si vous exercez une profession juridique, vous ne connaissez que trop bien l’importance de la confidentialité des informations. En plus de préserver la confidentialité des informations générales sur les clients, vous pouvez avoir affaire à des informations particulièrement sensibles telles que des secrets commerciaux d'entreprise ou des données médicales de clients.
Des pirates informatiques animés de diverses intentions malveillantes peuvent tenter de voler des informations pour diverses raisons, par exemple : pour utilisation contre un client ou comme moyen d'extorsion . Que vous travailliez avec des centaines de clients ou seulement quelques-uns, tous les appareils liés au travail doivent être verrouillés, au bureau, à la maison et en déplacement.
Heureusement, il existe une multitude de précautions que vous pouvez prendre pour sécuriser vos informations et vous assurer qu’elles ne sont jamais exposées aux regards indiscrets. Dans cet article, nous examinons quelques exemples réels de violations de cybersécurité dans des cabinets d'avocats et expliquons ce que vous pouvez faire pour atténuer les risques de telles attaques.
Exemples de failles de cybersécurité dans les cabinets d'avocats
Pour illustrer certaines des menaces de cybersécurité auxquelles les professionnels du droit sont confrontés, examinons quelques exemples concrets de violations qui ont fait la une des journaux au cours des dernières années.
Cravath/Weil (piratage d'e-mails)
Cette violation survenue en 2016 impliquait 48 cabinets d’avocats américains et, bien qu’ils n’aient pas été nommés, les médias ont pu en déduire que Cravath, Swaine & Moore et Well, Gotshal & Manges étaient deux des cabinets impliqués. La raison de cette attaque était un stratagème de délit d’initié ; Les pirates ont découvert des informations sur les fusions à venir en piratant les courriels des employés des cabinets d’avocats spécialisés dans les fusions. Ils ont utilisé les données recueillies pour gagner 4 millions de dollars grâce à ce projet. Trois Des citoyens chinois ont été inculpés dans l'attaque.
DLA Piper (attaque de rançongiciel)
UN Attaque de ransomware de juin 2017 (en utilisant le ransomware Petya) sur DLA Piper a empêché l'entreprise et ses employés d'utiliser leur téléphone ou d'accéder à leurs e-mails pendant trois jours complets. L’ironie de cette affaire est que DLA Piper se présente comme une entreprise possédant une expertise supérieure en matière de cybersécurité.
Panama Papers (fuite par source anonyme)
Cette affaire, surnommée les « Panama Papers », a fait la une des journaux en 2016 et au-delà puisque plus de 11,5 millions de documents appartenant à Cabinet d'avocats panaméen Mossack Fonseca ont été divulguées au public. Outre le formulaire révélant des informations privilégiées entre avocat et client, y compris des données financières, des transactions illégales de la part du cabinet ont été révélées. Il a créé des sociétés écrans destinées à l’évasion et à la fraude fiscales et à échapper aux sanctions internationales.
Les conséquences de la fuite, d’origine encore inconnue, ont affecté non seulement l’entreprise, mais également de nombreux fonctionnaires et particuliers fortunés. Le Premier ministre islandais de l’époque a démissionné en raison de cette fuite.
Une violation similaire s'est produite dans un cabinet d'avocats Appleby en 2016 , exposant de nombreuses personnalités (dont la reine d’Angleterre) à des accusations d’évasion fiscale et de crimes similaires. Cette brèche a été surnommée les « Paradise Papers ».
Thirty Nine Essex Street (attaque d'un point d'eau)
Une attaque de point d’eau est un type spécifique d’exploit de sécurité ciblé. Les attaquants atteignent un groupe d’utilisateurs finaux en compromettant un site qu’ils fréquentent. En 2014, un cabinet d'avocats britannique Trente-neuf rue Essex s'est retrouvé au centre d'une attaque de point d'eau. Bien que l’on ignore quelle méthode ils ont utilisée, les pirates ont réussi à compromettre le site Web de l’entreprise. Ils ont ensuite pu infecter les visiteurs du site, les cibles finales étant les différents clients du secteur énergétique de l’entreprise.
Compte fiduciaire (arnaque par phishing)
Ce stratagème de 2012 était un cadeau de Noël malvenu pour un cabinet d'avocats de Toronto. Grâce à une escroquerie par phishing, les pirates accédé au compte en fiducie de l’entreprise via l’ordinateur du comptable de l’entreprise. On pense que le comptable a cliqué sur une pièce jointe apparemment inoffensive qui a téléchargé un virus sur l’ordinateur.
Le virus, connu sous le nom de virus cheval de Troie bancaire, avait la capacité d’imiter le site Web d’une banque. Grâce à cette astuce, le comptable a transmis sans le savoir le mot de passe du compte en fiducie du cabinet d’avocats. Une fois que les pirates y ont eu accès, ils ont pu voler des fonds. Ce n’est que quelques jours après l’attaque que l’entreprise a remarqué qu’il lui manquait un montant à six chiffres sur le compte.
WordPress (piratage du système de gestion de contenu)
Bien que de nombreuses attaques ciblent spécifiquement les cabinets d’avocats, celles-ci étaient plus répandues, mais ont touché un certain nombre de cabinets d’avocats. UN faille dans un plugin WordPress publié en 2016 a permis aux pirates de contourner les mesures d'authentification de WordPress. Cela leur a donné accès aux panneaux d'administration des sites Web WordPress et leur a permis de modifier le contenu des pages Web. Les cabinets d'avocats ainsi que les entreprises d'autres secteurs se sont retrouvés avec des pages dégradées et du contenu manquant.
Escroqueries aux chèques sans provision
Bien qu'il ne s'agisse pas d'un exemple individuel, escroqueries aux chèques sans provision sont monnaie courante dans le secteur du droit et méritent donc certainement d'être mentionnés ici. Les cabinets d'avocats sont souvent impliqués dans des transactions entre différents comptes pour le compte de clients. Dans de nombreux cas, les clients envoient un chèque à leur avocat et celui-ci vire les fonds, souvent vers un compte étranger. Avec d’importantes sommes d’argent transitant chaque jour par ce type de transactions, elles offrent une opportunité idéale aux fraudeurs.
Dans une escroquerie par chèque sans provision, l’une de ces transactions se déroule normalement, sauf que le chèque original envoyé par le client s’avère être un faux. Le problème est que les faux chèques ne sont généralement pas découverts immédiatement et que le virement bancaire a eu lieu avant la découverte, ce qui met l’avocat hors de sa poche.
Meilleures pratiques de cybersécurité pour les cabinets d'avocats
Comme le montrent les exemples ci-dessus, personne n’est à l’abri des menaces de cybersécurité. Voici les principales mesures que vous pouvez prendre pour vous protéger, vous et vos clients :
- Avoir une stratégie de cybersécurité et la communiquer
- Utilisez des mots de passe forts (et un gestionnaire de mots de passe)
- Utilisez un pare-feu et un logiciel antivirus
- Attention aux e-mails de phishing
- Méfiez-vous des autres e-mails et popups suspects
- Utilisez un VPN
- Appareils physiques sécurisés
- Sauvegardez vos données en toute sécurité sur le cloud
- Utiliser des communications cryptées
- Obtenez un certificat SSL
- Vérifiez les nouveaux logiciels avec une extrême prudence
- Naviguez en toute sécurité
- Rechercher en toute sécurité
- Envisagez un bureau virtuel hébergé
- Renforcez la sécurité du réseau
Examinons chacun d’eux plus en détail :
1. Avoir une stratégie de cybersécurité et la communiquer
Une planification minutieuse est essentielle et il est important que les cabinets d’avocats disposent d’une stratégie solide et bien documentée en matière de cybersécurité. Attendre qu’une violation importante se produise avant de passer à l’action est une stratégie médiocre et réactive.
Assurez-vous que tout est couvert dans le plan, y compris les services et logiciels de sécurité à utiliser et les protocoles pour traiter les informations en toute sécurité au quotidien. Notez que pour de nombreuses entreprises, le recours à des sociétés de sécurité tierces est nécessaire pour des tâches telles que les tests d'intrusion, les analyses de vulnérabilité et les analyses de logiciels malveillants.
Vous devez également penser aux pires scénarios et quelle mesure vous prendrez en cas de violation . Ayez un plan de réponse et testez-le. Développer et tester des plans de réponse aux incidents, de continuité des activités ou de reprise après sinistre et des plans de communication.
Il est aussi important d’avoir un plan que de s’assurer que tout le personnel est pleinement formé. Même si la cybersécurité fait appel à beaucoup de bon sens, il est crucial de sensibiliser le personnel aux risques et aux meilleures pratiques générales.

2. Utilisez des mots de passe forts (et un gestionnaire de mots de passe)
La plupart des bonnes pratiques en matière de mots de passe relèvent du bon sens. Utilisez un mot de passe différent pour chaque compte et créez des mots de passe longs et difficiles à deviner. Ils doivent contenir un mélange de lettres majuscules et minuscules, de chiffres et de symboles, et éviter absolument d'utiliser les mots de passe les plus couramment utilisés (vous pouvez trouver le top 500 sur notre page de gestion de mots de passe).
Cependant, avec autant de comptes requis pour diverses applications, il peut être difficile de se souvenir de tous ces mots de passe. Un gestionnaire de mots de passe peut vous aider. Il mémorisera tous vos mots de passe et les fonctionnalités de saisie automatique signifient qu'ils sont automatiquement saisis sur le site approprié.
Cela signifie que vous vous n'avez pas besoin de mémoriser vos mots de passe ou stockez-les dans votre navigateur (ce qui est un grand non-non du point de vue de la sécurité). Les gestionnaires de mots de passe peuvent également vous aider à détecter les sites de phishing, car ils ne rempliront pas automatiquement les formulaires sur les sites inconnus. Certaines options populaires incluent Mot de passe collant , Dernier passage , et Dashlane .
En plus d'utiliser des mots de passe forts, vous pouvez également envisager une vérification en deux étapes (2SV). Certaines applications intègrent cette fonction, mais il existe également des applications tierces que vous pouvez utiliser pour appliquer la 2SV. Avec cela, vous devez vérifier votre mot de passe de connexion par un moyen secondaire, par exemple en saisissant un code envoyé par SMS ou par e-mail.
Il existe également une authentification à deux facteurs (2FA) qui utilise quelque chose de physique pour l'étape d'authentification secondaire. Il peut s'agir d'une méthode de vérification biométrique telle qu'un scan de la rétine ou d'une empreinte digitale, ou encore d'un dispositif tel qu'une carte d'accès ou un porte-clés. Yubico est une entreprise spécialisée dans de tels appareils.
3. Utilisez un pare-feu et un logiciel antivirus
Même si vous aurez probablement besoin d'une sécurité supplémentaire, l'utilisation de principes de base tels que l'activation de votre pare-feu et l'utilisation d'un bon logiciel antivirus peuvent toujours être d'une grande aide.
Un pare-feu fonctionne en agissant comme une barrière entre votre réseau ou ordinateur et Internet. Il ferme les ports pour empêcher la communication avec votre appareil. Vous pouvez le faire manuellement, mais un pare-feu fermera tous les ports, simplifiant ainsi le processus. À part arrêter les menaces telles que les programmes malveillants envoyé par des pirates informatiques pour pénétrer dans votre ordinateur, il peut empêcher la sortie des données.
Les pare-feu logiciels sont souvent intégrés à un appareil, mais certains peuvent être achetés séparément, comme Confortable et Petit Mur . Les pare-feu matériels peuvent également être achetés séparément, mais sont souvent livrés intégré aux routeurs .
Les logiciels antivirus peuvent aider à vous protéger contre les virus et autres formes de logiciels malveillants en détectant et en supprimant souvent la menace.
Il existe des options de logiciels antivirus gratuits, mais elles sont généralement limitées et les alternatives payantes ne coûtent pas très cher de toute façon. Certaines options populaires sont Bitdefender et Kaspersky.
Voir également:Meilleurs pare-feu gratuits
4. Méfiez-vous des e-mails de phishing
Espérons que vous et vos collègues ayez de l’intelligence lorsqu’il s’agit de diverses escroqueries en ligne, mais à mesure que les pirates informatiques et autres cybercriminels deviennent de plus en plus avisés, il est de plus en plus important de savoir à quoi faire attention.
Attaques de phishing impliquer quelqu'un glaner des informations à l’aide de l’ingénierie sociale . Un attaquant se fait passer pour une figure d'autorité de confiance pour inciter les victimes à fournir des mots de passe ou des informations financières. Les attaques peuvent avoir lieu par téléphone, SMS ou e-mail et peuvent impliquer des liens vers des sites Web de phishing (faux sites conçus pour paraître légitimes afin de voler vos informations). Les informations qu'ils peuvent rechercher incluent des données financières ou des informations de connexion à divers comptes.
Les formes spéciales de phishing comprennent hameçonnage (lorsque l'attaque vise un individu ou un groupe) et pêche à la baleine (ciblant les cadres et autres cadres supérieurs). Si un membre de l’organisation tombait dans le piège de ce type d’attaques, cela présenterait un risque sérieux en matière de cybersécurité.
Le phishing a moins de chances de réussir si vous avez l’habitude d’utiliser signatures numériques pour authentifier la source d'un email et vérifier que personne ne l'a falsifié. Les signatures numériques utilisent une cryptographie à clé publique et sont presque impossibles à falsifier (la clé privée de l'expéditeur aurait dû être compromise).
5. Faites attention aux autres e-mails et popups suspects
Tous les e-mails malveillants n'impliquent pas de phishing et beaucoup sont conçus pour vous inciter à télécharger des logiciels malveillants sur votre appareil. Les logiciels malveillants couvrent toutes sortes de problèmes informatiques, notamment les virus, les chevaux de Troie, les ransomwares et les logiciels espions. Ceux-ci peuvent provoquer toute une série d’effets : par exemple, un ransomware retient vos fichiers en otage jusqu’à ce que vous payiez des frais ou une autre forme de paiement. Les logiciels espions sont conçus pour résider sur votre ordinateur à votre insu et enregistrer vos activités, souvent en prenant des captures d'écran ou en enregistrant les frappes au clavier .
Le problème est que les logiciels malveillants peuvent être très faciles à télécharger (par exemple, en cliquant simplement sur le mauvais lien dans une fenêtre contextuelle ou dans un e-mail) et que vous ne savez peut-être pas qu'ils sont là. En tant que tel, il est crucial de faire attention aux e-mails, fenêtres contextuelles ou sites potentiellement dangereux et d’utiliser un logiciel antivirus puissant capable de détecter la présence de logiciels malveillants.
6. Utilisez un VPN
Un réseau privé virtuel (VPN) est excellent pour sécuriser les données circulant vers et depuis votre appareil. Il crypte tout votre trafic Internet, le rendant illisible pour les tiers, notamment les fournisseurs d'accès Internet (FAI), les agences gouvernementales et les pirates informatiques.
Les VPN sont particulièrement utiles pour prévenir les attaques de type « man-in-the-middle » où un espion intercepte votre trafic Web pour voler ou modifier des informations. Il s’agit d’attaques courantes sur les réseaux wifi publics connus pour leur mauvaise sécurité. Même si vous devez éviter d’envoyer des informations sensibles sur les réseaux wifi publics, si vous devez le faire, utilisez un VPN.
Gardez à l’esprit que lorsque vous utilisez un VPN, le fournisseur lui-même pourra toujours consulter votre activité. Cependant, fournisseurs VPN réputés ne conservez pas de journaux d’activité ni aucune information pouvant être liée à un individu. Faites attention aux véritables politiques de non-journalisation ou de zéro journal lorsque vous achetez un VPN.
Les VPN peuvent être installés sur des appareils individuels (y compris les smartphones et les tablettes) ou ils peuvent être configurés sur des routeurs pour protéger chaque appareil connecté à un réseau. De nombreux fournisseurs ont forfaits spéciaux pour entreprises et entreprises destiné aux petites et grandes entreprises.

Pour les grandes entreprises, comme les cabinets d'avocats possédant plusieurs bureaux, un VPN de site à site peut être utile. Cela sécurisera les connexions entre les sites et étendra le réseau de l’entreprise de telle sorte que les ressources numériques d’un endroit soient disponibles dans d’autres endroits.
7. Sécurisez les appareils physiques
Il est possible de se faire voler votre téléphone, votre tablette ou votre ordinateur portable à peu près n'importe où, et bien sûr, nous perdons parfois des objets. Il est donc important de sécuriser autant que possible vos appareils.
Gardez tous les appareils verrouillés lorsqu'il n'est pas utilisé avec un mot de passe, un code PIN ou un modèle. Le cas échéant, assurez-vous que les applications de recherche telles que Find My iPhone ou Find My Device sont installées et activées. Non seulement ceux-ci peuvent vous aider à localiser un appareil perdu ou à déterminer s'il a été volé, mais ils peuvent également vous aider à verrouiller ou effacer votre appareil à distance.
Pour les appareils appartenant à l'entreprise, Gestion des appareils mobiles t (MDM) pourrait être une bonne option. Des solutions telles que ManageEngine Mobile Device Manager Plus et AirWatch Workspace ONE vous permettent de contrôler un réseau d'appareils.Ils vous permettent de gérer les accès(y compris le verrouillage et l'effacement à distance), sécurisez les communications et limitez le risque de malware. Il existe également des outils de gestion des applications mobiles (MAM) (souvent intégrés aux logiciels MDM) qui vous permettent de contrôler la fourniture de logiciels aux appareils.
Si, pour une raison quelconque, les appareils doivent être laissés sans surveillance quelque part, comme dans une bibliothèque ou même au bureau, vous pouvez envisager un verrou physique. Serrures Kensington et ceux produits par des marques similaires peuvent sécuriser votre appareil en l'insérant dans un trou spécial. Ceux-ci conviennent principalement aux ordinateurs portables ou aux appareils de bureau, bien qu'il existe des options pour les tablettes (pensez à ces verrous de point de vente).
Dans le cas où quelqu'un parvient à voler votre appareil ou y a accès lorsque vous n'êtes pas là, le cryptage complet du disque peut garantir que le contenu est illisible pour toute personne sans la clé de déchiffrement. BitLocker et Veracrypt sont deux options populaires pour le chiffrement complet du disque.
8. Sauvegardez les données en toute sécurité sur le cloud
En tant que professionnel du droit, il est essentiel que les informations que vous avez stockées numériquement restent sécurisées. Les menaces physiques telles qu’un incendie ou le vol ou les cybermenaces comme une attaque de virus ou de ransomware pourraient tout mettre en danger.
Une façon de garantir la sécurité de vos données est de garantir qu’elles sont constamment sauvegardées. Même si un disque dur physique peut être préféré pour des informations particulièrement sensibles que vous ne confieriez pas à un tiers, celui-ci présente néanmoins des inconvénients, dans la mesure où il présente également un risque de dommage physique ou de vol.
L'autre option consiste à sauvegarder les données sur le cloud. Utiliser le bon service, la sauvegarde dans le cloud peut être sécurisée et pratique . Les options populaires sont IDrive, CrashPlan et Backblaze. Tous ces services chiffrent les fichiers par défaut, mais pour une couche de sécurité supplémentaire, vous pouvez envisager de chiffrer les données avant de les envoyer vers le cloud.
Si vous décidez de conserver des informations sensibles sur votre appareil, c'est une bonne idée de protéger par mot de passe les fichiers individuels ainsi que l'appareil lui-même.
9. Utilisez des communications cryptées
Nous avons parlé de la sécurisation des données stockées et du trafic Web en général, mais qu'en est-il des communications ? Les réunions en face à face sont généralement les plus idéales en termes de confidentialité. Bien entendu, l’identité des participants à la réunion pourrait être révélée par les images des caméras de sécurité ou les données de suivi GPS. Mais à moins qu’un appareil d’enregistrement caché soit présent, le contenu de la réunion devrait rester privé.
Même si les réunions en personne sont généralement plus privées, il existe sans aucun doute d’innombrables occasions où les appels téléphoniques, les messages et les courriels sont plus appropriés ou plus pratiques. Heureusement, il existe des options pour vous aider rendre toutes ces formes de contact beaucoup plus sécurisées . Pour les systèmes VoIP et de messagerie, quelques options sécurisées incluent Signal, Threema, Telegram, Viber et Dust.
Pour le courrier électronique, vous pouvez utiliser Silence ; cela crypte le contenu de votre e-mail, mais les métadonnées telles que la ligne d'objet, les noms de l'expéditeur et du destinataire, la date et l'heure seront toujours visibles. Vous pouvez l'utiliser avec une adresse e-mail jetable telle que celle de Courrier de guérilla ou Mailinateur . Il vous suffit de créer un compte de manière anonyme et de le supprimer lorsque vous avez terminé.
Si vous devez envoyer des fichiers en toute sécurité, les e-mails cryptés auront des limites en termes de taille de fichier. Au lieu de cela, il y améthodes spéciales que vous pouvez utiliser pour envoyer des fichiers en toute sécurité. Le protocole SFTP (Secure File Transfer Protocol) implique l'utilisation d'un serveur Secure Shell (SSH) capable de comprendre les commandes FTP. SolarWinds et Rebex proposent des serveurs SFTP gratuits, tandis que Syncplify.me propose une alternative payante.
SolarWinds Free SFTP/SCP Server Télécharger l'outil 100% GRATUIT
Pour les utilisateurs d'entreprise, Managed File Transfer (MFT) peut être une meilleure solution pour les transferts de fichiers sécurisés. Les outils MFT sont strictement réglementés et offrent un haut niveau de sécurité et un meilleur contrôle sur les communications, les transferts et les flux de travail. MFT de base est une option populaire et la société propose un essai de 30 jours pour voir si elle convient.
10. Obtenez un certificat SSL
L'obtention d'un certificat SSL et la mise en œuvre de HTTPS sont bénéfiques pour les affaires pour plusieurs raisons. Premièrement, cela permet à l’utilisateur de savoir que le site Web est authentique, afin qu’il puisse être assuré qu’il ne visite pas un faux site.
Deuxièmement, il crypte le trafic entre le site Web et l’utilisateur. Cela le rend illisible pour tout tiers qui pourrait tenter de fouiner. Il peut s'agir de FAI ou d'agences gouvernementales surveillant l'activité des utilisateurs ou de pirates informatiques mettant en œuvre des attaques de l'homme du milieu.
Certificats SSL sont assez simples à obtenir auprès d’autorités comme Cloudflare, Let’s Encrypt et Comodo.
11. Vérifiez les nouveaux logiciels avec une extrême prudence
Bien que nous ayons recommandé de nombreux logiciels dans cet article, il est important de traiter tout nouveau logiciel avec prudence. Dans le cadre de votre protocole de sécurité, les nouveaux produits et services numériques doivent être recherchés et examinés. Même si l’application elle-même n’est pas corrompue, il est possible qu’elle le soit. failles de sécurité qui pourraient permettre à un pirate informatique de passer . Voici quelques conseils:
- Optez pour des applications réputées qui offrent une assistance et des mises à jour à long terme. Si vous disposez des ressources, examinez les codes logiciels sur toutes les applications Web.
- Assurez-vous que le personnel sache qu'il ne doit pas télécharger d'applications sur des appareils utilisés pour des tâches liées au travail. Tout doit être vérifié avant l'installation.
- Développer des contrats de sécurité pour les fournisseurs externes et les applications ayant accès au réseau de l’entreprise.
- Gardez tous les logiciels à jour. Les mises à jour corrigent souvent des failles de sécurité qui pourraient autrement vous rendre vulnérable aux attaques.
12. Naviguez en toute sécurité
Votre historique de navigation et de recherche peut fournir de nombreuses informations sur vous, votre client ou le dossier sur lequel vous travaillez. Naviguer en toute sécurité est un peu plus complexe qu’il ne devrait l’être, mais c’est possible. Le mode de navigation privée peut sembler une bonne option, mais cela cache simplement votre historique à toute personne ayant accès à votre appareil.
Vous pouvez utiliser un navigateur privé tel que Dragon confortable ou Navigateur de confidentialité épique , mais leurs fonctionnalités sont limitées. De plus, vous pouvez obtenir le même niveau de sécurité en supprimant les cookies.
Une option plus supérieure est la Navigateur Tor lequel crypte vos données et les envoie via plusieurs ordinateurs (appelés nœuds) gérés par des bénévoles. Il présente certains inconvénients, notamment une expérience de navigation lente, mais il est considéré comme la meilleure option pour naviguer de manière anonyme. Cela est particulièrement vrai si vous l'utilisez avec un VPN.
Il existe également la possibilité de parcourir Tor via un système d'exploitation « en direct » , comme Tails. Pour l'utiliser, vous exécutez un CD ou une clé USB et démarrez le système d'exploitation sur votre appareil. Aucun processus d'installation n'est requis, ce qui signifie qu'une fois que vous l'arrêtez, il n'y a aucune trace d'activité sur votre appareil.
La suppression du cache DNS et la désactivation du stockage Web HTML sont d'autres mesures que vous pouvez prendre pour rendre la navigation plus sécurisée. Extensions de confidentialité telles que ScriptSafe et Pas de script peut aider aussi.
13. Recherchez en toute sécurité
En tant que professionnel du droit, vous utiliserez sans aucun doute des connexions privées pour accéder à une grande partie de vos documents de recherche, mais il existe probablement encore d’innombrables occasions où une bonne vieille recherche sur Google fournirait une mine d’informations. Bien entendu, Google et d’autres moteurs de recherche populaires comme Bing suivent et stockent votre historique de recherche et ne peuvent donc jamais être considérés comme sécurisés.
Il suffirait d'une ou deux recherches pour divulguer involontairement des informations à propos de votre cas. Vous pouvez modifier vos paramètres dans ces moteurs de recherche pour limiter la quantité d'informations stockées. Et vous pouvez voir et effacer votre historique de recherche passé pour Google et Bing en visitant les sites individuels. Ou vous pourriez envisager de renoncer complètement à ces plateformes au profit d’une alternative plus privée.
Bien que nous n’en entendions pas autant parler que les moteurs de recherche ci-dessus, il existe des options plus privées. Par exemple, Page de démarrage par Ixquick et CanardCanardAller ne suivez pas du tout votre activité et ne pourrez donc jamais la partager avec d’autres. Et comme ils ne suivent pas votre activité, en prime, vous n’aurez pas à gérer de publicités.
14. Envisagez un bureau virtuel hébergé
Un bureau virtuel hébergé (HVD) – également connu sous le nom de bureau hébergé virtuel (VHD) ou de bureau en tant que service (DaaS) – peut contribuer à renforcer la cybersécurité et à faciliter grandement le travail à distance ou en déplacement. Les fournisseurs incluent Citrix et Amazon.
Un HVD vous offre essentiellement une configuration PC, mais sans avoir besoin d'un véritable PC. Une copie entière de votre bureau est stockée sur les serveurs d’un fournisseur HVD (dans le cloud) et est accessible de n’importe où. Il inclut toutes les applications que vous trouverez sur l'appareil, vous n'avez donc pas à vous soucier de l'installation de logiciels sur plusieurs appareils et plusieurs utilisateurs peuvent avoir accès au même bureau.
Étant donné que le bureau virtuel est accessible via le cloud, il est isolé et protégé des éléments tels que les ports USB, les réseaux Wi-Fi et la caméra de l'appareil. De plus, le fournisseur s'occupe de toutes les mises à jour, du stockage, des sauvegardes, etc. Cela signifie que bon nombre des meilleures pratiques de sécurité que vous devriez normalement appliquer sont appliquées pour vous.
L’utilisation d’un HVD présente des inconvénients, notamment le fait de devoir confier vos informations à un tiers. Des problèmes pratiques se posent également, la latence et l'augmentation de la bande passante étant citées comme deux préoccupations majeures. Il existe également des problèmes de licence complexes lorsque vous avez plusieurs utilisateurs et appareils.
15. Renforcez la sécurité du réseau
Cela s'applique principalement si vous contrôlez la sécurité de l'entreprise et que vous êtes responsable de veiller à ce que les employés ne puissent pas accéder accidentellement ou intentionnellement à des informations ou les divulguer. Vous pouvez prendre plusieurs mesures pour renforcer la sécurité globale du réseau.
La cible principale des voleurs de données est informations personnellement identifiables (PII). En tant que professionnel du droit, vous devez connaître les coûts juridiques importants liés à la divulgation des informations personnelles. Les systèmes de prévention des pertes de données vous protègent contre les fuites de données personnelles dommageables.
Il existe un certain nombre d’ennemis potentiels dans la lutte pour la protection des données. Vous pouvez avoir des travailleurs mécontents ou soudoyés, qui sont classés dans la catégorie « menace interne .» Les voleurs de données pratiquent l’intrusion et visent les informations personnelles. Un exemple d'outil DLP approprié estProtecteur de point de terminaisonpar CoSoSys.
Endpoint Protector Obtenez une démo GRATUITE
Une autre façon d'éviter que les informations ne tombent entre de mauvaises mains consiste à mettre en œuvre un logiciel de contrôle d'accès au réseau (NAC) quioffre à l'administrateur un contrôle granulaire sur qui peut accéder à quoi, y compris quand ils peuvent accéder aux ressources et à partir de quel appareil. Ceci est particulièrement utile lorsqu'une entreprise emploie des travailleurs à distance ou exploite un Apportez votre propre appareil (BYOD) système.
Crédit image : « Dame Justice ' sous licence CC BY 2.0