accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Cybersécurité des cabinets d'avocats : l’ANSSI dresse un état des lieux de la menace et formule des recommandations

ANSSI, rapp., 27 juin 2023 (Avocats)
[28.06.2023]

Les avocats et cabinets d’avocats sont régulièrement la cible d’attaques informatiques conduites par des acteurs aux origines et objectifs divers. Ce ciblage peut s’expliquer par 3 principaux facteurs :

- leur accès à des données sensibles concernant leurs clients et des procédures judiciaires, que des « attaquants » pourraient chercher à dérober ;

- leurs échanges potentiels avec les véritables cibles des « attaquants », qui pourraient compromettre un cabinet pour atteindre des personnes ou organisations jugées d’intérêt parmi leurs clients ;

- leurs recettes financières, que des « attaquants » pourraient tenter d’extorquer.

Face à ces menaces, le niveau de sécurité informatique des cabinets d’avocats français demeure « hétérogène », constate l’Agence nationale de la sécurité des systèmes d'information (ANSSI) dans un rapport dévoilé le 27 juin. Et de préciser que « si d’importants cabinets ont aujourd’hui mis en place une politique de sécurité des systèmes d’information (PSSI), la majorité des avocats, qui pratiquent en petite structure, ne dispose pas de responsable de la sécurité des systèmes d’information (RSSI) et ne sont pas assez sensibilisés à cette menace ».

En parallèle, « la surface d’attaque des cabinets d’avocats ne cesse de s’étendre, offrant un nombre toujours plus important de points d’entrée aux attaquants pour s’introduire et se maintenir sur les réseaux ciblés ». Cette tendance est notamment le résultat :

- de la numérisation croissante des procédures judiciaires ;

- des interconnexions entre les réseaux des cabinets et ceux de prestataires extérieurs ;

- du manque de cloisonnement entre les équipements utilisés dans le cadre personnel et professionnel ;

- du recours croissant au télétravail ;

- de l’existence de mauvaises pratiques.

À cela s’ajoute la généralisation du cloud computing, qui a introduit de nouvelles menaces pour les données hébergées par les cabinets d’avocats. La nature du cloud rend en effet complexe la localisation précise du stockage des données, dont la confidentialité peut notamment être menacée par l’extraterritorialité de certaines législations.

Les attaques informatiques peuvent avoir de graves conséquences sur les cabinets d’avocats en matière financière, opérationnelle et surtout réputationnelle. La fuite de données à caractère personnel peut également porter atteinte au secret professionnel et engager la responsabilité des avocats au regard de la loi « Informatique et Libertés » et du Règlement général sur la protection des données (RGPD) européen.

Dans son rapport, l’ANSSI détaille les principales menaces pesant sur les systèmes d’information des cabinets d’avocats, en fournissant des exemples concrets d’attaques conduites contre le secteur, en France comme à l’étranger. L’Agence consacre une section à chacun des 3 grands types de menace informatique identifiés : les attaques à but lucratif, l’espionnage informatique et les opérations de déstabilisation.

Elle propose par ailleurs une liste de recommandations destinées à se prémunir contre ces menaces. Au nombre de 30, elles sont centrées sur les enjeux de confidentialité et de protection des données sensibles créées, hébergées et traitées par les cabinets d’avocats. Destinées aux directeurs des systèmes d’information (DSI) et aux RSSI, elles s’adressent aussi aux prestataires et aux décideurs des cabinets d’avocats.