Synthèse par secteur d’activité

Analyse 2024 des communications de contenu sensible pour le secteur juridique : les tendances en matière de sécurité et de conformité

Télécharger le PDF

Acccéder au rapport complet

Chiffres clés

Outils de communication utilisés

20%

Plus de 7

15%

25%

20%

15%

Échange de contenu sensible avec des tiers

Plus de 5 000

35%

2 500 à 4 999

20%

1 000 à 2 499

15%

500 à 999

25%

Moins de 499

Types de données les plus préoccupantes (Top 3)

71%

Documents financiers

58%

Échanges juridiques

42%

LLMs de GenAI

33%

29%

Fusions & Acquisitions

25%

PHI

25%

CUI et FCI

17%

PII

Top 2 des priorités sur la confidentialité et la conformité

40%

RGPD

40%

Lois des États américains

30%

HIPAA

30%

Exigences SEC

30%

Lois propres à chaque pays

20%

CMMC

10%

PCI DSS

Top 2 des certificats de sécurité les plus importants

55%

NIST 800-171/CMMC 2.0

50%

IRAP (Australie)

35%

ISO 27001, 27017, 27018

30%

FedRAMP Moderate

25%

SOC 2 Type II

Directive NIS 2

Nombre de piratages des communications de contenu sensible

20%

7 à 9

20%

4 à 6

40%

2 à 3

15%

Ne sait pas

Le rapport Kiteworks 2024 sur la confidentialité et la conformité des communications de contenu sensible fournit une analyse détaillée des problématiques et des pratiques dans différents secteurs d’activité, et notamment pour le secteur juridique. Ce brief reprend les principales conclusions du rapport concernant les cabinets d’avocats ; outils utilisés pour échanger des données sensibles, problèmes de cybersécurité, risques dans les échanges avec des tiers, menaces spécifiques et conséquences sur la conformité règlementaire.

Gestion de tous les outils de communication de contenu sensible

60 % des cabinets d’avocats utilisent au moins cinq outils de communication pour envoyer et partager des contenus sensibles, ce qui est plus que la moyenne de l’ensemble de la cohorte (53 %). 60 % d’entre eux déclarent pouvoir suivre et contrôler les données sensibles envoyées et partagées en interne, et 45 % lorsqu’elles sont échangées en externe. Ces deux chiffres sont légèrement supérieurs aux moyennes de 51 % et 43 % enregistrés pour l’ensemble des répondants.

Les répondants ont cité la prévention des fuites de propriété intellectuelle et secrets d’entreprise comme étant de loin leur plus grande priorité (75 % l’ont citée comme leur première ou deuxième priorité). C’est bien plus que l’ensemble de la cohorte (56 %). La prévention des problèmes de nonconformité arrive ensuite à égalité avec l’atténuation des litiges longs et coûteux (45 %).

Évaluer le risque tiers pour les contenus sensibles

La gestion des risques liés aux tiers est une préoccupation majeure des cabinets d’avocats, puisque 40 % déclarent échanger des contenus sensibles avec plus de 2500 interlocuteurs différents (un chiffre inférieur à celui de la cohorte mondiale, 44 %) et 60 % avec plus de 1000 (légèrement moins que les 66 % de l’ensemble des répondants). 60 % des répondants du secteur juridique déclarent pouvoir suivre et contrôler plus des trois quarts des contenus sensibles lorsqu’ils quittent une application, c’est l’un des secteurs les plus matures sur ce point.arts des contenus sensibles
lorsqu’ils quittent une application, c’est l’un des secteurs les plus matures sur ce point.

Évaluer le niveau de conformité pour les contenus sensibles

75 % des cabinets d’avocats ont indiqué que leur système de management de la conformité des communications sensibles nécessitait des améliorations plus ou moins importantes. Ce chiffre est légèrement inférieur à celui de l’ensemble des répondants : 88 %.

Le RGPD et les nouvelles lois des États américains sur la protection de la vie privée arrivent en tête dans 40 % des cas. L’HIPAA, les exigences de la SEC et les lois sur la protection des données propres à chaque pays sont ensuite citées à égalité (30 %). Avec l’émergence des différentes lois des États américains, il est de plus en plus difficile de travailler dans des États différents, d’autant plus que chaque texte a ses propres spécificités. Les cabinets d’avocats travaillent généralement avec une clientèle internationale. Il est donc logique de voir apparaître les lois propres à chaque pays parmi les réponses.

Pour ce qui est des certifications de sécurité, le NIST 800-171 ressort comme la priorité n°1 des acteurs du secteur juridique, pour 55 % des répondants. 50 % ont ensuite cité l’IRAP, la plupart travaillant directement avec des agences fédérales ou avec des clients institutionnels. C’est un taux beaucoup plus élevé que l’ensemble de la cohorte mondiale.

Évaluer les risques liés à la sécurité des contenus sensibles

80 % des cabinets d’avocats déclarent que leur management des risques associés aux communications sensibles doit être amélioré de manière significative ou partielle et 20 % ne pas avoir besoin d’amélioration. Ce dernier chiffre est plus élevé que dans la plupart des autres secteurs d’activité. Toutefois, comme le révèlent les données relatives aux violations de données, un niveau de confiance plus élevé ne signifie pas pour autant moins de risques.

40 % des cabinets d’avocats ont indiqué avoir subi au moins quatre violations de données, et 20 % au moins sept. Ces chiffres sont inférieurs à ceux de tous les secteurs confondus, où 32 % des répondants ont admis avoir subi au moins sept violations de données et 55 % au moins quatre. En outre, 5 % des répondants du secteur juridique ont déclaré ne pas être certains du nombre de violations de données subies par leur organisation

Les outils de sécurité avancés (chiffrement, authentification multifactorielle, suivi et contrôle de la gouvernance) ne sont utilisés que partiellement pour 50 % des envois internes et 45 % des envois externes. Même si c’est bien plus que l’ensemble de la cohorte (respectivement 39 % et 38 %), ces chiffres indiquent une lacune majeure à corriger.

Évaluer le coût de la sécurité et de la conformité

L’enquête a révélé que 45 % des cabinets juridiques interrogés ont dépensé plus de 3 millions de dollars en frais de contentieux l’an dernier, un chiffre similaire à la moyenne mondiale. 10 % d’entre eux ont admis ne pas connaître le coût annuel des litiges liés aux violations de données pour leur organisation.

Connaissance et classification des types de données

55 % des cabinets juridiques déclarent étiqueter et classer plus des trois quarts des données non structurées, ce qui est légèrement inférieur à l’ensemble des personnes interrogées (58 %). Lorsqu’on leur demande quelle proportion de leurs données non structurées devrait être étiquetée ou classée, 60 % répondent 40 % ou plus. Cela explique sans doute pourquoi les chiffres sont plus bas pour l’étiquetage et la classification.

Urgence absolue à protéger les contenus sensibles dans le secteur juridique

Le rapport Kiteworks 2024 souligne l’importance de la gestion des risques et de la conformité pour les communications de contenu sensible des professionnels du secteur juridique.

Ils sont 71 % à se soucier prioritairement des documents financiers et 58 % des échanges juridiques. Surprenant, dans la mesure où on pourrait s’attendre à voir les échanges juridiques en tête de leurs préoccupations. Ces deux résultats sont donc supérieurs au classement de l’ensemble de la cohorte, où les documents financiers sont cités dans 55 % des cas et les communications juridiques à 44 %.

En pratique, les répondants passent beaucoup de temps à compiler les journaux d’audit générés par les nombreux outils de communication de contenus sensibles. 30 % doivent en réconcilier plus de 11 (contre 48 % en moyenne), et 15 % ne savent même pas combien il y en a. Cela représente un engorgement considérable ; 45 % des répondants y consacrent au moins 2 000 heures par an et 75 % plus de 1 500 heures.