Le droit… victime d’un ransomware mal géré
C’est un comble : DDP Law, cabinet d’avocats spécialisé dans le droit pénal et les affaires sensibles au Royaume-Uni, vient d’écoper d’une amende de 60 000 livres sterling infligée par l’Information Commissioner’s Office (ICO). En cause ? Une violation massive de données après une attaque par ransomware, mal anticipée et surtout… mal gérée.
La leçon est claire : même ceux censés maîtriser la loi peuvent trébucher sur la cybersécurité.
🎯 Contexte : une attaque classique, des erreurs évitables
Retour en 2022 : le cabinet est victime d’un ransomware. L’attaque chiffre les serveurs et exfiltre plus de 32 Go de données sensibles, comprenant des dossiers clients, des notes internes, des preuves judiciaires, et des identités protégées.
Mais ce n’est pas l’attaque elle-même qui a valu la sanction. C’est la manière dont elle a été gérée :
- Aucune notification immédiate aux autorités,
- Délai de 43 jours avant d’alerter l’ICO,
- Failles de sécurité techniques connues et non corrigées,
- Comptes obsolètes avec droits d’admin toujours actifs.
💣 RGPD : ce que DDP Law a violé
L’ICO a pointé une série de manquements graves :
- Article 32 : absence de mesures techniques et organisationnelles appropriées,
- Article 33 : non-respect du délai de notification de 72 heures après découverte de la violation,
- Principe de minimisation et de conservation : données stockées sans justification, pas de purge active.
En résumé, un non-respect quasi total des bonnes pratiques minimales en matière de données personnelles.
👩⚖️ Pourquoi c’est grave
DDP Law n’est pas un site e-commerce ou une PME industrielle. C’est un cabinet d’avocats gérant :
- Des dossiers pénaux,
- Des personnes sous protection judiciaire,
- Des enfants, victimes, témoins, etc.
La sensibilité des données est extrême. Les conséquences d’une fuite sont donc potentiellement irréparables, tant pour les individus concernés que pour la justice.
🧠 Ce que dit l’ICO
Dans son rapport, l’ICO déclare :
« Il est inacceptable qu’une organisation juridique, consciente des obligations légales, ne mette pas en œuvre les bases de la sécurité informatique. L’impact potentiel de cette violation est majeur. »
Le ton est posé, mais ferme. Le message est clair : nul n’est au-dessus du RGPD, pas même les juristes.
🔐 Leçons pour toutes les professions sensibles
- Auditer régulièrement les droits et les comptes obsolètes (principe du moindre privilège),
- Documenter les procédures de notification en cas d’incident,
- Prévoir un plan de continuité numérique (et papier),
- Faire appel à des prestataires SSI pour auditer, former, tester,
- Sensibiliser les équipes, même juridiques, aux risques informatiques.
📉 Ce que ça dit du paysage actuel
Cette affaire montre que le RGPD n’est pas une menace théorique : il commence à sanctionner concrètement les structures négligentes, même de petite taille (DDP Law a moins de 50 employés). Et ça ne va faire que s’amplifier.
La protection des données n’est plus un sujet IT, mais bien un enjeu stratégique, légal et réputationnel.
🧠 En résumé
- DDP Law a été condamné à 60 000 £ d’amende par l’ICO,
- Suite à une attaque par ransomware mal gérée,
- Retard de notification, défauts de sécurité élémentaires, données ultra sensibles,
- Une mise en garde pour tous les professionnels du droit (et pas que).
📢 Pas de droit à l’erreur… même dans le droit
Cette affaire est un symbole : il ne suffit pas de connaître la loi, il faut aussi savoir l’appliquer à ses propres systèmes d’information. Et en matière de cybersécurité, le RGPD est clair : pas de pardon pour la négligence.
👉 En 2025, une bonne défense juridique commence par une bonne défense numérique.
