30 conseils pour améliorer la cybersécurité de son cabinet d'avocats
28 juin 2023
Comme dans tous les secteur, la surface d’attaque des cabinets d’avocats ne cesse de s’étendre pour ouvrir davantage de points d’entrée aux attaquants pour s’introduire et se maintenir sur les réseaux ciblés. Par nature, les avocats regorgent de données sensibles et précieuses ou de secrets des affaires. L'ANSSI alerte et vient de publier un guide à des destination des professionnels du droit pour améliorer immédiatement leur cybersécurité. Prorisk cyber vous offre un outil gratuit pour vous aider à mettre en place les principales mesures rapidement. Il est à télécharger à la fin de l'article.
Voici 30 conseils issus du guide de l'ANSSI pour améliorer rapidement la cyber sécurité de votre cabinet d'avocats.
Analysez les risques
- 1. Mener une analyse de risques intégrant l'ensemble des prestataires informatiques.
- 2. Toujours s'interroger sur le niveau de confiance à accorder à un service numérique.
- 3. Faire un inventaire des données métier.
- 4. Faire régulièrement une sauvegarde hors-ligne et la stocker de manière sécurisée.
- 5. Prévoir à l'avance un mode d'organisation dégradé en cas d'indisponibilité du système d'information.
- 6. Surveiller systématiquement les interventions des prestataires et veiller à la sécurité des accès distants.
- 7. Sensibiliser les utilisateurs aux risques liés à la sécurité numérique.
- 8. Avoir un référent sécurité au sein de l'entité pour la sensibilisation des utilisateurs et comme point de contact en cas d'incident cyber.
Protégez vos postes de travail
- 9. Proscrire l'usage d'équipements personnels à des fins professionnelles.
- 10. Imposer des comptes utilisateurs sans droits d'administrateur local sur les postes de travail.
- 11. Utiliser des logiciels éprouvés et maintenus à jour.
- 12. Interdire l'installation de logiciels via un compte utilisateur et configurer des outils de contrôle des logiciels autorisés.
- 13. Définir une politique de mots de passe robuste pour les utilisateurs.
- 14. Appliquer les mises à jour de sécurité rapidement pour le système d'exploitation et les logiciels.
- 15. Implémenter un logiciel EDR (Endpoint Detection and Response) ou antivirus.
- 16. Limiter la connexion de clés USB à celles dédiées à l'usage professionnel et utiliser une station de décontamination si nécessaire.
- 17. Configurer les fonctions de protection natives des postes reposant sur la virtualisation.
- 18. Protéger physiquement la clé matérielle et le secret d'authentification RPVA.
- 19. Éviter l'utilisation d'un mode de connexion dégradé pour l'accès au RPVA.
- 20. Dédier un navigateur pour les accès RPVA distinct du navigateur utilisé pour accéder à Internet.
Protégez vos données confidentielles
- 21. Chiffrer entièrement les disques durs des postes de travail.
- 22. Chiffrer systématiquement les données sensibles stockées.
- 23. Chiffrer systématiquement les données sensibles avant de les communiquer.
- 24. Utiliser un logiciel coffre-fort de mot de passe.
- 25. Diversifier les secrets de chiffrement.
- 26. Ne pas utiliser votre messagerie personnelle dans un but professionnel.
- 27. Gérer le besoin d'en connaître entre les utilisateurs.
- 28. Journaliser tous les événements d'accès de vos utilisateurs à des données sensibles.
- 29. Utiliser systématiquement un filtre de confidentialité écran.
- 30. Configurer un verrouillage automatique de la session du poste.
- 31. Mettre en place l'impression sécurisée.
- 32. Contactez PRORISK CYBER si besoin :)
Prorisk cyber vous propose cet outil gratuit pour vous aider à passer à l'action rapidement :
Patrice Remeur pour Prorisk cyber