Ransomware sur un cabinet d’avocats : scénario, dilemme et recours
Double extorsion, 47 000 fichiers chiffrés, dossiers confidentiels menacés de publication. Pour un cabinet d’avocats, un ransomware est une crise déontologique autant que technique. Voici comment ça se passe concrètement.
Scénario type : ransomware avec double extorsion
Ce scénario est une reconstitution basée sur des cas documentés en France. Les noms sont fictifs. Les faits sont représentatifs.
Cabinet Moreau & Associés — 6 avocats, Lyon, spécialisé droit des affaires. Mercredi matin.
8h47 — Julie, assistante juridique, reçoit un email du « Tribunal de Commerce » demandant de télécharger un « avis d’audience modifié » en pièce jointe. L’email est parfaitement formaté avec le logo du tribunal. Elle télécharge le fichier.
9h03 — En arrière-plan, un malware commence à cartographier le réseau. Il identifie le serveur de dossiers, les postes des associés, la sauvegarde locale.
9h34 — Le chiffrement commence. En 11 minutes, 47 000 fichiers deviennent inaccessibles — dossiers clients, correspondances, actes, comptabilité.
9h47 — Sur chaque écran : « Vos fichiers sont chiffrés. 180 000 € en 72h. Sans paiement, nous publions les dossiers de vos clients sur notre site. »
Parmi les dossiers : un litige commercial impliquant une entreprise cotée, des négociations confidentielles dans une opération M&A, les conditions d’un divorce avec enjeux patrimoniaux importants. Les attaquants le savent — ils ont eu 47 minutes pour lire.
Les coûts réels d’une telle attaque
Le dilemme spécifique aux avocats
Contrairement à une PME standard, un cabinet d’avocats fait face à un dilemme déontologique particulier lors d’une attaque par double extorsion.
Ne pas payer expose les clients à la publication de leurs données confidentielles sur les sites des cybercriminels — violation potentielle du secret professionnel.
Payer finance le cybercrime, ne garantit pas la destruction des données, et peut créer des obligations déclaratives (certaines juridictions l’exigent).
La décision doit être prise avec l’assureur, un avocat spécialisé et après consultation du Bâtonnier. Elle ne doit jamais être prise seul dans l’urgence — c’est précisément ce que le cabinet doit préparer à froid, avant toute attaque.
Dès les premières minutes d’une attaque, appelez votre assureur cyber. Si vous n’en avez pas, appelez cybermalveillance.gouv.fr (0 800 200 064, gratuit). Ne payez jamais sans l’accord de l’assureur — le paiement peut invalider certaines garanties.
Ce qu’un bon contrat aurait couvert
Cellule de crise immédiate — expert mandaté en moins de 2h, décision prise avec les bons interlocuteurs.
Prestataire réponse à incident — les 18 000 € couverts intégralement.
Perte d’exploitation — les 35 000 € d’honoraires perdus indemnisés après délai de carence.
RC vis-à-vis des clients — les réclamations des clients dont les données ont été exposées, défendues et indemnisées.
Gestion crise juridique spécialisée — avocat spécialisé droit du numérique mandaté, notification CNIL accompagnée.
5 mesures qui auraient changé l’issue
- Formation trimestrielle de l’assistante au phishing — le faux email du tribunal aurait été identifié
- Double authentification sur la messagerie — les identifiants volés n’auraient pas suffi
- Sauvegarde chiffrée hors réseau quotidienne — restauration en quelques heures, pas en semaines
- Segmentation réseau serveur dossiers / postes — propagation limitée
- Contrat cyber avec cellule de crise spécialisée droit — décision éclairée dès les premières minutes
Secret professionnel et cyberattaque : vos obligations légales
Responsabilité déontologique, RGPD, notification CNIL — ce que la loi vous impose en cas de violation de données.