‘ANSSI et son équivalent britannique viennent tous deux de publier des rapports circonstanciés faisant état d’une menace informatique grandissante ciblant les cabinets d’avocats, dont la surface d’attaque, au vu des sommes et enjeux qu’ils sont amenés à traiter, ne cesserait de s’étendre.
Dans un rapport intitulé « État de la menace informatique contre les cabinets d’avocats », l’ANSSI « constate que la surface d’attaque des cabinets d’avocats ne cesse de s’étendre, notamment du fait de la numérisation croissante de la profession et des procédures judiciaires », allant d’attaques à but lucratif à des opérations d’espionnage en passant par des opérations de déstabilisation, pouvant avoir de « graves conséquences en matière financière, opérationnelle et réputationnelle ».
L’ANSSI relève en effet que « l’exposition des cabinets d’avocats à la menace informatique s’explique notamment par leur accès à des données sensibles, mais aussi parce qu’ils traitent avec des clients que des attaquants pourraient chercher à atteindre » :
« Elles sont majoritairement conduites par des groupes cybercriminels cherchant à extorquer des fonds à leurs victimes ou à commettre des délits d’initié. Les cabinets d’avocats sont également des cibles de choix pour des acteurs souhaitant surveiller les activités des avocats ou de leurs clients. Enfin, plusieurs cabinets d’avocats ont déjà été victimes d’opérations de déstabilisation conduites par des groupes d’hacktivistes ou par des acteurs réputés liés à des États. »
La majorité des avocats ne dispose pas de responsable sécurité
L’ANSSI relève que si d’importants cabinets ont aujourd’hui mis en place une politique de sécurité des systèmes d’information (PSSI), « la majorité des avocats, qui pratiquent en petite structure, ne dispose pas de responsable de la sécurité des systèmes d’information (RSSI) et ne sont pas assez sensibilisés à cette menace ».
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
