L'ANSSI et son équivalent britannique viennent tous deux de publier des rapports circonstanciés faisant état d'une menace informatique grandissante ciblant les cabinets d'avocats, dont la surface d’attaque, au vu des sommes et enjeux qu'ils sont amenés à traiter, ne cesserait de s’étendre.
Dans un rapport intitulé « État de la menace informatique contre les cabinets d’avocats », l'ANSSI « constate que la surface d’attaque des cabinets d’avocats ne cesse de s’étendre, notamment du fait de la numérisation croissante de la profession et des procédures judiciaires », allant d'attaques à but lucratif à des opérations d’espionnage en passant par des opérations de déstabilisation, pouvant avoir de « graves conséquences en matière financière, opérationnelle et réputationnelle ».
L'ANSSI relève en effet que « l’exposition des cabinets d’avocats à la menace informatique s’explique notamment par leur accès à des données sensibles, mais aussi parce qu’ils traitent avec des clients que des attaquants pourraient chercher à atteindre » :
« Elles sont majoritairement conduites par des groupes cybercriminels cherchant à extorquer des fonds à leurs victimes ou à commettre des délits d’initié. Les cabinets d’avocats sont également des cibles de choix pour des acteurs souhaitant surveiller les activités des avocats ou de leurs clients. Enfin, plusieurs cabinets d’avocats ont déjà été victimes d’opérations de déstabilisation conduites par des groupes d’hacktivistes ou par des acteurs réputés liés à des États. »
La majorité des avocats ne dispose pas de responsable sécurité
L'ANSSI relève que si d’importants cabinets ont aujourd’hui mis en place une politique de sécurité des systèmes d’information (PSSI), « la majorité des avocats, qui pratiquent en petite structure, ne dispose pas de responsable de la sécurité des systèmes d’information (RSSI) et ne sont pas assez sensibilisés à cette menace ».
Elle a ainsi constaté, depuis 2017, la compromission d’une douzaine de cabinets d’avocats français au moyen de rançongiciels, des chiffres « très probablement sous-évalués, puisque les cabinets d’avocats ne font pas partie des opérateurs d’importance vitale (OIV) ni des opérateurs de services essentiels (OSE) ».
La menace des logiciels espions type Pegasus
L’ANSSI précise que « les cabinets disposant de filiales à l’étranger, traitant avec des entreprises étrangères ou engagés dans des litiges impliquant des organisations de gouvernements conduisant des attaques informatiques sont considérées comme particulièrement exposés » :
« Le recours croissant d’États à des entreprises privées développant des capacités de lutte informatique offensive concourt à la hausse du niveau de menace. Les révélations sur les outils de NSO GROUP n’ont pas infléchi cette tendance et le marché de la surveillance individuelle semble au contraire se recomposer. De nouveaux outils privés pourraient être employés à l’avenir pour cibler des avocats en France. »
L'ANSSI souligne à ce titre que la commercialisation de services offensifs à des acteurs privés « augmente significativement le niveau de menace informatique contre les avocats » :
« Ces entreprises et mercenaires permettent en effet à un large public d’acteurs malveillants (concurrents, parties adverses ou détracteurs) d’accéder à des capacités offensives, parfois pour une somme modique. Le recours à ce type d’intermédiaire complexifie encore l’attribution, en masquant le commanditaire de l’attaque et ses objectifs. »
Sur 40 cabinets, 30 ont été ciblés, ainsi que les clients des 10 autres
Le NCSC, qui fait partie du GCHQ (la NSA britannique), appelle lui aussi les cabinets juridiques à renforcer leurs cyberdéfenses, au motif que « l'adoption généralisée du travail hybride, accélérée pendant la pandémie de COVID-19, a augmenté les risques en ligne et comment les informations sensibles et les sommes d'argent que les cabinets manipulent souvent peuvent en faire des cibles particulièrement attrayantes pour les attaquants » :
« Fait significatif, sur les 40 cabinets juridiques audités, 30 ont déclaré avoir été la cible d'une cyberattaque. Les 10 cabinets restants ont indiqué que des cybercriminels avaient directement ciblé leurs clients au cours de leurs transactions. »
Les deux agences en charge de la cyberdéfense reviennent en détails sur les différents types d'attaques. Ils proposent de longues listes de recommandations allant de la sensibilisation et formation jusqu'aux restrictions de privilèges informatiques accordés aux avocats, à leurs partenaires et sous-traitants (et donc à l'interdiction de l'utilisation d'équipements personnels, y compris USB), en passant par l'importance des sauvegardes régulières « hors-ligne », des filtres de confidentialité écran, des postes reposant sur la virtualisation, du chiffrement « systématique » des données sensibles avant de les communiquer et à la préparation à « un mode d'organisation dégradé dans le cas où le système d’information est indisponible à la suite d’une attaque ».
