Cabinets d’avocats : l’ANSSI alerte sur l’état de la menace informatique

Etudes et Documents
Outils
TAILLE DU TEXTE

Dans un rapport publié le 27 juin, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), alerte sur l’état de la menace informatique contre les cabinets d’avocats.

Les cabinets d’avocats constituent des cibles de choix pour des attaques informatiques émanant d’acteurs divers. Cela s’explique notamment par leur accès à des données sensibles, mais aussi parce qu’ils traitent avec des clients que des attaquants pourraient chercher à atteindre. Depuis quelques années, certains attaquants se sont même spécialisés dans la compromission de cabinets d’avocats pour dérober des informations permettant de commettre des délits d’initié. Par exemple, le groupe cybercriminel russophone FIN7 s’est spécialisé depuis le milieu des années 2010 dans l’exfiltration de données à caractère personnel, bancaires et sensibles des réseaux de ses victimes, parmi lesquelles figurent des cabinets d’avocats.

L’objectif du rapport de l’ANSSI sur l’état de la menace informatique contre les cabinets d’avocats est de présenter les principales menaces pesant sur les systèmes d’information des cabinets d’avocats et de fournir des exemples concrets d’attaques conduites contre le secteur en France ou à l’étranger.

Le document souligne qu’alors que « la surface d'attaque des cabinets d’avocats ne cesse de s’étendre du fait de la numérisation croissante de la profession et des procédures judiciaires. », « le niveau de sécurité informatique des cabinets d’avocats français demeure hétérogène. »

Trois types d’attaques

L’ANSSI identifie trois types d'attaques principales : les attaques à but lucratif, les attaques à fins d'espionnage et les attaques de déstabilisation. Les attaques à but lucratif, telles que les attaques par rançongiciel ou ransomware  sont les plus courantes, mais les attaques à des fins d'espionnage ou de déstabilisation augmentent.

« En 2016, un cabinet d’avocats américain a subi une attaque par rançongiciel qui a paralysé l’ensemble de ses documents de travail pendant au moins trois mois. Les outils de déchiffrement envoyés par les attaquants après le paiement de la rançon se seraient révélés inexploitables, conduisant la victime à reprendre contact avec les attaquants, qui ont alors demandé à percevoir une rançon plus importante. Le cabinet a estimé ses pertes totales à 700 000 dollars américains », relève l’étude.       

Par ailleurs, depuis 2017, l’ANSSI a constaté la compromission d’une douzaine de cabinets d’avocats français au moyen de rançongiciels.

Attaques et espionnage informatique par des acteurs présumés étatiques

Depuis au moins 2020, l’ANSSI constate l’émergence d’attaques par rançongiciels conduites par des groupes d’attaquants présumés liés à des gouvernements. Elles seraient notamment le fait de groupes d’attaquants ciblant des entités étrangères à des fins de déstabilisation. Toutefois, ces attaques restent marginales

De même, depuis au moins la fin des années 2000, des acteurs présumés étatiques ont compromis des cabinets dans le but de collecter des informations utiles à des missions d’espionnage économique ou stratégique. Ils s’intéressent aux brevets, aux dossiers de fusion-acquisition, aux procédures judiciaires ou d’arbitrage, ou encore à l’application de sanctions et d’embargos internationaux.

Le rapport conclut par 30 recommandations pour renforcer la cybersécurité des cabinets d'avocats. Il s’agit de maîtriser les risques (mener une analyse de risques intégrant l'ensemble des prestataires informatiques, faire un inventaire des données métiers, faire régulièrement une sauvegarde hors-ligne …). La protection des postes de travail de chaque utilisateur qui accède au système d’information du cabinet, qu’il soit avocat ou non, est également importante (proscrire l'usage d'équipements personnels, utiliser des logiciels éprouvés et maintenus à jour, définir une politique de mots de passe robuste, protéger physiquement la clé matérielle et le secret d'authentification RPVA…). Enfin, la protection de la confidentialité des données sensibles est primordiale (chiffrer entièrement les disques durs des postes de travail, chiffrer systématiquement les données sensibles stockées, utiliser un logiciel coffre-fort de mot de passe, ne pas utiliser votre messagerie personnelle dans un but professionnel…)  

 Arnaud Dumourier (@adumourier)

LES RECOMMANDATIONS DE l’ANSSI

  • Mener une analyse de risques intégrant l’ensemble des prestataires informatiques
  • Faire un inventaire des données métier
  • Faire régulièrement une sauvegarde hors-ligne
  • Prévoir à l'avance un mode d’organisation dégradé
  • Surveiller systématiquement les interventions de vos prestataires
  • Sensibiliser les utilisateurs sur les risques
  • Avoir un référent sécurité au sein des équipes
  • Proscrire l’usage d’équipements personnels
  • Imposer des comptes utilisateurs sans droits d’administrateur local sur les postes
  • Utiliser des logiciels éprouvés et maintenus à jour
  • Interdire l’installation de logiciels via un compte utilisateur
  • Définir une politique de mots de passe robuste
  • Appliquer les mises à jour de sécurité rapidement
  • Implémenter un logiciel EDR ou antivirus
  • Limiter la connexion de clés USB à des clés dédiées à l’usage professionnel
  • Configurer les fonctions de protection natives des postes reposant sur la virtualisation
  • Protéger physiquement la clé matérielle et le secret d’authentification RPVA
  • Ne pas utiliser un mode de connexion dégradé pour l’accès au RPVA
  • Dédier un navigateur pour les accès RPVA
  • Chiffrer entièrement les disques durs des postes de travail
  • Chiffrer systématiquement les données sensibles stockées
  • Chiffrer systématiquement les données sensibles avant de les communiquer
  • Utiliser un logiciel coffre-fort de mot de passe
  • Diversifier les secrets de chiffrement
  • Ne pas utiliser votre messagerie personnelle dans un but professionnel
  • Gérer le besoin d’en connaître entre les utilisateurs
  • Journaliser tous les évènements d’accès de vos utilisateurs à des données sensibles
  • Utiliser systématiquement un filtre de confidentialité écran
  • Configurer un verrouillage automatique de la session du poste
  • Mettre en place l’impression sécurisée

Lex Inside - L’actualité juridique - Émission du 20 novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 15 novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 13 novembre 2024 :