La protection des données informatiques est devenue un défi important pour les cabinets d'avocats, à l'instar d'autres industries de services, comme le secteur bancaire. La plupart des avocats (96 %, d'après les chiffres du Barreau) considèrent que les technologies de l'information (TI) améliorent leur offre et leur pratique. En même temps, près de 80 % des grands cabinets d'avocats ont déjà subi des attaques de pirates informatiques, selon la firme américaine Digital Guardian. Et il serait réaliste d'avancer le même chiffre au Québec, affirme KPMG.
À lire aussi:
Des cabinets sur le mode du recrutement
Faire équipe avec le service du contentieux des clients
Les recours collectifs, une affaire de spécialistes
Dentons étend ses ramifications dans le monde
Delegatus mise sur l'autonomie de ses avocats
Prêts pour un Plan Nord 2.0
Une femme à la tête du cabinet Gowling
« C'est une problématique qui n'existait pas il y a une vingtaine d'années. Les cabinets ont dû s'y adapter en réalisant de gros investissements », souligne Pierre André Themens, associé directeur chez Davies.
Le secteur juridique est particulièrement à l'affût de ce risque, en raison de ses devoirs de déontologie et de confidentialité. Les investissements réalisés à ce titre font partie des priorités du conseil d'administration de McCarthy Tétrault, affirme Clemens Mayr, qui refuse toutefois de divulguer les montants investis.
Les risques sont multiples. Ils tiennent tant des enjeux classiques de fraude financière - lorsqu'une personne essaie de provoquer un virement des comptes de la firme - que d'espionnages ou de vols de données informatiques, notamment dans le cadre des échanges électroniques avec les clients.
« Les clients utilisent de plus en plus de plateformes d'accès aux dossiers électroniques ou de suivi de facturation, ce qui pose le défi de l'uniformisation et de la sécurité des données qui transitent », avance Pierre André Themens.
Des risques qui évoluent
« Au cours des dernières années, on s'aperçoit que les fraudes sont de plus en plus sophistiquées, avec parfois des personnes qui se font passer pour vos clients et qui se construisent même un faux site Web. Il faut donc être très vigilant et se doter de politiques de vérification avant d'accepter un mandat », dit Shahir Guindi, associé directeur du cabinet Osler.
Une panne technique provoquée par une inondation ou un problème électrique fait aussi partie des problèmes envisagés en TI. « Dans notre modèle d'entreprise, qui nécessite d'être branchés 24 heures sur 24, il est impossible que nos serveurs soient en panne durant 48 heures », ajoute Clemens Mayr.
Un problème d'archivage des courriels peut sembler banal. « Cela peut devenir une problématique fondamentale quand la communication se fait presque à 100 % par voie de courriel », indique Solomon Sananes, de Norton Rose Fulbright. Il rappelle qu'il y a eu une augmentation de 23 % des attaques perpétrées par des pirates ayant causé des vols de données à l'échelle de la planète en 2014, d'après les données d'un revendeur de produits de sécurité.
À lire aussi:
Des cabinets sur le mode du recrutement
Faire équipe avec le service du contentieux des clients
Les recours collectifs, une affaire de spécialistes
Dentons étend ses ramifications dans le monde
Delegatus mise sur l'autonomie de ses avocats
Prêts pour un Plan Nord 2.0
Une femme à la tête du cabinet Gowling
Plusieurs niveaux de sécurité
McCarthy Tétrault, qui possède un service des TI d'une trentaine de personnes, a investi des « sommes conséquentes » pour avoir constamment des sauvegardes de ses données sur ses serveurs. La firme mise sur une combinaison de technologies, de bonnes pratiques et de contrôle interne. « Nous nous soumettons à des tests au moins une fois par an pour nous assurer d'avoir les meilleures pratiques. Le risque ne peut jamais être éliminé, mais on peut le gérer », souligne M. Mayr.
Chez Norton Rose Fulbright, le service des TI compte 85 spécialistes, dont 39 au Québec. Chez Osler, les associés doivent signer chaque année une déclaration certifiant qu'ils sont en conformité avec les politiques du cabinet, par exemple en ce qui a trait à la protection des données personnelles et au respect des codes d'éthique. Chez Davies, l'ensemble des salariés a reçu une formation de sensibilisation à la sécurité, en incluant l'utilisation des appareils mobiles. « Avec les téléphones intelligents, on promène son bureau dans sa poche même le week-end. Il faut donc prendre des mesures spécifiques pour protéger les données. Même chose pour les clés USB, dont les données doivent être cryptées », explique Pierre André Themens.
Mais l'essor de ces politiques de sécurité pose certains défis : « Les multiples questions auxquelles il faut répondre pour éviter les intrusions occasionnent parfois, en contrepartie, certaines difficultés pour accéder aux dossiers à distance », admet Solomon Sananes.
Des secteurs très sensibles
Dans certains secteurs comme le droit de la propriété intellectuelle, la protection des données personnelles revêt une importance encore plus cruciale. « Nous nous protégeons par la mise en place de systèmes de détection et en faisant des audits réguliers sur nos dispositifs de sécurité informatique. Cela passe par la création de sites sécurisés où l'on peut déposer de l'information sur les nouveaux brevets, dont la confidentialité est de mise », met en avant François Painchaud, associé chez Robic.
Le cabinet a choisi d'élaborer son propre logiciel de gestion en interne, grâce à une équipe de cinq personnes. « L'enjeu est de savoir si l'on choisit un système développé à l'externe par un fournisseur, plus coûteux, ou si on le met au point à l'interne afin qu'il soit plus flexible. En contrepartie, il faudra le mettre régulièrement à jour. C'est une question qui revient presque tous les six mois », souligne M. Painchaud.
L'arrivée de nouveaux serveurs, qui offrent des solutions de stockage en nuage, représente de belles occasions, mais également une série de problématiques pour les firmes, en particulier en matière de gestion et de limitation des responsabilités.
Recruter des experts du domaine
Pour assurer la protection des données, Borden Ladner Gervais (BLG) mise sur le recrutement de ressources spécialisées, comme la doctorante en renseignement privé Éloïse Gratton, qui est régulièrement sollicitée dans des litiges et lors des opérations quotidiennes des grandes entreprises. « Il faut non seulement veiller à être à la fine pointe de la technologie, mais aussi s'assurer d'avoir des politiques pour limiter et encadrer les activités et processus menant à la divulgation d'informations », affirme John Murphy, associé de la firme.
Chez Osler, les pratiques consistant à mettre en place des guides pour la protection des données génèrent un nouveau volume d'affaires. « Cela peut donner lieu à des investigations pour voir s'il existe des bris dans les politiques de nos clients, à s'assurer qu'ils possèdent bien les meilleures pratiques et qu'ils soient en conformité avec les lois des différents pays dans lesquels ils oeuvrent », précise Shahir Guindi. Le cabinet a lui aussi recruté une pointure du domaine, Adam Kardash, qui couvre plusieurs champs d'expertise, tels que la protection des données personnelles et l'espionnage d'entreprise.
À lire aussi:
Des cabinets sur le mode du recrutement
Faire équipe avec le service du contentieux des clients
Les recours collectifs, une affaire de spécialistes
Dentons étend ses ramifications dans le monde
Delegatus mise sur l'autonomie de ses avocats
Prêts pour un Plan Nord 2.0
Une femme à la tête du cabinet Gowling