Flexible Security for Your Peace of Mind

Les cabinets d’avocats britanniques attaqués par des ransomwares. Comment devons-nous améliorer nos cyberdéfenses ?

Les cabinets d’avocats britanniques ont reçu un avertissement sévère dans un récent rapport du National Cyber Security Centre (NCSC) : mettez sérieusement vos cyberdéfenses à niveau ou vous risquez de vous faire voler des informations confidentielles par des gangs de ransomware.

Les chefs d’entreprise du secteur juridique acquiescent. Selon l’enquête annuelle 2022 de PwC sur les cabinets d’avocats, 78 % des 100 premiers cabinets d’avocats du Royaume-Uni déclarent être déjà « extrêmement ou quelque peu » préoccupés par les cyber risques. De plus, 90 % des cabinets reconnaissent que la cybersécurité constitue une menace majeure pour leur future croissance – l’augmentation mondiale du nombre d’attaques par ransomware étant citée comme la principale raison de mettre en place un plan solide de gestion de crise.

Pourquoi les gangs de ransomware ciblent-ils les cabinets d’avocats ?

Les attaques par ransomware sont principalement motivées par des raisons financières. Les gangs de cybercirimels savent que le droit est une activité lucrative et que le coût financier de la rançon peut sembler moindre celui de l’incapacité à travailler. Le risque d’une atteinte à la réputation suite à une violation de données très sensibles est également utilisé pour contraindre les cabinets d’avocats à payer des rançons. Bien entendu, rien n’empêche les cybercriminels de conserver des données sensibles pour les extorquer à nouveau ou les vendre sur le marché du « crime en tant que service », même si une rançon a bien été payée.

Le NCSC met également en garde contre les pirates parrainés par des États dont les motivations peuvent être plus politiques que purement financières. Selon lui, la Chine, la Russie, l’Iran et la Corée du Nord représentent tous des menaces et certaines institutions juridiques britanniques ont déjà été la cible de ransomwares perturbateurs et de vols de propriété intellectuelle. On observe également une augmentation des groupes de « hacktivistes » qui pourraient avoir recours aux ransomwares à l’encontre d’un cabinet d’avocat ou de ses clients pour des raisons idéologiques.

Malheureusement, les avocats sont également des cibles de choix pour le hameçonnage par courriel – le vecteur de diffusion le plus courant des ransomwares. Les communications numériques constantes, le télétravail et les employés pressés par le temps font qu’il est facile pour les gens de ne pas voir les signes avant-coureurs du phishing et de cliquer accidentellement sur un fichier ou un lien malveillant contenant un ransomware.

Comment se défendre contre les ransomwares ?

En 2020, une attaque par ransomware a mis hors service un certain nombre de systèmes informatiques appartenant au cabinet d’avocats pénalistes Tuckers Solicitors LLP. Les attaquants ont également exfiltré des données relatives à 60 affaires judiciaires (dont certaines en cours) et publié des détails sur le dark web. Malheureusement, certains manquements en matière de cybersécurité ont fait de Tuckers Solicitors une cible. L’ICO leur a infligé une amende de 98 000 livres sterling pour « négligence dans les pratiques de sécurité » et manquement à l’obligation de protéger les données à caractère personnel, après avoir constaté que l’entreprise avait laissé une faille non corrigée pendant cinq mois. La commission a également souligné l’absence d’authentification multifacteur (MFA) sur certains de leurs systèmes clés.

Défenses proactives :

  • Correctifs : veillez à ce que vos logiciels (en particulier les systèmes d’exploitation) soient corrigés dès que des mises à jour sont disponibles. Les cybercriminels recherchent les vulnérabilités connues, ce qui leur facilite grandement la tâche.
  • Shadow IT : faites attention aux logiciels et aux applications que les employés sont autorisés à télécharger et à utiliser. Ils peuvent être tout à fait innocents, mais ils peuvent ne pas être pris en charge et présenter des vulnérabilités.
  • Analyses de logiciels malveillants : recherchez régulièrement les logiciels malveillants à l’aide d’un logiciel antivirus afin de détecter et d’isoler rapidement les machines infectées. Les rançongiciels sont plus dangereux lorsqu’on les laisse se propager.
  • Lutte contre le phishing : le phishing est le principal mécanisme de diffusion directe de ransomwares ou de vol de mots de passe pour des systèmes clés. Les cabinets d’avocats devraient informer leurs employés sur les techniques courantes de hameçonnage et leur fournir des solutions anti-hameçonnage.

Planification du pire scénario :

  • Sauvegardes : sauvegardez régulièrement vos données importantes et assurez-vous qu’il existe un processus de restauration des fichiers. Cela permet de limiter les dégâts et d’accélérer la récupération dans les pires cas d’attaque par ransomware.
  • Stockage des données : veillez à créer des sauvegardes hors ligne, séparées de votre réseau et de vos systèmes. Les auteurs d’attaques par ransomware ciblent activement les sauvegardes afin d’augmenter les chances de paiement des rançons.
  • Plan de reprise : élaborez un plan de reprise et de continuité des activités en cas d’attaque par un ransomware ou d’un autre incident et répétez la procédure pour vous assurer qu’elle est bien comprise.
  • Plan de rançon : La position du NCSC, alignée sur celle des forces de l’ordre, est qu’il ne faut jamais payer de rançon. Il n’y a aucune garantie que vos données vous seront restituées ou que vous ne serez pas victime d’une nouvelle tentative d’extorsion. De plus, vous risquez davantage d’être pris pour cible à l’avenir si les groupes criminels savent que vous allez payer.

Renforcer la sécurité des accès

  • Principe du moindre privilège : les équipes informatiques doivent régulièrement revoir les autorisations d’accès et veiller à ce que le « principe du moindre privilège » soit appliqué, de sorte que si un compte est compromis, un pirate n’aura pas un accès étendu aux données.
  • Authentification multifacteur (MFA) : tous les employés devraient être encouragés à utiliser l’authentification multifactorielle (et celle-ci devrait être obligatoire pour les systèmes clés). Un pirate aura ainsi besoin de plus que de simples identifiants de connexion pour pénétrer votre organisation.
  • Sécurité des mots de passe : la MFA ajoute une couche de sécurité supplémentaire aux mots de passe, mais elle n’est pas infaillible – elle peut être contournée par des techniques d’attaque telles que le « MFA prompt bombarding ». Des mots de passe médiocres restent le moyen le plus facile pour un pirate d’accéder à vos systèmes.

Mots de passe compromis : une vulnérabilité négligée

Les mots de passe faibles et compromis constituent le moyen le plus simple pour les pirates d’accéder aux systèmes des cabinets d’avocats, en particulier comme l’utilisation de la MFA n’y est pas très répandue. Avec l’utilisation croissante des systèmes en nuage pour stocker des données confidentielles, les attaquants peuvent exploiter des mots de passe faibles pour l’accès initial, puis compromettre toutes sortes de données juridiques par le biais de ransomwares.

Le NCSC recommande de combiner trois mots aléatoires en une passphrase difficile à deviner par l’ingénierie sociale, suffisamment longue pour être complexe à déchiffrer, tout en étant facile à mémoriser pour les employés. Des outils tels que Specops Password Policy aident les utilisateurs à élaborer des politiques de mots de passe solides, conformes aux recommandations du NCSC, tout en les confrontant à une liste continuellement mise à jour de plus de 3 milliards de mots de passe compromis.

Effectuez un audit gratuit des mots de passe dès aujourd’hui

Vous souhaitez savoir combien de mots de passe sont réutilisés, faibles ou déjà compromis au sein de votre organisation ? Ou combien de comptes d’utilisateurs périmés sont toujours utilisés avec des privilèges d’accès très étendus ? Barrez la voie aux attaquants : téléchargez gratuitement notre solution et scannez votre Active Directory dès aujourd’hui.

(Dernière mise à jour le 31/08/2023)

Revenir sur le blog