Les cabinets d’avocats constituent des cibles de choix pour des attaques informatiques émanant d’acteurs divers. Cela s’explique notamment par leur accès à des données sensibles, mais aussi parce qu’ils traitent avec des clients que des attaquants pourraient chercher à atteindre. Depuis quelques années, certains attaquants se sont même spécialisés dans la compromission de cabinets d’avocats pour dérober des informations permettant de commettre des délits d’initié. Par exemple, le groupe cybercriminel russophone FIN7 s’est spécialisé depuis le milieu des années 2010 dans l’exfiltration de données à caractère personnel, bancaires et sensibles des réseaux de ses victimes, parmi lesquelles figurent des cabinets d’avocats.

L’objectif du rapport de l’ANSSI sur l’état de la menace informatique contre les cabinets d’avocats est de présenter les principales menaces pesant sur les systèmes d’information des cabinets d’avocats et de fournir des exemples concrets d’attaques conduites contre le secteur en France ou à l’étranger.

Le document souligne qu’alors que « la surface d'attaque des cabinets d’avocats ne cesse de s’étendre du fait de la numérisation croissante de la profession et des procédures judiciaires. », « le niveau de sécurité informatique des cabinets d’avocats français demeure hétérogène. »

Trois types d’attaques

L’ANSSI identifie trois types d'attaques principales : les attaques à but lucratif, les attaques à fins d'espionnage et les attaques de déstabilisation. Les attaques à but lucratif, telles que les attaques par rançongiciel ou ransomware  sont les plus courantes, mais les attaques à des fins d'espionnage ou de déstabilisation augmentent.

« En 2016, un cabinet d’avocats américain a subi une attaque par rançongiciel qui a paralysé l’ensemble de ses documents de travail pendant au moins trois mois. Les outils de déchiffrement envoyés par les attaquants après le paiement de la rançon se seraient révélés inexploitables, conduisant la victime à reprendre contact avec les attaquants, qui ont alors demandé à percevoir une rançon plus importante. Le cabinet a estimé ses pertes totales à 700 000 dollars américains », relève l’étude.       

Par ailleurs, depuis 2017, l’ANSSI a constaté la compromission d’une douzaine de cabinets d’avocats français au moyen de rançongiciels.

Attaques et espionnage informatique par des acteurs présumés étatiques

Depuis au moins 2020, l’ANSSI constate l’émergence d’attaques par rançongiciels conduites par des groupes d’attaquants présumés liés à des gouvernements. Elles seraient notamment le fait de groupes d’attaquants ciblant des entités étrangères à des fins de déstabilisation. Toutefois, ces attaques restent marginales

De même, depuis au moins la fin des années 2000, des acteurs présumés étatiques ont compromis des cabinets dans le but de collecter des informations utiles à des missions d’espionnage économique ou stratégique. Ils s’intéressent aux brevets, aux dossiers de fusion-acquisition, aux procédures judiciaires ou d’arbitrage, ou encore à l’application de sanctions et d’embargos internationaux.

Le rapport conclut par 30 recommandations pour renforcer la cybersécurité des cabinets d'avocats. Il s’agit de maîtriser les risques (mener une analyse de risques intégrant l'ensemble des prestataires informatiques, faire un inventaire des données métiers, faire régulièrement une sauvegarde hors-ligne …). La protection des postes de travail de chaque utilisateur qui accède au système d’information du cabinet, qu’il soit avocat ou non, est également importante (proscrire l'usage d'équipements personnels, utiliser des logiciels éprouvés et maintenus à jour, définir une politique de mots de passe robuste, protéger physiquement la clé matérielle et le secret d'authentification RPVA…). Enfin, la protection de la confidentialité des données sensibles est primordiale (chiffrer entièrement les disques durs des postes de travail, chiffrer systématiquement les données sensibles stockées, utiliser un logiciel coffre-fort de mot de passe, ne pas utiliser votre messagerie personnelle dans un but professionnel…)  

 Arnaud Dumourier (@adumourier)