Les cabinets d’avocats, une proie privilégiée des cyberattaquants
Idées & initiatives
Quelles protections adopter ?
Manipulant des données sensibles, les avocats sont sous la menace de cybercriminels, d’hacktivistes ou d’acteurs étatiques. Un rapport de l’ANSSI leur recommande de mettre en place une politique généralisée et systématique de chiffrement.
Pourquoi les cabinets d’avocats sont-ils particulièrement exposés aux cyberattaques ?
Gérant des informations particulièrement sensibles, les avocats constituent une cible privilégiée des cybercriminels de tout ordre.
Au-delà des attaques à but lucratif orchestrées par des cyber-extorqueurs (rançongiciel, revente de données, etc.), des hacktivistes ou des acteurs réputés liés à des États peuvent infiltrer leur système d’information pour mener des opérations d’espionnage stratégique ou de déstabilisation. En rendant publics des documents jugés compromettants, ils souhaitent ainsi décrédibiliser les avocats ou leurs clients.
Ces cyberattaques peuvent avoir de graves conséquences sur les cabinets d’avocats d’un point de vue financier, organisationnel et surtout réputationnel. Sur un plan judiciaire et réglementaire, une violation de données à caractère personnel peut porter atteinte au secret professionnel et engager la responsabilité des avocats au regard du RGPD.
« Le niveau de sécurité informatique des cabinets d’avocats français demeure hétérogène », note l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un rapport sur l’état de la menace informatique contre les cabinets d’avocats, publié fin juin. Si les plus importants cabinets ont mis en place une politique de sécurité des systèmes d’information (PSSI) et disposent d’un RSSI, la majorité des avocats qui évoluent dans de petites structures en sont dépourvues et ne sont pas suffisamment sensibilisés aux risques cyber.
Par ailleurs, leur surface d’attaque ne fait qu’augmenter, en cause :
- la digitalisation croissante des cabinets et des procédures judiciaires,
- les interconnexions entre les systèmes d’information et ceux des prestataires extérieurs,
- le recours croissant au télétravail.
L’ANSSI tacle ainsi certaines mauvaises pratiques et le manque de cloisonnement entre les équipements utilisés dans le cadre personnel et professionnel avec l’essor du BYOD (Bring Your Own Device).
Enfin, la généralisation des services Cloud rend plus complexe la localisation du stockage des données dont la confidentialité peut être menacée par le principe d’extraterritorialité de certaines lois non européennes comme le Cloud Act américain.
Les parades à mettre en place par les cabinets d’avocats
Après avoir décrit dans le détail ces menaces, l’ANSSI dresse une série de recommandations à destination des DSI et des RSSI des cabinets d’avocats ou, à défaut, à leurs dirigeants ainsi qu’à leurs prestataires.
Elles sont de trois ordres :
- Maîtrise des risques : analyse de risques en incluant les prestataires informatiques, cartographie des données métier, sauvegardes régulières déconnectées et externalisées, sensibilisation des utilisateurs, nomination d’un référent sécurité, préparation à une organisation en mode dégradé…
- Protection du poste de travail : bannissement de l’usage de terminaux personnels à des fins professionnelles, stratégie de mots de passe robustes, politique systématique de corrections et de mises à jour, sécurisation de l’accès au réseau privé virtuel des avocats (RPVA)…
- Protection en confidentialité des données : chiffrement généralisé, recours à un coffre-fort de mot de passe, journalisation des événements d’accès utilisateurs, filtre de confidentialité, verrouillage automatique du poste de travail, impression sécurisée…
Quelle réponse technique pour se protéger des cyberattaques ?
Sur ce dernier volet, l’ANSSI met l’accent sur l’apport du chiffrement pour assurer la confidentialité des données sensibles.
Il s’agit, selon l’agence, de :
- Utiliser un logiciel coffre-fort de mot de passe sur les postes de travail pour gérer les secrets de chiffrement utilisés. « Un mot de passe suffisamment robuste doit être exigé pour l’accès à ce coffre-fort ».
- Utiliser un logiciel dédié pour chiffrer entièrement les disques durs des postes de travail et entrer un secret avant le démarrage de ces postes afin de déchiffrer les données.
En l’occurrence, le rapport recommande notamment le produit CRYHOD de PRIM’X. Une solution française, certifiée pour la protection des postes de travail et adoptée par des organisations de toutes tailles (privé comme public, grands groupes comme ETI et PME) en France comme en Europe, garantit que seuls les utilisateurs dûment authentifiés et autorisés aient accès à leur contenu, et ce dès le branchement ou le démarrage du matériel. CRYHOD prévient ainsi les risques liés au vol ou à la perte d’un ordinateur. Il protège également les équipements des collaborateurs en situation de mobilité (télétravail, prospection, déplacement professionnel) suivant une stratégie globale et administrée. Ces matériels peuvent être des ordinateurs portables, des clés USB, des disques externes, des machines virtuelles locales ou dans le Cloud.
- Chiffrer systématiquement les données sensibles stockées avec un logiciel de chiffrement, quel que soit l’emplacement de stockage de ces données : poste de travail, serveur local, NAS, Cloud…
- Chiffrer systématiquement les données sensibles avant de les envoyer à un interlocuteur, quel que soit le moyen de communication : mail, solution de partage temporaire sur internet, clé USB…
L’ANSSI propose, cette fois, l’utilisation de la solution ZED! de PRIM’X. ZED! se présente sous la forme d’un conteneur chiffré qui, à l’instar d’une valise diplomatique, contient les fichiers sensibles protégés par chiffrement et que seuls les destinataires identifiés ont le droit de lire. ZED! est conçu pour protéger son contenu lorsqu’il est envoyé sur des réseaux ou déposé dans des emplacements non sécurisés et ce, quel que soit le canal utilisé : email, support amovible, file-transfert… Basés sur une technologie certifiée, les conteneurs chiffrés ZED! sont utilisés par de nombreuses entreprises européennes et par l’Etat Français qui a acquis une licence d’exploitation globale. L’Union Européenne s’appuie également sur ZED! pour les échanges de données « Restreint UE ».
Enfin, l’ANSSI recommande de diversifier les secrets de chiffrement des données sensibles par client, par affaire, par service numérique utilisé ou par une autre organisation segmentée des informations ayant un sens professionnel. « Il est surtout important de ne pas réutiliser le même mot de passe pour plusieurs usages et, au moins, de distinguer les mots de passe à usage professionnel de tout autre usage ».