Dernière en date d’une longue série de cyber-attaques contre des administrations et entreprises, l’attaque du 3 septembre du Tribunal judiciaire de Paris, du Ministère de la Justice et de l’Intéri...
L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) est intervenue sur 104 cas de rançongiciels* sur la période courant du 1er janvier au 1er septembre, alors qu’elle n’avait traité que 54 cas de ce type sur toute l’année 2019. Le relâchement des règles de sécurité suite à un passage subit en télétravail semble avoir fait le bonheur des cybercriminels.
Les avocats et les comptables font partie des professions les plus touchées par les pirates. Les opérateurs du rançongiciel Maze ont ainsi ciblé 10 cabinets d’avocats dans le monde, représentant plus de 15 000 clients.
« Les avocats sont à une grande majorité des petites structures, explique Garance Limouzy, consultante en gestion de crise chez We Law Care. Avec des infrastructures de protection cyber moins développées que les grandes entreprises, les cabinets détiennent pourtant des données confidentielles émanant de ces grands groupes. C’est donc moins coûteux pour le pirate et tout aussi rentable d’attaquer les cabinets. »
Même constat pour Frans Imbert-Vier, expert en cybersécurité et membre du Cercle We Law Care, selon qui « la plupart des cabinets ne bénéficient pas de solutions technologiques leur permettant de se protéger correctement. » Une véritable aubaine pour les cybercriminels. « Tous peuvent être victimes d’un voleur de données, poursuit l’expert en cybersécurité. Ce sont des cibles parfaites puisqu’ils sont au carrefour de données inatteignables habituellement. Les avocats doivent prendre la mesure de ce danger et s’appuyer sur des partenaires cyber sérieux. J’ai été en contact avec un cabinet d’avocats de bonne taille, et hormis un anti-virus gratuit, ils n’avaient rien mis en place pour se protéger. L’attaque du tribunal les a logiquement secoués. »
Ces attaques peuvent avoir des conséquences dévastatrices pour les professionnels du droit : arrêt de l’activité, dédommagement des clients, risques judiciaires et surtout perte de crédibilité. Soumis au secret, l’avocat est tenu à un standard élevé de confidentialité, dont la protection des données fait partie intégrante. Une fuite de données peut donc mettre en péril l’activité et la réputation toute entière du cabinet.
Le réflexe en cas de cyberattaque est souvent de délaisser la gestion de la crise aux équipes d’experts informatiques : les gestionnaires de crise du cabinet doivent guider l’action des experts informatiques et ceux-ci doivent faire remonter de l’information afin que la stratégie globale puisse être ajustée en temps réel.
Avant la crise il s’agit de définir et lister les applications clefs afin de prioriser l’ordre de remise en marche. Il faut également mettre à jour régulièrement une liste d’experts à appeler en cas de problème.
Au moment de la crise, une analyse des risques transverse doit être établie par les gestionnaires de crise du cabinet et les équipes techniques afin d’éviter tout angle mort. Vous devrez réfléchir aux scénarios d’évolution défavorable afin d’appréhender l’ensemble des impacts à court et long terme, qui ne seront pas que techniques, financiers ou juridiques et parfois tellement prosaïques que vous pourriez les oublier : les salariés avaient-ils des données personnelles sensibles sur leurs ordinateurs ? Comment les salariés peuvent continuer à travailler sans leurs agendas et leurs boites mails ? Les salaires et fournisseurs vont-ils pouvoir être payés ? Les salariés vont-ils pouvoir poser leurs vacances ? Comment vérifier que le pirate n’a pas déjà diffusé un échantillon de données qui lui sert de preuve ? Quel type de données pourrait fuiter ? etc.
Comme pour toute gestion de crise réussie, le mot d’ordre doit être l’anticipation.
Impossible d’attendre sans agir que les systèmes soient remis en route : il vous faudra communiquer.
En interne en premier lieu, pour limiter l’anxiété des salariés (culpabilité, anxiété sur l’avenir, peur de voir des données sensibles personnelles publiées, etc.).
Et auprès de l’ensemble de vos parties prenantes : fournisseurs, partenaires, clients, etc.
Il s’agira de rassurer les clients sur trois points :
– La sécurité de leurs données
– Votre capacité à assurer la continuité d’activité
– La non-compromission de leurs propres systèmes informatique
Une seule posture sera acceptable : empathie, transparence, alignement de la communication sortante et pédagogie (intégrez les experts informatiques lors de la rédaction de vos éléments de langage).
Un haut niveau de cybersécurité devient depuis quelque temps tout à fait accessible à des petites et moyennes structures. Certains constructeurs, comme Sophos ou Checkpoint ont développé des offres de cyber-sécurité pour 100€ par mois, voire moins pour les petites équipes garantissant des niveaux de protection équivalent à ceux de grands comptes.
Par ailleurs, un gros budget n’est pas toujours synonyme de bonne protection : c’est le cas du Ministère de la Justice où un défaut de maintenance a permis à l’attaque de se déployer.
– Avoir une sauvegarde à jour
Sauvegarder ses données régulièrement et hors du réseau est essentiel, ne serait-ce que pour faire marcher les assurances. Des solutions via le cloud, automatisées et peu coûteuses, permettent de récupérer vos données facilement en cas de blocage. Sans sauvegarde, toutes les données sont perdues définitivement.
– S’assurer que les logiciels et systèmes d’exploitation soient à jour
– Créer des mots de passe complexes à déchiffrer mais faciles à retenir
– Chiffrer tous les ordinateurs et téléphones mobiles par un simple réglage des paramètres. Même si un vol de données se produit, les données ne pourront pas se vendre car cela ferait perdre trop de temps aux pirates de les déchiffrer. Le risque d’une attaque ciblée et commanditée par une agence d’État à même de déchiffrer les données existe toutefois.
*Les rançongiciels ou ransomware permettent aux pirates de bloquer complètement l’accès à une partie ou la totalité des données d’un ordinateur. Le versement d’une rançon est exigé contre la « libération » de ces données et dans le cas d’un vol de données, contre leur non-divulgation.
We Law Care : Cabinets d’avocats : 5 règles d’or en cas d’attaque cyber
Dernière en date d’une longue série de cyber-attaques contre des administrations et entreprises, l’attaque du 3 septembre du Tribunal judiciaire de Paris, du Ministère de la Justice et de l’Intéri...
Dernière en date d’une longue série de cyber-attaques contre des administrations et entreprises, l’attaque du 3 septembre du Tribunal judiciaire de Paris, du Ministère de la Justice et de l’Intéri...
Dernière en date d’une longue série de cyber-attaques contre des administrations et entreprises, l’attaque du 3 septembre du Tribunal judiciaire de Paris, du Ministère de la Justice et de l’Intéri...
Dernière en date d’une longue série de cyber-attaques contre des administrations et entreprises, l’attaque du 3 septembre du Tribunal judiciaire de Paris, du Ministère de la Justice et de l’Intéri...
Dernière en date d’une longue série de cyber-attaques contre des administrations et entreprises, l’attaque du 3 septembre du Tribunal judiciaire de Paris, du Ministère de la Justice et de l’Intéri...