Dans un contexte de transformation digitale, les outils et les applications ne manquent pas. Certains sont tellement accessibles par les collaborateurs qu'ils viennent créer un Shadow IT. Or la profession d'avocat exige une infrastructure sécurisée et agile qui s'adapte à cette transformation. Comment réconcilier ses équipes avec la sécurité et amener plus de confiance dans les outils digitaux ?
3. AGENDA
3
1 Pourquoi y a-t-il un besoin de digitalisation
et de sécurisation ?
2 Quelles sont les bonnes pratiques à
adopter en terme de sécurité ?
3 Le shadow IT : comment y faire face ?
8. 8
C’est une guerre où il faut une forteresse !
Et le facteur humain est la faille numéro 1 …
9. Se déconnecter
immédiatement
Prendre contact
avec le centre
opérationnel de
l’ANSSI
Prendre contact
avec les
responsables
informatiques de
votre cabinet
Préserver les
traces
9
Comment réagir en cas d’attaque ?
Déposer plainte
10. Mises à jour
régulières des
systèmes (logiciel,
antivirus,…)
Sécurité des
périphériques
amovibles ou des
devices externes
Gestion des droits
et des accès
Plan de reprise et
ou de continuité
d’activité
Gestion des pièces
jointes et des
transferts de
documents
10
Les règles de base de la sécurité
Adresse
professionnelle et
protection de la
messagerie
Gestion des mots
de passe
Protection du
réseau
11. Qu’est-ce que le Shadow IT ?
Le Shadow IT regroupe l’ensemble des logiciels, services et appareils
informatiques qui n’appartiennent pas au service informatique d’une
organisation ou sont hors de contrôle*
*Source : Gartner
12. Le Shadow IT est-il vraiment mauvais ?
Pourquoi les solutions internes ne conviennent-elles pas à
certains membres du cabinet ?
13. 13
Ramener la confiance dans les outils digitaux
Le digital, c’est aussi des outils simples et abordables
14. Caractéristique 1
Savoir déceler le
changement
Caractéristique 3
Redouter et rejeter le
changement
Caractéristique 2
Se précipiter dans l’action
14
Ramener la confiance dans les outils digitaux
Caractéristique 4
S’adapter à temps dès que
le changement est
synonyme de mieux
La résistance au changement
16. Les niveaux de résistance au changement
Quoi changer ? Vers quoi changer ? Comment changer ?
16
Désaccord sur le
problème
Désaccord sur la
solution
Désaccord sur
l’implémentation
Adhésion
Selon la Théorie des Contraintes (TOC) – Eliyahu M. Goldrat
Valérie
Présentation du déroulement de l’atelier
On terminera par une session de questions / réponses (durée : 15 minutes)
Valérie
Avènement des services Cloud
Le premier défi va être de faire face à la concurrence accrue :
Aujourd’hui avec la loi Macron, avec l’arrivée des legaltechs, l’avocat doit se transcender, se dépasser pour faire face à cette concurrence
Ensuite, il doit acquérir et fidéliser de nouveaux clients
Les clients passent de plus en plus par internet pour trouver des solutions juridiques
Il doit aussi adapter son business model aux exigences clients, qu’est-ce que ça veut dire ? On se rend compte que les clients ont évolués, ont un petit peu changé et c’est donc aussi à l’avocat de s’adapter à son client et d’évoluer
Il va devoir recruter et fidéliser les collaborateurs, pourquoi ? Parce que finalement sans une équipe c’est toujours plus compliqué
Il y a beaucoup de turnover auquel les cabinets d’avocats doivent faire face, mais il y a des moyens pour réduire justement ce taux de turnover
Les conditions de travail doivent se moderniser
On a aussi construire une stratégie de marque
Aujourd’hui un cabinet n’est plus seulement associé à un nom mais c’est une marque à part entière, votre cabinet devient une réelle organisation, j’ai mon intuitu personae avec mes clients, mais mon client s’attend à rentrer dans une vraie organisation avec des process etc…
Tirer parti de la judiciarisation croissante de la société
La bonne nouvelle c’est qu’on est dans une société qui fait de plus en plus appel à des avocats par rapport à des questions relatives au numérique, le système législatif qui se complexifie etc… donc il y aura toujours plus de clients
Question de Valérie à Yann :
Selon vous, pourquoi est-ce important de prendre en compte la digitalisation dans votre activité et comment avez-vous vécu cette digitalisation dans votre cabinet ?
Yann
Aujourd’hui pour suivre cette tendance : on demande de plus en plus des lieux de travail où on peut interagir plus facilement les uns avec les autres, on veut avoir la possibilité de travailler à distance, n’importe quand, sur n’importe quel appareil.
On a besoin d’avoir les outils pour communiquer, avoir accès aux informations de la structure, et rester productif peu importe l’endroit où l’on se trouve.
On est beaucoup plus mobiles qu’auparavant, nos clients et collaborateurs nous demandent d’être toujours plus disponibles. Face à un monde hyper-connecté nous devons redoubler de prudence sur les données qui sont entre nos mains.
On utilise Teams, Onenote, d’autres logiciels pour piloter avec précision notre activité et avoir une vue sur notre productivité et rentabilité.
Ne pas s’attarder sur les détails des outils car nous détaillerons ces outils plus tard dans l’atelier (slide 13)
Valérie
Détailler les différentes attaques (15 sec par cyber-attaque = 2min30 au total sur cette slide) Facteur n°1 = humain
Question à Yann
Est-ce qu’un de ces cas là vous est arrivé dans votre cabinet ?
https://threatmap.bitdefender.com/
Valérie
L’avènement des services Cloud facilité de « téléchargement » et d’utilisation et d’accessibilité PROBLEME DE SECURITE43% des cyberattaques ciblent les PME* *Small business trends, Cybersecurity statistics – Numbers Small Businesses Need to Know, Jan 201779,397 malwares ont été détectés et arrêtés par nos firewalls en un an
Quel que soit le cabinet d’avocats, il ne faut pas oublier que son organisation repose sur l'informatique.
Projets, contrats, propositions, virements, factures, plannings, échanges avec vos clients, dossiers, sont autant de fichiers confidentiels utilisés quotidiennement et échangés numériquement (mails, SMS, réseaux sociaux, RPVA, Télérecours, etc).
Si l’informatique est devenue incontournable, mal maîtrisée, elle peut également être source d’importantes vulnérabilités face à des cybercriminels déterminés.
Protéger vos avoirs immatériels et vos systèmes d’information doit donc être votre priorité et permet de rassurer vos clients.
Question de Yann à l’audience :
Si nous procédons à un sondage : qui dans la salle a déjà été confronté à une cyberattaque ? Que ce soit vous personnellement, votre entourage ou dans votre cabinet ?
Yann (en fonction des réponses obtenues)
Nous pouvons voir que nous avons tous été témoins de failles de sécurité à un moment donné et que personne n’est à l’abri. (à détailler)
Transition
Valérie
Mais le facteur humain reste la faille n°1. Pour rebondir sur les propos de Yann, je pense qu'il est important à ce stade de parler de sensibilisation. Ses exemples illustrent bien que c'est à la DSI, ou a défaut aux associés, de bien sensibiliser aux risques en communiquant régulièrement
Si vous n’avez pas de DSI ou pas le temps de le faire, on peut dire que c'est au prestataire informatique d'assurer ce rôle. Choisissez les bons partenaires/prestataires (certification de qualité) …
mettre en avant l'accompagnement de Diapaz par la même occasion
Mooc de l’ANSSI
Quels sont les risques ?
Ne pas négliger la sécurité car la perte de vos données peut être importante = obligation de confidentialité importante
Question de Valérie à Yann :
Yann, qu’avez mis en place dans votre cabinet ? Comment êtes-vous sensibilisé face à ces enjeux ?
Yann
La DSI envoie des mails régulièrement
Des campagnes de sensibilisation sont réalisées. Il pourrait y en avoir plus en revanche…
Changements de mots de passe régulièrement
L’investissement en temps et en argent dans la sécurité pour un cabinet est conséquent mais nécessaire cela permet d’assurer la pérennité du cabinet, si vous négligez cet aspect il est possible que la perte soit d’autant plus importante.
Valérie
Source : la Gendarmerie nationale (Eric Pozzi, Maréchal des Logis-Chef, référent Intelligence économique de la région Rhônes-Alpes)
5 réflexes à adopter en cas de cyberattaque :
Déconnecter immédiatement (câble Ethernet, Wi-Fi, Bluetooth, …) la machine infectée pour limiter la propagation du « virus ».
Préservez les traces liées à l’activité du compte.
Prendre immédiatement contact avec les responsables informatiques de votre organisation ou avec votre prestataire IT.
Prendre contact avec le centre opérationnel de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Déposer plainte auprès de la Brigade de gendarmerie ou du commissariat territorialement compétent.
Valérie
Les mises à jour régulières:
Mise à jour des systèmes (logiciel, anti-virus…)
Gestion des droits et des accès:
l’authentification
Sécurité des mots de passe : varier les mdp, utiliser un gestionnaire de mdp
Contrôle des membres du cabinet
Sécurité des périphériques
- Séparation des usages (vs BYOD)
Plan de reprise d’activité et continuité
Adresse professionnelle et protection de la messagerie :
- Limite les spams
Question de Valérie à Yann :
Qu’en pensez-vous ? Comment vivez-vous les règles de sécurité imposées dans votre cabinet au quotidien ?
Yann
Bien sûr, toutes ces règles sont contraignantes au quotidien dans notre activité (ex : changer un mot de passe régulièrement). Mais elles sont nécessaires.
(à détailler)
Valérie
Si on procède à un nouveau sondage, combien d’entre vous est familier avec la notion de Shadow IT ?
Le Shadow IT regroupe l’ensemble des logiciels, services et appareils informatiques qui n’appartiennent pas au service informatique d’une organisation ou sont hors de contrôle* Selon Gartner, l'entreprise de recherche en technologies.
Maintenant pourquoi existe-t-il du Shadow IT dans les cabinets d’avocats ?
En général, les collaborateurs/associés ont recours au « Shadow IT », car ils pensent que l'utilisation de ces outils leur fera gagner en efficacité, productivité et mobilité. Ils vont incorporer dans leur vie professionnelle des applications qu’ils utilisent dans leur vie personnelle sans demander l’approbation aux personnes responsables de l’informatique dans le cabinet.
Une des autres raisons pour laquelle le Shadow IT existe serait de permettre au cabinet et s’il y a au département IT de gagner du temps et de faire des économies. En réalité, le fait de contourner les règles établies revient à ignorer les procédures de protection stratégiques mises en place pour la gestion, l'intégration, la sécurité et la conformité des processus.
A titre d’exemple, on pourrait citer en terme de Shadow IT :
- Les services de transferts non sécurisés comme WeTransfer, Dropbox… Ou par exemple les convertisseurs gratuits de pdf en word…ce qu’il faut retenir c’est qu’il y a toujours derrière une contre-partie et qui permet de faire gagner de l’argent à l’entreprise qui vous fournit ce service (revente de données)
Les risques :
Ces outils non approuvés seront vulnérables aux cyberattaques. Selon Gartner, d'ici 2020, 1/3 des cyberattaques seront menées avec succès contre les entreprises et prendront pour cible leurs ressources Shadow IT.
Valérie
Le Shadow IT n’est pas forcément mauvais :
Augmenter la productivité du cabinet et permet au département informatique ou aux associés de se concentrer sur d’autres tâches plus importantes.
Il est donc judicieux de distinguer le bon shadow IT du mauvais et de trouver un juste milieu pour permettre au cabinet d'utiliser les solutions qui leur conviennent tout en permettant de contrôler les données et les permissions accordées pour utiliser les applications
Thomas Chejfec, DSI groupe de Gerflor, après avoir été DSI de Aldes a notamment réalisé une étude très instructive sur la manière dont les DSI réagissent face au phénomène du “Shadow IT”.
Pour sa part, il préconise de réagir face à ce phénomène, de l’intégrer et surtout de ne pas le nier comme certains sont tentés de le faire.
Pourquoi les équipements ne sont-ils pas au niveau ? Pourquoi les solutions internes ne conviennent-elles pas à certains membres du cabinet ?
C’est tout simplement , car la DSI ou les outils ne donnent pas entière satisfaction au métier d’avocats. La cause de ce manque d’alignement peut être due à des solutions trop longues à mettre en place, des budgets trop faibles ou autre. Ce qui pousse les utilisateurs (et parfois des domaines entiers) à en reprendre le contrôle.
Les Shadow IT s’expliquent donc bien souvent par des besoins métiers réels, mais non proposés par les responsables IT du cabinet. Le problème de fond est donc le dimensionnement inadapté au métier.
Question de Valérie à Yann :
Qu’en pensez-vous ? Est-ce si facile à mettre en place des outils dans votre cabinet ? Comment vous vivez cela ?
Yann
Ce n’est pas si facile de prendre des bonnes décisions et d’organiser/gérer le cabinet efficacement et de manière sécurisée.Certaines solutions mises en place éprouvent encore des difficultés à remporter l’adhésion de tous les membres du cabinet.
(à détailler)
Valérie
Il existe aujourd’hui des multitudes d’outils digitaux sur le marché,
Yann, pouvez-nous nous parler des outils que vous utilisez chez CMS Francis Lefebvre Avocats?
Yann
Teams : plateforme de centralisation des informations, chats, appels et visioconférences, partage et collaboration sur les documents
Permet plus de mobilité
Sauvegarde automatique dans le Cloud
Messagerie professionnelle
Fichiers accessibles depuis PC, tablettes et smartphones
travail hors connexion
Permet plus de collaborer efficacement
Partage de documents en ligne
Coédition en temps réel
Réunions en ligne
Permet de sécuriser les données du cabinet
- OneNote : application de prise de notes
Logiciel de suivi des temps et d’aide à la facturation
Rapports statistiques sur la performance et rentabilité
Au niveau de l’ordre, nous proposons des outils également
Exemple
Exemple
exemple
Valérie
Réconcilier ses collaborateurs avec la transformation digitale et la sécurité c’est faire face en général à la résistance au changement et remporter l’adhésion de la majorité de vos équipes dans votre cabinet.
La résistance au changement est humaine. Nous sommes tous confronté à elle à un moment donné dans notre vie professionnelle ou personnelle et ce à différents degrés.
+ Nous avons tous une part des caractéristiques que vous voyez sur l’écran (ces caractéristiques sont tirées du livre : qui a piqué mon fromage de Johnson Spencer
Quelle que soit l’approche que nous privilégions, nous visons tous au même but : trouver la meilleure stratégie, et sortir la tête haute des périodes de changement
Une bonne décision prise il y a 6 mois qui a très bien marché pendant un temps, peut devenir obsolète très vite. Il faut avoir conscience de cela, savoir anticiper le changement qui est inévitable et tirer parti de ce changement pour ouvrir de nouvelles opportunités dans votre cabinet.
Résistance au changement : « j’aime cet outil, il est confortable, c’est ce que je connais, de plus, c’est dangereux à l’extérieur »
« je suis trop vieux pour ça, et je n’ai pas envie de me perdre et de me ridiculiser »
L’avocat est à un carrefour => objectif : atteindre le coffre au trésor (en haut d’une montagne ) modernité == difficultés = la jambe (risque)
Sirène = zone de confort, à l’aise, maîtrise, pas d’effort, distraction pour le changement
Crocodile = danger, si on bouge pas, il va te tuer
The Goal : Goldrat
Valérie
Il faut se poser la question de quels outils seraient vraiment appropriés à la pratique du cabinet ? OPTI a parlé d'outils pour les notes de frais mais l'a fait sans concertation avec ses équipes et finalement ses équipes ça les arrangeaient bien de rester sur papier (même s'ils en avaient ras le bol) => résistance au changement (pcq on les a pas mis dans la boucle avant)
Les changements gagnant-gagnant devraient pratiquement se vendre d’eux-mêmes. En réalité, cependant, cela s'avère être faux. Les gens s'opposent à des solutions gagnant-gagnant, et souvent pour de très bonnes raisons. Afin de s'assurer qu'ils veillent à leurs intérêts et utilisent leurs ressources pour des efforts qui seront rentables, il va de soi que les gens vont aborder le changement avec plus ou moins de prudence. Si nous souhaitons implémenter un changement qui nécessite leur collaboration, alors il nous appartient de les convaincre.
Dr Efrat Goldratt Ashlag est une psychologue organisationnelle qui se spécialise dans les processus de la pensée (TP) selon le TOC. Elle a joué un rôle actif dans le développement du TP, en particulier dans les applications pour les particuliers. Elle a enseigné le TP pour les affaires et l'éducation dans le monde entier. Dr Goldratt a un doctorat en psychologie organisationnelle et a mené sa recherche de dissertation sur les réactions des employés à un changement organisationnel positif.