Les conseils de l’ANSSI pour renforcer la cybersécurité des avocats

L’exposition des cabinets d’avocats au risque informatique est déjà bien documentée (Dalloz actualité, 20 sept. 2010, obs. G. Thierry). C’est une cible particulièrement attractive pour les cybercriminels, que ce soit pour dérober des données sensibles ou pour toucher par rebond ses clients. Autant de constats qui ont incité l’Agence nationale de la sécurité des systèmes d’information (ANSSI) à publier un rapport synthétisant l’état de la menace pesant sur ces juristes. Si cette administration publie régulièrement des analyses du même genre, c’est la première fois qu’elle réalise l’exercice pour un secteur précis.

Le résultat est un document de vingt-deux pages qui mixe constats et recommandations, des préconisations qui viennent appuyer les efforts de sensibilisation déjà lancés par la profession – une feuille de route cybersécurité (Dalloz actualité, 23 janv. 2023, obs. G. Thierry) avait été présentée l’hiver dernier par la commission numérique du Conseil national des barreaux (CNB).

L’ANSSI rappelle ainsi d’abord le type d’attaques susceptible de viser des avocats. Ces derniers peuvent être ciblés par des rançongiciels, ces programmes malveillants qui chiffrent vos données pour vous extorquer une rançon. Il y a deux ans, sept cabinets ont ainsi été victimes d’une tentative d’extorsion par les cybercriminels d’Everest, touchés après la défaillance de leur prestataire d’infogérance. Ce qui avait entraîné la diffusion de pièces des dossiers d’instruction de l’attentat de Charlie Hebdo et de l’assassinat de Samuel Paty.

Des cabinets particulièrement exposés

Mais les cabinets d’avocats peuvent être également ciblés à des fins d’espionnage, qu’il soit économique ou à visée stratégique. « Les cabinets disposant de filiales à l’étranger, traitant avec des entreprises étrangères, ou engagés dans des litiges impliquant des organisations de gouvernements conduisant des attaques informatiques, sont considérés comme particulièrement exposés », avertit l’ANSSI. Le cyberpompier de l’État souligne également à ce sujet que le recours croissant d’États aux services d’entreprises privées développant des logiciels d’espionnage – comme le programme Pegasus, qui a visiblement servi à espionner de nombreuses personnalités françaises – doit inciter les avocats à la vigilance.

Enfin, l’Agence rappelle que les avocats peuvent être visés à des fins de déstabilisation, par exemple en leur volant des données sensibles diffusées ensuite sur la place publique. Ce genre d’opération peut se solder par « un véritable impact négatif sur l’activité et la réputation » des cabinets.

Trente recommandations

Outre ce panorama de la menace, le rapport de l’ANSSI détaille trente recommandations à mettre en œuvre pour muscler sa cybersécurité. Le cyberpompier préconise tout d’abord de mener une analyse des risques, de faire un inventaire de ses données métier – une façon notamment d’identifier les données les plus sensibles – de faire régulièrement des sauvegardes hors ligne, de prévoir un mode d’organisation dégradé, en cas d’indisponibilité de son informatique, de surveiller systématiquement les interventions de ses prestataires, de sensibiliser les utilisateurs sur les risques et enfin de désigner un référent.

Au niveau de l’informatique elle-même, l’ANSSI suggère également une série de mesures. Parmi les préconisations les plus basiques, valables pour d’autres professions, l’Agence rappelle qu’il faut utiliser des logiciels éprouvés et à jour, définir une politique de mots de passe robustes, appliquer les mises à jour de sécurité rapidement, limiter la connexion de clés USB à celles consacrées à un usage professionnel, ou encore ne pas utiliser sa messagerie personnelle dans un but professionnel et configurer le verrouillage automatique des sessions d’un poste après une courte inactivité.

L’ANSSI préconise aussi de proscrire au travail l’usage d’équipements personnels, comme le téléphone, de configurer les comptes utilisateurs sans droit d’administration et ainsi d’interdire l’installation de logiciels par l’utilisateur. Le cyberpompier suggère en outre d’utiliser un antivirus ou les logiciels de type EDR, ces programmes de surveillance et d’analyse comportementale qui détectent les anomalies annonciatrices d’une attaque informatique, ou encore d’utiliser les fonctions de virtualisation, qui permettent de « sécuriser les usages potentiellement dangereux, comme la navigation sur internet ou l’exécution de certains programmes ».

Chiffrement

À propos du réseau privé virtuel des avocats, l’ANSSI appelle à protéger physiquement la clé matérielle et le secret d’authentification Réseau privé virtuel des avocats (RPVA). Ils ne doivent pas « être partagés ni utilisés par d’autres utilisateurs, même temporairement », rappelle l’Agence. De même, « dans la mesure du possible, il est recommandé de ne pas utiliser de mode de connexion dégradé reposant sur une authentification potentiellement vulnérable », ajoute l’administration, citant l’exemple de l’envoi d’un SMS sur le téléphone de l’utilisateur.

Les avocats sont enfin incités à utiliser pour leur accès RPVA un navigateur distinct de celui qui permet de surfer sur internet. Cette façon de procéder permet par exemple de mettre en place une configuration plus sécurisée sur le navigateur servant à accéder au RPVA, laissant le second dans une configuration « plus permissive », facilitant l’exploration du web.

Les dernières recommandations de l’ANSSI sont relatives à la protection de la confidentialité des données. Pas de surprise, ce chapitre passe par l’emploi des solutions de chiffrement, que ce soit pour chiffrer les disques durs ou les données sensibles via un logiciel dédié. De même, l’Agence préconise de chiffrer les données sensibles avant leur transmission à un tiers. Autant de recommandations qui rendent indispensable l’usage d’un logiciel de gestion de mots de passe, notamment pour ne pas avoir la tentation d’utiliser tout le temps les mêmes mots de passe, une faille majeure dans sa sécurité.

Dernières astuces de l’ANSSI sur la protection des données : l’Agence appelle les avocats à bien gérer le droit d’en connaître des différents utilisateurs d’un cabinet, d’activer les journaux d’activité de son informatique – une manière de détecter des anomalies et des actions malveillantes – d’utiliser systématiquement des filtres de confidentialité écran et de sécuriser l’usage des imprimantes, par exemple en demandant la validation par un code pin sur l’imprimante avant l’impression.