Comment les cabinets d’avocats peuvent-ils lutter contre les cybermenaces ?

Cette fuite, connue sous le nom de "Panama Papers", a révélé comment Mossack Fonseca a aidé des rois, des présidents, des membres de cartels et des trafiquants d'armes à dissimuler leur argent^[1].

Si les Panama Papers ont contribué à mettre en lumière la manière dont la loi peut être utilisée pour couvrir certains grands délinquants internationaux, ils ont également révélé un autre problème préoccupant, à savoir le risque et l'impact des cyberattaques sur les cabinets d'avocats. L'époque où un malfaisant se contentait de jeter un caillou sur la fenêtre puis de pénétrer dans le bureau pour y dérober un disque dur contenant des informations sur les clients et le cabinet est révolue^[2]. Les Panama Papers suggèrent que les informations obtenues de Mossack Fonseca proviennent du piratage d'un serveur de messagerie électronique, ce qui souligne la nécessité pour les cabinets d'avocats de renforcer leur cybersécurité afin de protéger leurs documents confidentiels^[3].

Le 27 juin 2023, l'Agence nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié un rapport soulignant les menaces de cybersécurité auxquelles les cabinets d'avocats sont confrontés aujourd'hui et les moyens de les combattre^[4].

Les cyberattaques contre les cabinets d'avocats sont menées à des fins diverses, par des acteurs d'origines variées. Les attaquants cherchent à s'emparer d'informations sensibles sur les dossiers, les communications et les informations financières du cabinet ^[5]. Le rapport de l'ANSSI souligne que la majorité des avocats qui exercent dans de petites structures ne sont pas équipés de manière adéquate pour faire face aux cyberattaques ; la plupart d'entre eux ne disposent pas d’un(e)(e) responsable de la sécurité des systèmes. L'augmentation des cyberattaques est attribuée à la numérisation croissante des procédures juridiques, aux interconnexions entre les entreprises et les fournisseurs de services externes, et à l'absence de distinction entre l'équipement utilisé dans un cadre personnel et celui utilisé dans un cadre professionnel. Selon un rapport de la Solicitors Regulatory Authority du Royaume-Uni publié en 2020, 75 % des cabinets ont déclaré avoir été la cible de cyberattaques au cours des dernières années^[6]. La société de cybersécurité Checkpoint Research a constaté qu'une cyberattaque sur quatre visait des cabinets d'avocats ou des compagnies d'assurance^[7]. En réalité, aucun cabinet d’avocats n’est à l’abri.

Dans les parties qui suivent, nous présentons les types d’attaques les plus fréquentes et les moyens de les gérer.

Rançongiciels (ransomware) et logiciels malveillants (malware)

Le rapport de l'ANSSI fait état d'une augmentation des attaques par ransomware. Les ransomwares sont des logiciels malveillants qui empêchent les utilisateurs d'accéder à leur ordinateur. Lors d'une telle attaque, les données sont cryptées, ce qui signifie que personne ne peut les utiliser. Les attaquants exigent alors un paiement pour récupérer ces données cryptées, généralement par le biais d'un courrier électronique anonyme^[8].

L'ANSI note que le paiement versé aux attaquants peut ne pas résoudre le problème, car les outils de décryptage envoyés sont susceptibles de ne pas fonctionner, ce qui entraîne des demandes de rançon et des paiements plus importants^[9]. Si les attaques de ransomware retiennent l'attention des médias (comme le piratage présumé du ministère français de la justice par Lock-bit 2.0), il est important de connaître les autres types de logiciels malveillants. Les logiciels publicitaires, par exemple, peuvent sournoisement insérer des publicités malveillantes dans l'interface d'un utilisateur, remplaçant les publicités légitimes. Les virus, qui sont des codes malveillants, peuvent également s'attacher à des fichiers légitimes^[10]. Ainsi les logiciels espions, conçus pour fonctionner en arrière-plan, peuvent enregistrer les interactions d'un utilisateur en utilisant les webcams et les claviers. L'ANSSI note que les cabinets d'avocats français peuvent également faire l'objet d'attaques opportunistes de ransomware par des acteurs étatiques. Certains de ces acteurs peuvent chercher à surveiller ou à subtiliser la propriété intellectuelle stratégique qui peut ensuite être offerte aux entreprises de leur pays d'origine, leur donnant ainsi un avantage concurrentiel^[11].

Quelles recommandations ?

Effectuer des sauvegardes régulières de son travail et vérifier régulièrement que la procédure de sauvegarde fonctionne comme prévu. Créer des sauvegardes hors ligne qui sont conservées dans un endroit différent (hors site) de son système de réseau.
Interdire l'utilisation d'ordinateurs personnels, car cela augmente le risque de compromission. L'ensemble du personnel doit être formé pour comprendre la ligne de partage entre l'utilisation personnelle et professionnelle.
S'assurer que tous les logiciels et systèmes d'exploitation sont à jour.
Être conscient des logiciels qui sont autorisés au sein du cabinet d'avocats. Veiller à ce que le logiciel dispose d'un mécanisme permettant de corriger les éventuelles failles de sécurité. Ce point prend encore plus d’importance dans le contexte actuel de recours accru à des solutions intégrant de l’intelligence artificielle générative.
Utiliser un logiciel antivirus pour détecter les machines et les sauvegardes infectées. .
Créer un plan de récupération et de continuité en cas d'attaque. .
Répéter les plans de réponse aux incidents. Disposer d'un plan efficace permettra d'agir plus rapidement en limitant les perturbations importantes.

La compromission des courriels professionnels et l’hameçonnage (phishing)

Une telle forme d'attaque par hameçonnage peut viser à inciter un avocat à transférer des fonds. Ainsi, un cabinet d'avocats de Washington DC a été victime d'un courriel d'hameçonnage envoyé par le réseau de cybercriminels GozNym, qui a infecté l'ordinateur avec des logiciels malveillants. Les courriels semblaient légitimes et authentiques, incitant les utilisateurs à cliquer sur un lien dans le courriel. GozNym a ensuite été en mesure d'obtenir un accès non autorisé au compte bancaire du cabinet en utilisant les informations d'identification capturées par le logiciel malveillant, ce qui a entraîné une perte de plus de 75 000 dollars^[12].

Quelles recommandations ?

Interdire l'utilisation d'ordinateurs personnels, car cela augmente le risque de compromission. L’ensemble du personnel doit comprendre le clivage entre les usages personnels et professionnels.
Utiliser un service de démantèlement pour supprimer les contenus malveillants .
Utiliser un DMARC (Domain-Based Message Authentication), un DKIM (Domain Keys Identified Mail) et un SPF (Sender Policy Framework – technique d’authentification de l’émetteur) (toutes les méthodes d'authentification des courriels) pour empêcher les délinquants d'envoyer des courriels à partir d'un domaine dont ils ne sont pas propriétaires.
Rendre obligatoire l'utilisation d'une méthode de vérification (comme un appel téléphonique ou un SMS) pour toutes les demandes de courriels importantes ou inhabituelles.
Former l'ensemble des équipes du cabinet à l'identification des messages suspects. Veiller à ce que celles-ci comprennent que les informations personnelles qu'elles partagent sur Internet peuvent être utilisées par des personnes malveillantes.

Attaques de mot de passe

Les attaques de mot de passe sont courantes dans les cabinets d'avocats en raison de la réutilisation des mots de passe, de leur faiblesse, et de l'absence d'authentification multifactorielle (MFA)^[13]. L'ANSSI suggère de définir des mots de passe pour les disques durs des postes de travail et les données sensibles afin de mieux protéger la confidentialité des données^[14]. Selon le Rapport Data Breach Investigations de 2023, édité par Verizon, 81 % des violations liées au piratage informatique ont eu recours à des mots de passe volés et/ou faibles^[15]. Plus de la moitié des utilisateurs réutilisaient le même mot de passe sur de nombreux sites. Le NCSC ajoute, dans une étude de 2019, que 23,2 millions de comptes piratés utilisaient "123456" comme mot de passe^[16]. Le tableau ci-dessous indique le temps nécessaire à un ordinateur pour déchiffrer un mot de passe de différents types, ce qui permet de voir dans quelle mesure les mots de passe sont sûrs^[17]. Une simple violation de données sur un site web vulnérable ou même une supposition judicieuse peut permettre à un pirate d'accéder à tous les comptes, y compris ceux qui contiennent des informations cruciales sur le cabinet d'avocats. .

Quelles recommandations ?

Utiliser un logiciel de coffre-fort pour gérer les mots de passe dans le cabinet.
Définir un mot de passe suffisamment fort avec des exigences de longueur et de complexité.
Éviter d'utiliser le même mot de passe pour sa vie privée et au travail^[18].
Appliquer le MFA, en ajoutant une couche de sécurité supplémentaire en plus du mot de passe, ce qui signifie que les identifiants de connexion ne seront pas suffisants à un acteur malveillant.
Proscrire l'utilisation d'ordinateurs personnels, car cela augmente le risque de compromission. Tout le personnel doit comprendre le clivage entre les usages personnels et professionnels^[19].

Attaque de la chaine d’approvisonnement

Une attaque de la chaîne d'approvisionnement désigne la compromission d'un actif particulier, comme l'infrastructure et les logiciels commerciaux d'un fournisseur de logiciels, dans le but de nuire à une certaine cible, telle que les clients du fournisseur de logiciels^[20]. L'ANSSI précise que les cabinets d'avocats sont également victimes d'attaques opportunistes et indirectes de la chaîne d'approvisionnement. Par exemple, le groupe cybercriminel Everest aurait infiltré les données et crypté les systèmes d'information de plusieurs cabinets d'avocats français à la suite de la compromission de leur prestataire de services d'infogérance. Des données provenant de certains de ces cabinets d'avocats, telles que des dossiers d'enquête secrets et des données personnelles concernant des enquêteurs et des magistrats, ont ensuite été publiées sur le site web d'Everest^[21].

Quelles recommandations ?

Réaliser une analyse des risques en tenant compte des risques numériques que les prestataires de services peuvent faire courir au cabinet, tant sur le plan technique qu'organisationnel.
Privilégier le travail sur place, au cabinet, pour les prestataires de services informatiques.
Assurer la sécurité de l'accès à distance si le travail est effectué à distance.
Sensibiliser les prestataires de services, les clients et le personnel du cabinet aux risques liés à la sécurité numérique.
Effectuer régulièrement des sauvegardes hors ligne et les sécuriser dans un lieu physique sûr.
Enregistrer tous les événements d'accès des utilisateurs aux données sensibles et établir des rapports réguliers.
Mettre en place un pot de miel de fausses données (qui ressemblent à des informations sensibles et précieuses) qui peut ensuite servir de fil conducteur pour alerter les administrateurs que le système pourrait faire l'objet d'une attaque ou être compromis. Cela peut vous permettre de déterminer les acteurs de la menace et vous préparer à contrer toute attaque potentielle future^[22].

Cyberattaques influencées par l’IA

Dans un souci d'efficacité, les cabinets d'avocats commencent (ou continuent) à mettre en œuvre (davantage) de solutions intégrant de l’intelligence artificielle pour faciliter la rédaction de documents, la recherche et l'intégration des flux de travail, etc. Mais les cybercriminels tirent également parti de l'IA pour attaquer les cabinets d'avocats. Ils peuvent désormais utiliser des solutions telles que ChatGPT pour créer des courriels d'hameçonnage auxquels même les avocats les plus avertis sur le plan technologique se laisseraient prendre^[23]. Les signes révélateurs d'une grammaire et d'une orthographe déficientes disparaissent si un pirate utilise des solutions intégrant de l'intelligence artificielle. Avant ChatGPT, le laboratoire d'innovation d'Europol avait déjà publié un rapport suggérant que les courriels d'hameçonnage devenaient déjà d'une sophistication inquiétante. Les solutions technologiques intégrant de l'IA ne feront qu'exacerber ce problème, car les résultats produits sont plus complexes et difficiles à discerner par rapport à la production humaine. Les solutions intégrant de l’IA peuvent également être utilisées par des pirates pour générer du code pour des logiciels malveillants^[24]. Les cybercriminels peuvent aussi avoir recours à des solutions d'IA générative pour tromper les victimes par le biais d'imitations profondes (deep fake), comme dans le cas de la voix d'un PDG allemand qui a été clonée, suivie d'une demande de virement urgent de 220 000 euros^[25].

Quelles recommandations ?

Rechercher une application d’IA générative conçue pour les professionnels du droit si le cabinet choisit d’y avoir recours. Ils auront été en effet « fine-tunés » pour répondre à des besoins spécifiqiues et disposeront de moyens pour atténuer les risques, notamment d’hallucination.
Si possible, rechercher des solutions d'IA dotées de contrôles de sécurité stricts, avec des antécédents de réussite et d'utilisation par les leaders du secteur. Mais, en phase « early stage », ce n’est pas toujours possible.
S’assurer que les équipes comprennent les implications de l'utilisation de solutions d'IA, telles que la responsabilité de protéger les informations des clients.Toute erreur doit être divulguée en cas de violation.
Former les équipes aux menaces de sécurité et de confidentialité liées à l'IA.

Les options technologiques disponibles

Les avocats disposent d'un large éventail de solutions technologiques disponibles sur le marché, qu’il s’agisse de stocker les fichiers et de développer le travail collaboratif sur ceux-ci, de numériser les documents, de suivre le temps passé et la facturation, de mener des recherches juridiques, d’organiser entre les équipes - ou avec les clients - des vidéoconférences, de créer un portail clients, de signer électroniquement, etc.

Quelles recommandations ?

Veiller à ce que ces outils technologiques reconnaissent explicitement la détention par le cabinet des droits de propriété intellectuelle. .
S’assurer qu'ils disposent des fonctionnalités dont le cabinet a besoin et qu’ils sont conformes aux normes juridiques existantes.
Vérifier que le fournisseur dispose d'un plan de continuité des activités et d'une procédure de reprise après sinistres testés.
S'assurer que le fournisseur est en activité depuis un certain temps et qu'il a pour clients des cabinets de référence (pas toujours possible quand la solution technologique est nouvelle sur le marché).
Veiller à ce que les informations et données du cabinet soient supprimées/restituées en cas d’arrêt du contrat.
S'assurer que le fournisseur dispose des contrôles nécessaires pour empêcher tout accès non autorisé ou toute divulgation des informations du cabinet.

Conclusion

La saison des cyberattaques est manifestement ouverte pour les entreprises... Dans ce paysage de la cybersécurité en constante évolution, il est impératif que les cabinets d’avocats restent vigilants et proactifs dans la protection de leurs données. Les failles de sécurité compromettant les informations sensibles ou confidentielles (et il y en a beaucoup) d'un cabinet peuvent donner lieu à des actions en justice, à des enquêtes et à des sanctions financières, sans parler du risque réputationnel. Les cabinets d’avocats détiennent de très nombreuses données sur leurs clients, et bien évidemment des données personnelles. L’enjeu est éminemment important, comme le montre le Guide Pratique édité par le Conseil National des Barreaux, le Barreau de Paris et la Conférence des Bâtonniers^[26]. Aux Etats-Unis, l’American Bar Association s’est même intéressée à la question de savoir quand et comment un cabinet d’avocats doit prévenir ses clients en cas de violation de données^[27].

Les cyberattaques contre les cabinets se diversifient de plus en plus avec l'essor de l'IA. La mise en œuvre de mesures de sécurité solides telles que celles suggérées, la formation régulière des équipes et la mise à jour sur les dernières menaces de cybersécurité sont des étapes essentielles pour atténuer les risques associés aux cyberattaques. Même si nous espérons que votre cabinet ne détient pas d'informations secrètes sur la manière de détruire le monde (voir Mossack Fonseca), la leçon est claire pour tous : prenez les mesures de sécurité et de protection appropriées pour garantir la confidentialité et la préservation des informations de votre cabinet.

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute

^[1] H Leyendecker et alii., “Panama Papers The Secrets of Dirty Money’ (Sueddeutsche)”, https://panamapapers.sueddeutsche.de/articles/56febf8da1bb8d3c3495adec/, sité accédé le 8 octobre 202

^[2] D. Roe, ‘Cyberattacks, “’Inevitable' for Law Firms, Highlighting Need for Comprehensive Incident Response Plans”, The American Lawyer, 10 janvier 2023, https://www.law.com/americanlawyer/2023/01/10/cyberattacks-inevitable-for-law-firms-highlighting-need-for-comprehensive-incident-response-plans/

^[3] G. Gross, “The massive Panama Papers data leak explained”, Computerworld, 5 avril 2016, https://www.computerworld.com/article/3052218/the-massive-panama-papers-data-leak-explained.html,

[4] ANSSI, « Etat de la menace informatique contre les cabinets d’avocats », 27 juin 2023, https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-004.pdf

^[5] Réf.préc., note 4, p. 4.

^[6] National Cyber Security Center, “Cyber Threat Report UK Legal Sector”, juin 2023 p.7, https://www.ncsc.gov.uk/files/Cyber-Threat-Report_UK-Legal-Sector.pdf

^[7] D. Weiss, “Big Law Firms are targeted in cyber attacks and hacking lawsuits”, ABA Journal,12 juin 2023, https://www.abajournal.com/news/article/law-firms-are-targeted-in-cyberattacks-and-hacking-lawsuits

^[8] Réf. préc. note 6, p.13

^[9] Réf. préc., note 4, p.5

^[10] Réf. préc., note 6

^[11] Réf. préc., note 4, p.7

^[12] Office of Public Affairs U.S Department of Justice, “GozNym Cyber-Criminal Network Operating out of Europe Targeting American Entities Dismantled in International Operation”, 16 Mai 2019, https://www.justice.gov/opa/pr/goznym-cyber-criminal-network-operating-out-europe-targeting-american-entities-dismantled

^[13] H. Labus, “Law Firms under Cyberattack”, HelpNetSecurity,10 juillet 2023, https://www.helpnetsecurity.com/2023/07/10/law-firm-cyberattack/#:~:text=Password%20attacks%20are%20also%20frequent,%2Dfactor%20authentication%20(MFA)

^[14] Réf. préc., note 6, p.16

^[15] 2023 Data Breach Investigations Report Verizon, https://www.verizon.com/business/resources/reports/dbir/

^[16] Osprey Approach, “The importance of password security for law firms– our Five Top Tips”,17 December 2019, https://ospreyapproach.com/blog/the-importance-of-password-security-5-top-tips/)

^[17] K. Buchholz, “This chart shows how long it would take a computer to hack your exact password”, World Economic Forum, 7 Décembre 2021, https://www.weforum.org/agenda/2021/12/passwords-safety-cybercrime/#:~:text=A%20computer%20can%20c ra ck%20a%20password%20of%208,password%20of%20upper%20case%20letters%2C%20symbols%20and%20numbers

^[18] Réf. préc., note 6, p.16

^[19] Sur le sujet des mots de passe, lire aussi utilement A.-C. Andrieux et V. Grosjean, « Comment mettre en œuvre une politique de mot de passe efficace », Haas avocats, 2 novembre 2022, https://info.haas-avocats.com/droit-digital/comment-mettre-en-%C5%93uvre-une-politique-de-mot-de-passe-efficace

^[20] European Union Agency for Cybersecurity, “Supply Chain Attacks’”, 29 aoput 2017, https://www.enisa.europa.eu/publications/info-notes/supply-chain-attacks

^[21] Réf. préc., note 4, p.5

^[22] D. Zielinski et. H. A. Kholidy, “An Analysis of Honeypots and their Impact as a Cyber Deception Tactic”, State University of New York (SUNY) Polytechnic Institute, College of Engineering, Network and Computer Security Department, Utica, 30 décembre 2022, https://arxiv.org/ftp/arxiv/papers/2301/2301.00045.pdf

^[23] M. Reynolds, “What cybersecurity threats do generative AI chatbots like ChatGPT pose to lawyers?”, ABA Journal, 21 juin 2023, https://www.abajournal.com/web/article/what-cybersecurity-threats-do-generative-ai-chatbots-like-chatgpt-pose-to-lawyers

^[24] Réf. préc., note 23

^[25] Réf. Préc., note 23

^[26] Guide Pratique Les avocats et le Réglément Général sur la Protection des Données (RGPD), mars 2018, https://www.cnb.avocat.fr/sites/default/files/2.guide_rgpd_avocats-2018_1.pdf. Voir en particulier la Fiche n°8 « Bonnes pratiques de sécurité des données ».

^[27] J. Goldsmith et B. R. Temkin, “When should law firms notify clients about data breaches?”, ABA, Business Law Section, novembre 2020, https://www.americanbar.org/groups/business_law/resources/business-law-today/2020-november/when-should-law-firms-notify-clients/