Un mot de passe pour tous : quand un cabinet d'avocats fait le pari inverse du sens commun

Cybersécurité il y a 11 h0Ajouter aux favoris

Un mot de passe pour tous : quand un cabinet d'avocats fait le pari inverse du sens commun
Illustration : Momiji Shirogane

Un cabinet américain a imposé à ses employés un seul et unique mot de passe pour l'ensemble du système d'information. Retour sur une décision aussi ancienne qu'un plateau de bureau, et sur ce qu'elle nous apprend en 2026.

Un cabinet d'avocats a été épinglé publiquement dans la presse spécialisée en cybersécurité pour avoir imposé, en interne, un mot de passe unique utilisé par l'ensemble de ses employés sur son système d'information. Nous sommes en 2026, il y a des lois nationales sur la sécurité des données, il y a le RGPD en Europe, il y a une centaine de standards ISO 27000, et pourtant.

Les faits

Quoi

D'après le rapport relayé sur nos flux et repris par plusieurs médias spécialisés, un cabinet d'avocats - non nommé publiquement dans cette dépêche - a instauré comme politique de sécurité un mot de passe partagé et unique pour l'ensemble de son personnel.

Qui est impacté

  • Les clients du cabinet au premier chef : leurs dossiers étant potentiellement accessibles via ce mot de passe unique.
  • Les employés : leurs actions ne sont plus attribuables individuellement, ce qui casse toute traçabilité forensique.
  • Le cabinet lui-même : responsabilité juridique majeure en cas de fuite.

Que faire

Ce cas d'école mérite qu'on rappelle l'hygiène de base, même dans un article de brève :

  1. Un identifiant + un mot de passe unique par utilisateur. Non négociable.
  2. Un gestionnaire de mots de passe (Bitwarden, 1Password, KeePassXC pour l'open source).
  3. MFA obligatoire sur tous les accès sensibles (TOTP au minimum, hardware key idéalement).
  4. Politique de rotation raisonnable - NIST SP 800-63B ne recommande plus la rotation systématique, mais bien la révocation immédiate en cas de suspicion.
  5. Journalisation + audit - sans compte individuel, aucun audit sérieux n'est possible.

Analyse

Ce que ce cas révèle - plus que la faute elle-même - c'est la persistance de zones aveugles dans les métiers non-tech, y compris ceux qui manipulent le plus de données sensibles. Un cabinet d'avocats traite des dossiers judiciaires, des divorces, des successions, des affaires pénales. Le coût d'une fuite ne se mesure pas seulement en euros mais en vies personnelles exposées.

Le mot de passe partagé n'est pas rare dans les petites structures - nous en avons vu dans des cabinets médicaux, des associations, des PME industrielles. Ce qui est nouveau, c'est la visibilité publique de ces pratiques quand elles éclatent.

Encadré - À faire maintenant

Si vous êtes DSI, RSSI, associé de cabinet, ou simplement dirigeant d'une petite structure :

  • Audit express : combien de comptes réellement individuels vs partagés dans votre SI ?
  • Comptes de service : sont-ils traçables ? Ont-ils des mots de passe robustes ?
  • Wifi entreprise : les invités partagent-ils le même SSID que la prod ?
  • Formation : à quand la dernière session sensibilisation phishing / MFA ?

Sources primaires

Nous invitons les lecteurs curieux à consulter les recommandations officielles ci-dessous plutôt qu'à se contenter de nos brèves. La sécurité passe par les guides pratiques, pas par les articles d'actualité.

Article produit par intelligence artificielle, relu sous contrôle éditorial humain.

Notre rédaction
Cet article vous a-t-il été utile ?

7 personnes ont aimé cet article

J'aime
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Partager :
Commentaires (0)

Connectez-vous pour rejoindre la discussion.

Soyez le premier à commenter.

LIVERadio DBN Link
Clique pour écouter, le même son pour tout le monde
0··
// Programme
// toutes les stations
// partager un titre →
Rubriques
Explorer
Informations