Le Quotidien du 28 août 2023 : Avocats

[Questions à...] [Cyberattaques vs Avocats : comment se défendre ?] - Questions à Éric Le Quellenec à propos du rapport de l'ANSSI

Lecture: 9 min

N6202BZQ

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Questions à...] [Cyberattaques vs Avocats : comment se défendre ?] - Questions à Éric Le Quellenec à propos du rapport de l'ANSSI. Lire en ligne : https://www.lexbase.fr/article-juridique/98366211-questions-a-cyberattaques-vs-avocats-comment-se-defendre-questions-a-eric-le-quellenec-a-propos-du-r
Copier

par Marie Le Guerroué, Rédactrice en chef de la revue Lexbase Avocats

le 25 Août 2023

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a rendu le 27 juin 2023 un rapport sur l’état de la menace informatique contre les cabinets d’avocats.

Éric Le Quellenec, Avocat, associé chez Simmons & Simmons LLP et ancien membre du Conseil de l’Ordre, a accepté de le décrypter pour nous et de nous donner ses conseils pour protéger les cabinets d’avocats.

 

Lexbase Avocats :  Quelles sont les principales menaces informatiques qui pèsent sur les cabinets d’avocats ?

Éric Le Quellenec : Ce qu'il faut savoir, c'est que la surface d'attaque des cabinets d'avocats augmente à mesure que la profession se numérise et que les procédures judiciaires se dématérialisent.

Tous les avocats ou presque sont connectés à la clé RPVA et les hackers s'y intéressent beaucoup. Elle permet d'avoir une vision très précise de l'état de procédures judiciaires avec des données hautement sensibles.

Ces différentes attaques peuvent être de trois ordres.

Premier type d'attaque, que tout le monde connaît, ce sont les attaques à but lucratif.

Vous avez des hackers qui souhaitent chiffrer des données du cabinet, rendre l'activité de ce cabinet quasi impossible et moyennant paiement d'une rançon. Il s’agit des ransomwares ou rançongiciels. Vous obtiendrez, si tout se passe bien, une clé de déchiffrement pour pouvoir à nouveau, tout simplement, pouvoir travailler.

Vous avez également le phishing qui est terrible avec des liens qui permettent aussi d'obtenir des données bancaires du cabinet avec à la clé, malheureusement, là aussi des retraits non désirés et un chantage des différents pirates.

Donc ça, c'est vraiment comme tout un chacun. Malheureusement, les cabinets ne font pas exception et sont la cible de groupes de pirates, j'ai envie de dire, à l'échelle mondiale. Et l'ANSSI, qui est l'Agence de cybersécurité en France, a également relevé qu'il y avait des attaques de type déstabilisation, mais aussi d’espionnage. Heureusement, sur la déstabilisation, les cas sont quand même assez peu fréquents. Il s'agirait à ce moment-là de groupes liés à des États étrangers ou à des groupes de pression pour finalement s'attaquer au cabinet qui, malheureusement, est vulnérable, pour ensuite pouvoir faire pression sur les clients du cabinet, voire sur certaines autorités, notamment dans le cas d'arbitrages internationaux.

Concernant l'espionnage, là, on est plutôt sur l'espionnage économique, d'ailleurs, avec ou sans la participation d'États. Ça peut être tout simplement des concurrents qui vont essayer de récupérer des informations stratégiques dans les cabinets d'avocats. Sont ciblées à ce moment-là principalement les opérations de type M&A, mais aussi tout ce qui va concerner les activités liées à la propriété intellectuelle ou encore à certaines procédures arbitrales sensibles.

Lexbase Avocats :  Pourquoi les cabinets d’avocats sont-ils des cibles privilégiées ?  

Éric Le Quellenec : Ils sont des cibles privilégiées, car vous avez une grande hétérogénéité des structures qui amène également à une grande variété des systèmes d'information, dont certains, il faut le reconnaître, peuvent être quelque peu obsolètes.

Il est d'usage, c'est vrai, dans les cabinets, d'avoir, pour le stagiaire de troisième, un PC sous une version Windows un peu ancienne – j'ai même pu le constater parfois jusqu'à Windows XP – et utilisant des navigateurs Internet comme Internet Explorer qui ne sont plus maintenus, là où les associés auraient effectivement le PC dernier cri ultra sécurisé.

Mais le problème, c'est que votre système d'information s'apprécie à l'aune, justement, du maillon le plus faible. Donc, si vous avez des outils ou logiciels obsolètes, vous mettez en danger l'ensemble de votre cabinet.

Une autre pratique est à relever également. Les avocats, et tant mieux pour les clients, travaillent H24, mais ce faisant, utilisent beaucoup d'appareils personnels, que ce soit un smartphone personnel non sécurisé ou en télétravail un PC qui dort dans le coin d'une chambre et qu'on va utiliser ne serait-ce que pour accéder en Webmail à sa boîte professionnelle.

Tout cela va malheureusement fragiliser la sécurité de l'exercice professionnel et permettre aux hackers de diffuser leur logiciel espion, rançongiciel, quelle qu'en soit la forme, de manière d'autant plus facile et, j'ai envie de dire, systématique.

Une fois qu'ils ont trouvé leur cible, ils vont pouvoir précisément se répandre sur tous les supports périphériques du cabinet puisqu'il s'agit simplement de trouver un point d'entrée. J'ajoute également que, malheureusement, même si les cabinets mettent les moyens et travaillent avec des professionnels de l'informatique, l'ANSSI a relevé ce qu'on appelle des attaques par chaîne d'approvisionnement où certains de ses prestataires qui n'ont pas mis justement les moyens de sécurité suffisants peuvent être aussi une porte d'entrée. Et là, c'est terrible puisque l'ANSSI a relevé que jusqu'à une dizaine de cabinets avaient pu être touchés, justement, par la faute, malheureusement, de ce prestataire.

Lexbase Avocats :  Comment doit réagir un cabinet qui serait la cible d’une attaque informatique ?

Éric Le Quellenec : Évidemment, il s'agit de se faire assister. Il faut trouver un bon prestataire, identifier l'origine de l'attaque et mettre sous cloche le périphérique ou le PC qui serait infecté. Ensuite, il s'agit évidemment de sécuriser son activité professionnelle et d’utiliser des espaces de sauvegarde, en mode dégradé, de leur système d'information pour pouvoir continuer de travailler avec leurs clients comme avec leurs collaborateurs. Ensuite, se pose évidemment la question des démarches auprès de la Commission nationale informatique et libertés (CNIL), puisque vous avez des obligations de notification des violations de données dans les 72 heures de la découverte d'une telle violation de données. Et enfin, il y a également les relations avec l'Ordre. Il s'agit évidemment de savoir dans quelle mesure cette attaque ne va pas d'une manière ou d'une autre, faire manquer un délai ou engager de manière plus générale la responsabilité professionnelle du cabinet. Donc, il faut appeler le service des assurances de son Ordre pour savoir s'il y a lieu ou pas à faire une déclaration de sinistre RCP. Et puis, une fois que l'incident est surmonté, que le système d'information a été remis en état de fonctionnement normal, il s'agit bien entendu de faire un retour d'expérience, avec ou sans prestataire, mais en tous les cas, pour s'assurer qu'un tel type d'attaque ne puisse pas se reproduire.

Lexbase Avocats : Pouvez-vous nous donner un exemple d’attaque informatique visant les cabinets d’avocats ?

Éric Le Quellenec : L'exemple le plus flagrant d'attaque sur ces 24 derniers mois, c'est LockBit 2.

Il s'agit d'un groupe de pirates qui a précisément ciblé une douzaine de cabinets français. L'ANSSI pense d'ailleurs qu'il s'agit de beaucoup plus de cabinets puisque, malheureusement, elle n'a pas eu des remontées de tous les cabinets concernés. Mais les pirates ont vraiment chiffré les données du cabinet et ont tenté de s'introduire dans le RPVA. S'ils ont pu obtenir certaines données du cabinet et les publier sur le Dark web, en revanche, heureusement, ils n'ont pu faire des modifications dans le RPVA et n'ont même pas pu accéder à l'espace e-Carpa lié à l'accès RPVA.

Mais on voit, en tous les cas, que cette menace a été tellement prise au sérieux par notre agence cyber qu'elle a en effet commis le rapport dont on parle aujourd'hui.

Lexbase Avocats :  L’ANSSI liste 30 recommandations pour protéger son cabinet ; quelles sont, selon vous, les 5 mesures qui doivent être priorisées ?

Éric Le Quellenec : la première, c'est évidemment de faire un état des lieux, autrement dit, un audit de risque de son cabinet. Assisté ou pas d'un professionnel, il y a des checklists tout à fait pertinentes qui existent, donc on peut déjà faire une première évaluation soi-même.

On va identifier justement quel est le maillon faible de son système d'information. Quand je dis système d'information, ce n'est pas que le PC, c'est aussi le serveur, le cloud etc.. De sorte que, s'il y a la moindre vulnérabilité, vous allez pouvoir précisément éviter qu'il y ait un malware qui s'incruste et donc ne contamine l'ensemble de votre système d'information. Ça permet d'avoir rapidement un plan de remédiation efficace.

Deuxième mesure, ça concerne le chiffrement à la fois de votre PC, de son disque dur, mais aussi de tout support que vous pouvez utiliser. L'ANSSI relevant que même pour l'accès à la clé RPVA qui repose sur un référentiel général sécurité deux étoiles, donc très sécurisé en ce qui concerne la connexion au serveur du ministère de la Justice, pour autant, vous avez un mot de passe pour y accéder, via votre clé. Et là, si votre mot de passe, ne serait-ce que via votre navigateur, n'est pas chiffré, c'est un problème. On voit que le chiffrement concerne aussi les données qui transitent via votre navigateur et votre réseau privé virtuel.

Troisième mesure, il s'agit tout simplement d'avoir des logiciels éprouvés, bien connus sur le marché, avec des maintenances qui soient régulièrement proposées.

On évitera donc les logiciels gratuits, grand public qui, malheureusement, ont des backdoors qui permettent à certains pirates de rentrer dans vos systèmes.

Quatrième mesure, là, il s'agit de s'assurer que, quel que soit votre périphérique, qu'il soit personnel ou privé, soit vous avez le même niveau de sécurité, soit si ce n'est pas le cas, vous renoncez à utiliser vos périphériques personnels pour ne serait-ce que consulter vos mails professionnels.

Cinquième mesure, décidez qui peut accéder au système d'information du cabinet, gérer les habilitations et les privilèges, ce que peuvent faire vos collaborateurs sur les différents outils. Les sensibiliser, les former et tester. Et je pense que vous pourrez dormir à ce moment-là sur vos deux oreilles.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:486202

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.