Attaques informatiques : les avocats vulnérables

« En informatique, je suis d’une incompétence absolue : ouvrir un mail, c’est pour moi un exploit. » Ainsi s’exprime avec humilité Me Jean-Marc Delas, l’une des personnalités du monde du droit victime la semaine passée d’une attaque informatique. Celle-ci a mis en émoi la justice parisienne. Outre Me Delas, l’un des avocats du sulfureux Alexandre Djouhri, de nombreuses personnalités sensibles – le nombre précis n’a pas été communiqué – ont été touchées : des magistrats du parquet national financier, la juge d’instruction Aude Buresi, et même le procureur de Paris, Rémy Heitz. Ce dernier n’avait toutefois pas cliqué sur la pièce jointe vérolée contenue dans le mail d’hameçonnage. Le message imitait la réponse d’un correspondant pour gagner la confiance du destinataire.

Mais, si dans un premier temps les professionnels du droit ont pu se sentir visés, d’autres administrations, comme le ministère de l’intérieur, ont dans un second temps fait part également de leur inquiétude à propos de l’attaque informatique. « La cible est plus vaste que le seul tribunal judiciaire de Paris, c’est le système d’information de l’État dans son ensemble qui est sur le pont », précise le parquet de Paris à Dalloz actualité. Les investigations confiées par le parquet à la DGSI privilégient aujourd’hui la piste du malware Emotet. Selon le cyberpompier de l’État, l’ANSSI, ce cheval de Troie bancaire s’est transformé en un distributeur de codes malveillants – par exemple les dangereux rançongiciels.

Les avocats vulnérables

Dans le monde du droit, les avocats sont particulièrement vulnérables à ces attaques informatiques. En cause, une sensibilisation parfois trop faible et l’absence de support direct de l’État, contrairement aux magistrats. « Il y a un vrai angélisme de la part des avocats », regrette Éric Le Quellenec. « Si le sujet est pris au sérieux dans les grands cabinets, comme les big five, avec un vrai responsable de la sécurité informatique, dans les petits cabinets, on pense souvent qu’avoir activé l’antivirus et Windows defender suffit », poursuit ce membre du conseil de l’ordre du barreau de Paris, en charge du numérique. Le juriste cite ainsi des confrères qui laissent leurs sessions ouvertes sur leurs ordinateurs sans les verrouiller ou cet avocat qui s’était fait pirater, il y a quelques années, des dossiers clients transférés sur un site de stockage depuis un cybercafé. Si le coffre-fort des avocats, le réseau privé virtuel (RPVA), est solide, tout comme les logiciels de gestion professionnels, les services grands publics gratuits pouvant être utilisés sont eux source de vulnérabilités.

Selon la presse, les cabinets Cornet Vincent Ségurel ou Puzzle ont été récemment victimes d’une attaque informatique. Pourtant, le barreau de Paris est seulement saisi une poignée de fois par an d’intrusions intempestives. « Mais nous pensons que la réalité est bien plus grande », précise Éric Le Quellenec. Un problème qui pourrait devenir très épineux, en témoigne l’énorme rançon (42 millions de dollars) demandée au printemps dernier au cabinet new-yorkais Grubman Shire Meiselas & Sacks. Faute d’un paiement, les cybercriminels ont mis aux enchères les données confidentielles de ce cabinet comptant de nombreux clients dans l’industrie du spectacle.

Après avoir réalisé qu’il était victime d’une cyberattaque, Me Delas a demandé à son prestataire de remettre d’équerre l’informatique du cabinet, ce qui a empêché l’avocat d’avoir accès à ses contacts pendant une journée et demie. Les avocats français ont l’obligation de notifier à la CNIL les cas d’intrusion informatique avérée concernant des personnes physiques. Ils doivent également informer leurs clients quand la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour leurs droits et libertés. De même, il est conseillé de prévenir son assureur. Même si le risque informatique n’est pas spécifiquement couvert, la responsabilité civile peut couvrir le délai de procédure manqué. Enfin, le juriste doit prévenir l’ordre car il peut y avoir une atteinte au secret professionnel.

« Il faudrait un module d’enseignement sur ce sujet de plusieurs heures dès l’école des avocats », observe Éric Le Quellenec, qui planche en ce moment sur le lancement, à l’automne, d’actions de formation pour les avocats de l’ordre de Paris. Autre piste pour améliorer la sécurité informatique des robes noires parisiennes ? La négociation de partenariats avec ces prestataires pour mettre en place des outils de protection informatique à des prix négociés. Enfin, l’avocat conseille l’achat d’une assurance complémentaire cybersécurité d’un coût de l’ordre de 20 à 30 € par mois.