4 cybermenaces qui secouent les cabinets d’avocats
Sommaire :
Cabinets d’avocats : 4 cybermenaces qui peuvent secouer votre activité (+ cas concrets)
Suggestions d'articles
Cabinets d’avocats : 4 cybermenaces qui peuvent secouer votre activité (+ cas concrets)
En France, une entreprise sur deux (49 %) rapporte avoir subi au moins une cyberattaque en 2023 (+ 13 % en deux ans). Et selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), « la surface d’attaque des cabinets d’avocats en France ne cesse de s’étendre ».
Il faut dire que vous êtes particulièrement exposé : accès à des données sensibles, rôle de passerelle vers vos clients grands comptes, digitalisation accélérée de votre profession, risque juridique et réputationnel lié au secret professionnel (et à l’obligation de notifier les clients et le barreau en cas de fuite de données)…
Dans cet article, DFM développe quatre cas où des failles de sécurité informatique ont fragilisé des cabinets d’avocats.
1. Un email de « Microsoft » compromet toute la correspondance du cabinet
Dans un cabinet parisien de droit des affaires, un associé reçoit un email qui semble provenir de Microsoft. Il l’informe qu'il doit revalider sa connexion Office 365. Il clique sur le lien et saisit ses identifiants sur ce qui semble être la page de connexion Microsoft habituelle.
Ce qui s’est passé…
Cette fausse page de connexion a permis aux pirates de récupérer les identifiants de messagerie de l'avocat. Ils ont immédiatement créé une règle de transfert automatique : chaque email reçu (et donc les chaines d’email correspondantes) était désormais automatiquement transféré vers une adresse externe.
Pendant plusieurs semaines, toute la correspondance du cabinet a été interceptée : échanges avec les clients, stratégies en cours, documents confidentiels, etc.
L'incident a été découvert lorsque la direction a décidé de mettre en place une adresse mail centralisée par services pour améliorer la gestion des communications internes. En configurant un transfert automatique vers cette nouvelle adresse, l’avocat piraté a remarqué une règle de transfert inconnue.
Ce qui aurait empêché l’incident
Il s’agit d’un phishing classique, un type de cyberattaque qui a touché 30 % des entreprises françaises en 2023, selon le 9e baromètre de la cybersécurité. Il aurait fallu :
- Un filtre anti-phishing pour détecter les fausses pages de connexion ;
- L'authentification à deux facteurs qui rend les identifiants volés inutilisables ;
- La sensibilisation des équipes.
2. Trois mois de dossiers à reconstituer suite à une sauvegarde défaillante
Un avocat en droit social fait tomber son PC portable en sortant du tribunal. Impossible de démarrer l'ordinateur : le disque dur, endommagé par le choc, ne répond plus. En tentant de récupérer ses données via la sauvegarde automatique configurée par le prestataire informatique du cabinet sur Cloud, il découvre que celle-ci n'a pas fonctionné depuis des mois.
Ce qui s'est passé…
Le PC portable devait être synchronisé avec le Cloud du cabinet. Mais lors du paramétrage du nouveau PC six mois plus tôt, le logiciel de sauvegarde avait été mal configuré : il sauvegardait uniquement le dossier « Mes Documents » par défaut, alors que l'avocat travaillait dans un dossier personnalisé sur son bureau.
Le logiciel envoyait pourtant chaque jour un email « Sauvegarde réussie » : il sauvegardait bien, mais pas les bons dossiers.
Résultat : une centaine d'heures perdues à reconstituer les dossiers. Certains documents ont pu être retrouvés dans les emails envoyés aux clients. D'autres ont dû être récupérés en contactant les clients un par un. Pour les documents passés par plusieurs phases, les versions intermédiaires ont été écrasées par de nouvelles modifications. Elles sont donc perdues.
Ce qui aurait empêché l'incident
- Un système de sauvegarde Cloud professionnel correctement configuré, qui synchronise automatiquement tous les dossiers de travail ;
- Une double sauvegarde : Cloud et sur support physique (disque dur externe par exemple, stocké dans un coffre-fort) ;
- Une vérification régulière de l’état des sauvegardes par le prestataire IT.
3. Des dossiers confidentiels perdus sur une clé USB
Un avocat d'affaires constate qu'il a perdu sa clé USB après une journée à enchaîner les rendez-vous clients. Sur cette clé se trouvent plusieurs dossiers en cours, dont des documents confidentiels sur une fusion-acquisition.
Ce qui s'est passé…
L'avocat devait présenter un projet de fusion à plusieurs clients dans leurs locaux. Pour être certain d'avoir tous ses documents, il avait copié l'intégralité des dossiers sur sa clé USB.
Après une journée de déplacements et quatre rendez-vous clients, impossible de remettre la main sur la clé. Elle a pu être perdue dans un taxi, dans une salle de réunion, ou même dans la rue.
Résultat : l'avocat a dû informer ses clients de cette possible fuite de données. Pour le dossier de fusion-acquisition, particulièrement sensible car non public, le cabinet a dû prévenir toutes les parties impliquées du risque de compromission des négociations en cours.
Ce qui aurait empêché l'incident
- Un accès Cloud sécurisé aux dossiers depuis n'importe quel appareil. Cet accès aurait rendu inutile le transport physique des données ;
- Un système de partage de documents temporaire et sécurisé pour les présentations clients ;
- Un chiffrement systématique des données sensibles pour les rendre illisibles même en cas de perte d'un support physique.
4. Un collaborateur expose son cabinet en travaillant sur son PC personnel
Un collaborateur, qui travaille régulièrement le week-end, utilise son PC personnel pour accéder à ses dossiers via le Cloud du cabinet. Un samedi, son ordinateur est infecté par un ransomware qui se propage à l'ensemble des documents partagés.
Ce qui s'est passé...
Le collaborateur avait pris l'habitude de se connecter au Cloud du cabinet depuis son PC personnel pour travailler le week-end. Un samedi matin, il ouvre un email qui semble provenir du Barreau concernant une mise à jour urgente du RPVA.
En cliquant sur la pièce jointe, il déclenche un ransomware. Le logiciel malveillant chiffre non seulement les fichiers de son PC, mais aussi tous les documents du Cloud du cabinet auxquels il avait accès (ce cas est malheureusement de plus en plus documenté).
Résultat : le cabinet se retrouve avec une partie de ses dossiers chiffrés et inaccessibles. Il doit notifier le Barreau et ses clients d'une possible compromission de données confidentielles, et potentiellement payer la rançon au pirate informatique pour récupérer l’accès aux fichiers. L'assurance du cabinet refuse de couvrir l'incident car l'utilisation d'un PC personnel non sécurisé constitue une négligence.
Ce qui aurait empêché l'incident
- Une politique stricte d'usage exclusif du matériel professionnel, même en télétravail ;
- Des PC portables professionnels configurés et sécurisés pour le travail à distance ;
- Une solution Cloud professionnelle qui bloque les connexions depuis des appareils non autorisés.
Cabinets d’avocats : DFM vous accompagne
Les cabinets d’avocats ont toujours été des cibles de choix pour les cybercriminels. Il suffit, par exemple, d’un ransomware pour déclencher une triple catastrophe : violation du secret professionnel, engagement de votre responsabilité pénale et paralysie totale de votre activité.
Contrairement à une entreprise « classique » où tous les documents ne sont pas forcément sensibles, les dossiers d’un cabinet d’avocats sont tous critiques et confidentiels : stratégies de défense, documents préparatoires, informations clients, données financières, etc.
Plus de 340 cabinets d’avocats ont renouvelé leur confiance à DFM en 2024. Laissez-nous sécuriser votre activité et concentrez-vous sur l’essentiel : la défense des intérêts de vos clients.