Les cabinets d'avocats sont des cibles comme les autres pour les cyberattaquants mais peut-être sont-elles un peu plus faciles à percer que d'autres entreprises. L'agence nationale de la sécurité des systèmes d'information alerte en tout cas de la situation dans un dernier rapport. « L’ANSSI constate que la surface d’attaque des cabinets d’avocats ne cesse de s’étendre, notamment du fait de la numérisation croissante de la profession et des procédures judiciaires », indique l'organisme public. « Or, les attaques informatiques peuvent avoir de graves conséquences en matière financière, opérationnelle et réputationnelle ».
Exemple symptomatique de cette situation délicate, on se souvient qu'en février 2022, un cabinet d'avocats de Caen avait été ciblé par le cybergang Lockbit. Ce dernier avait publié près de 9 000 documents sur le dark web, incluant des informations il très sensibles dont des convocations judiciaires, des chefs d'accusation, des enregistrements vocaux de procès-verbaux, des données d'identités et RH (passeport, cartes d'identité, contrats de travail, certificats médicaux...) des associés, ainsi que des mots de passe en clair permettant de modifier les profils des clients de ce cabinet.
Décrédibilisation et sabotage parmi les buts recherchés
Dans son rapport, l'agence explique que les cabinets d'avocats sont surtout visés par des attaques à finalité lucrative qui sont majoritairement conduites par des groupes cybercriminels cherchant à extorquer des fonds à leurs victimes ou à commettre des délits d'initiés. « plusieurs cabinets d’avocats ont déjà été victimes d’opérations de déstabilisation conduites par des groupes d’hacktivistes ou par des acteurs réputés liés à des États. Leur mode opératoire consiste à rendre publics des documents internes jugés compromettants pour décrédibiliser des cabinets d’avocats ou leurs clients, voire à saboter leurs systèmes d’information », pointe par ailleurs l'ANSSI.
Pour se prémunir de ces cyberattaques, l'agence pousse plusieurs recommandations, particulièrement en matière de maitrise des risques (inventaire des données métier, sauvegarde hors ligne régulière, sensibilisation des utilisateurs...), protection du poste de travail (bannir les terminaux personnels à des fins professionnelles, utiliser des logiciels éprouvés et à jour, interdire l'installation de logiciels via un compte utilisateur, définir une politique de mots de passe robuste...), assurer la confidentialité des données (chiffrer entièrement les disques durs des postes de travail et les données sensibles, utiliser un coffre-fort de mots de passe, configurer le verrouillage automatique de session de poste...).