La Cour supérieure du comté de Los Angeles victime d’une attaque par ransomware : défaillance de sécurité ou réussite ?

La récente attaque par ransomware menée contre le système de la Cour supérieure du comté de Los Angeles a fait l’objet d’une large couverture médiatique et, dans l’ensemble, tout le monde s’accorde à dire qu’elle a été dévastatrice. 

Mais est-ce vraiment le cas ? Il y a encore beaucoup de choses que l’on ignore. Mais d’après ce que l’on sait, on peut faire valoir que la Cour a détecté l’attaque et y a répondu avec brio, ce qui a minimisé les dommages et a permis un prompt rétablissement et un retour rapide à des opérations normales.

Les faits 

Tout d’abord, nous savons que la Cour supérieure du comté de Los Angeles est le plus grand tribunal de première instance du pays, avec 36 palais de justice répartis dans tout le comté. En 2022, plus d’un million d’affaires ont été déposées auprès du tribunal et 2 200 procès devant jury ont été menés. 

D’après les déclarations du tribunal, l’attaque a eu lieu le 19 juillet 2024. Dès qu’elle a détecté l’attaque, la division des services technologiques de la cour a désactivé ses systèmes réseau afin de limiter les dommages et les pertes.

Le 19 juillet était un vendredi. Le lundi 22 juillet, la Cour a été fermée. Le mardi 23, les 36 tribunaux du système étaient de nouveau ouverts et de nombreux systèmes et applications en ligne de la Cour fonctionnaient, mais certainement pas tous. Par exemple, le dépôt électronique n’était disponible que pour les « documents initiant une affaire », mais il n’était pas possible de déposer de nouveaux documents pour les affaires en cours.

LACourtConnect, la plateforme de la Cour pour les comparutions à distance, n’était pas encore fonctionnelle, mais le centre d’aide et d’autres parties du site Web de la Cour étaient disponibles. Dès le lendemain, le 24 juillet, les comparutions à distance via LACourtConnect étaient disponibles pour les affaires civiles, mais pas pour les autres types d’affaires.

Le reste de la semaine, de nouvelles applications et ressources ont été rétablies, jusqu’au lundi suivant, le 29 juillet, date à laquelle la Cour a annoncé que tous les systèmes destinés au public étaient de nouveau fonctionnels.

Ce que nous ignorons

Plus important encore, nous ne savons toujours pas si la Cour a payé une rançon pour résoudre l’attaque, car elle a jusqu’à présent refusé de répondre.

Nous ne savons pas non plus quelles étaient les ressources en matière de cybersécurité dont disposait la Cour au moment de l’attaque. 

Comme l’ont souligné certains observateurs, les tribunaux et autres organisations gouvernementales municipales et locales ont été fortement ciblés par les escrocs de ransomware. En effet, c’est quelque chose que nous avons couvert dans cet espace à plusieurs reprises au cours des dernières années, par exemple ici, ici et ici.

Des « investissements conséquents » dans la cybersécurité

L’une des raisons pour lesquelles elles constituent des cibles de choix est que leurs défenses ont tendance à être moins solides que celles de nombreuses organisations privées, ce qui est généralement dû à un manque de financement.

Cependant, comme l’a souligné la présidente de la Cour, Samantha P. Jessner, dans ses déclarations, la Cour a réalisé de « gros investissements » dans la cybersécurité ces dernières années, ce qui, selon elle, explique en partie la rapidité avec laquelle elle a contenu l’attaque du 19 juillet et s'est rétablie.

Bien que la Cour ne soit pas un client de Barracuda, il est tout à fait possible que ces investissements en matière de cybersécurité aient inclus une backup avancée, une détection et une réponse étendues (XDR), des contrôles d’accès zero-trust et/ou d’autres solutions modernes qui ont fait leurs preuves dans l’accélération de la détection et la réponse aux attaques par ransomware. 

Mais le fait que la Cour ait pu reprendre ses activités quatre jours seulement après l’attaque, et qu’elle se soit complètement rétablie au bout de 11 jours, laisse penser que son infrastructure de cybersécurité était assez solide. Des attaques similaires contre d’autres municipalités ont souvent perturbé les opérations pendant des semaines, voire des mois. 

Des perturbations, mais pas de dévastation

De toute évidence, cette attaque a perturbé les organisations et les particuliers ayant des affaires auprès de la Cour pendant les 11 jours nécessaires au rétablissement complet des systèmes. Et les comités de rédaction ont raison de demander plus de détails et de responsabilités concernant l’attaque et la réponse de la Cour.

Mais dans le contexte plus large de la vague d’attaques contre le système municipal de ces dernières années, nous devons reconnaître que le résultat aurait pu être bien pire et que les perturbations du système juridique du comté de Los Angeles auraient pu durer bien plus longtemps. 

Dans ce contexte, je pense qu’il est très probable que lorsque nous en saurons plus, cet épisode sera considéré comme la preuve que les organisations municipales et locales ont répondu efficacement aux pressions exercées pour accroître les investissements dans la modernisation de leur technologie, de leur formation et de leur personnel en matière de cybersécurité.