Cyberattaques : l’ANSSI et son équivalent britannique alertent les cabinets d’avocats, de plus en plus ciblés
Cyberclash... & the law won
Le 29 juin 2023 à 06h30
4 min
Droit
Droit
L'ANSSI et son équivalent britannique viennent tous deux de publier des rapports circonstanciés faisant état d'une menace informatique grandissante ciblant les cabinets d'avocats, dont la surface d’attaque, au vu des sommes et enjeux qu'ils sont amenés à traiter, ne cesserait de s’étendre.
Dans un rapport intitulé « État de la menace informatique contre les cabinets d’avocats », l'ANSSI « constate que la surface d’attaque des cabinets d’avocats ne cesse de s’étendre, notamment du fait de la numérisation croissante de la profession et des procédures judiciaires », allant d'attaques à but lucratif à des opérations d’espionnage en passant par des opérations de déstabilisation, pouvant avoir de « graves conséquences en matière financière, opérationnelle et réputationnelle ».
L'ANSSI relève en effet que « l’exposition des cabinets d’avocats à la menace informatique s’explique notamment par leur accès à des données sensibles, mais aussi parce qu’ils traitent avec des clients que des attaquants pourraient chercher à atteindre » :
« Elles sont majoritairement conduites par des groupes cybercriminels cherchant à extorquer des fonds à leurs victimes ou à commettre des délits d’initié. Les cabinets d’avocats sont également des cibles de choix pour des acteurs souhaitant surveiller les activités des avocats ou de leurs clients. Enfin, plusieurs cabinets d’avocats ont déjà été victimes d’opérations de déstabilisation conduites par des groupes d’hacktivistes ou par des acteurs réputés liés à des États. »
La majorité des avocats ne dispose pas de responsable sécurité
L'ANSSI relève que si d’importants cabinets ont aujourd’hui mis en place une politique de sécurité des systèmes d’information (PSSI), « la majorité des avocats, qui pratiquent en petite structure, ne dispose pas de responsable de la sécurité des systèmes d’information (RSSI) et ne sont pas assez sensibilisés à cette menace ».
Elle a ainsi constaté, depuis 2017, la compromission d’une douzaine de cabinets d’avocats français au moyen de rançongiciels, des chiffres « très probablement sous-évalués, puisque les cabinets d’avocats ne font pas partie des opérateurs d’importance vitale (OIV) ni des opérateurs de services essentiels (OSE) ».
La menace des logiciels espions type Pegasus
L’ANSSI précise que « les cabinets disposant de filiales à l’étranger, traitant avec des entreprises étrangères ou engagés dans des litiges impliquant des organisations de gouvernements conduisant des attaques informatiques sont considérées comme particulièrement exposés » :
« Le recours croissant d’États à des entreprises privées développant des capacités de lutte informatique offensive concourt à la hausse du niveau de menace. Les révélations sur les outils de NSO GROUP n’ont pas infléchi cette tendance et le marché de la surveillance individuelle semble au contraire se recomposer. De nouveaux outils privés pourraient être employés à l’avenir pour cibler des avocats en France. »
L'ANSSI souligne à ce titre que la commercialisation de services offensifs à des acteurs privés « augmente significativement le niveau de menace informatique contre les avocats » :
« Ces entreprises et mercenaires permettent en effet à un large public d’acteurs malveillants (concurrents, parties adverses ou détracteurs) d’accéder à des capacités offensives, parfois pour une somme modique. Le recours à ce type d’intermédiaire complexifie encore l’attribution, en masquant le commanditaire de l’attaque et ses objectifs. »
Sur 40 cabinets, 30 ont été ciblés, ainsi que les clients des 10 autres
Le NCSC, qui fait partie du GCHQ (la NSA britannique), appelle lui aussi les cabinets juridiques à renforcer leurs cyberdéfenses, au motif que « l'adoption généralisée du travail hybride, accélérée pendant la pandémie de COVID-19, a augmenté les risques en ligne et comment les informations sensibles et les sommes d'argent que les cabinets manipulent souvent peuvent en faire des cibles particulièrement attrayantes pour les attaquants » :
« Fait significatif, sur les 40 cabinets juridiques audités, 30 ont déclaré avoir été la cible d'une cyberattaque. Les 10 cabinets restants ont indiqué que des cybercriminels avaient directement ciblé leurs clients au cours de leurs transactions. »
Les deux agences en charge de la cyberdéfense reviennent en détails sur les différents types d'attaques. Ils proposent de longues listes de recommandations allant de la sensibilisation et formation jusqu'aux restrictions de privilèges informatiques accordés aux avocats, à leurs partenaires et sous-traitants (et donc à l'interdiction de l'utilisation d'équipements personnels, y compris USB), en passant par l'importance des sauvegardes régulières « hors-ligne », des filtres de confidentialité écran, des postes reposant sur la virtualisation, du chiffrement « systématique » des données sensibles avant de les communiquer et à la préparation à « un mode d'organisation dégradé dans le cas où le système d’information est indisponible à la suite d’une attaque ».
Cyberattaques : l’ANSSI et son équivalent britannique alertent les cabinets d’avocats, de plus en plus ciblés
-
La majorité des avocats ne dispose pas de responsable sécurité
-
La menace des logiciels espions type Pegasus
-
Sur 40 cabinets, 30 ont été ciblés, ainsi que les clients des 10 autres
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/06/2023 à 07h38
Ce n’est effectivement pas étonnant au regard des informations qu’un Cabinet d’avocat peut détenir. D’autres professions notamment comme les experts-comptables doivent également être concernées
Il faut également noter que le CNB met à disposition des avocats des outils numérique sécurisés, de mémoire, tels qu’une boîte mail et du cloud.
Alors pour les plus gros cabinets ça n’est probablement pas utile, mais pour les plus petites structures ça peut être pertinent. Je serais d’ailleurs curieux de connaître le taux d’utilisation de ces outils.
Le 29/06/2023 à 08h35
J’ai entendu dans une émission de radio que des chèques ou virements (destinés à des victimes) ont été détournés.
Le 29/06/2023 à 20h20
Pareil pour les notaires…pour avoir eu le malheur d’avoir eu affaire à un cabinet récemment, j’ai halluciné devant le manque total de sécurité.
Quelques exemples :
Bref du grand n’importe quoi.
Le 30/06/2023 à 05h18
Et en plus les notaires gèrent effectivement pas des petites sommes (achat immobilier) !
Le 30/06/2023 à 07h25
J’ai eu la même chose pour l’achat de ma maison : un courriel avec un pseudo RIB en pièce jointe sans autre information que l’IBAN (pas le nom du notaire ou de l’étude, pas le nom et adresse de la banque). Tellement louche que j’ai appelé l’étude pour vérifier que c’était le bon…
Le 30/06/2023 à 05h57
Je confirme, pour être intervenu dans plusieurs cabinets de notaires mais aussi des huissiers de justice la sécurité est lamentable : pas de mot de passe de session ou alors le mot de passe est pareil que le nom d’utilisateur y compris sur les portables (non bitlockés évidemment), données en local, AV gratuits, utilisateurs non formés ou sensibilisés aux bonnes pratiques, etc, etc.