Nancy · 03 72 61 04 67 WhatsApp
Cybersécurité

Secret professionnel et cybersécurité : pourquoi les cabinets d'avocats sont dans le viseur

·Par Sébastien Rattanatay
Cabinet d'avocats sécurisant le secret professionnel face aux attaques ciblées documentées par l'ANSSI

Janvier 2022. Un cabinet d’avocats de Caen voit 9 000 documents publiés sur le dark web : certificats médicaux, passeports, convocations judiciaires, mots de passe en clair. À l’origine, un simple phishing dans la messagerie d’un collaborateur. Le groupe LockBit, qui prétendait avoir piraté le ministère de la Justice, exploitait en réalité une victime collatérale. Une PME du droit, comme tant d’autres.

Cette affaire n’est pas isolée. L’ANSSI a publié en juin 2023 un rapport spécifique sur les cabinets d’avocats. Verdict : votre profession est devenue une cible privilégiée des attaquants, et la dématérialisation accélère le mouvement. La question n’est plus de savoir si votre cabinet est exposé. Elle est de savoir où sont les failles, et combien de temps il vous reste avant qu’un attaquant ne les trouve avant vous.

Cet article décrit l’état réel de la menace pour les avocats et notaires du Grand Est, ce que dit l’alerte ANSSI, et ce que recommande YSY ONE pour protéger l’infrastructure technique du secret professionnel.

Pourquoi les cabinets d’avocats sont devenus une cible prioritaire

Pourquoi vos données ont une double valeur

Un cabinet d’avocats détient deux types de données qui intéressent les cybercriminels. D’abord, les données personnelles et patrimoniales des clients : pièces d’identité, RIB, avis d’imposition, certificats médicaux. Exactement le matériel d’usurpation d’identité qui se monnaie sur les places de marché clandestines. Ensuite, les dossiers stratégiques : contentieux, fusions-acquisitions, négociations confidentielles, secrets industriels. Cette deuxième catégorie attire les attaquants étatiques et la concurrence économique.

L’ANSSI le formule sans détour dans son rapport CERTFR-2023-CTI-004 : l’exposition des cabinets s’explique par leur accès à des données sensibles, mais aussi parce qu’ils traitent avec des clients que des attaquants pourraient chercher à atteindre. Votre cabinet est donc une porte d’entrée vers vos clients.

12+ compromissions documentées par l’ANSSI depuis 2017

Depuis 2017, l’agence a constaté la compromission d’une douzaine de cabinets d’avocats français par rançongiciel. Le chiffre est probablement sous-évalué : seules les attaques signalées entrent dans les statistiques officielles.

Le contexte général va dans le même sens. 67 % des entreprises françaises ont été victimes d’au moins une cyberattaque en 2024, contre 53 % en 2023, selon le bilan Advens. L’ANSSI a comptabilisé 144 compromissions par rançongiciel signalées sur l’année. Dans ce volume, les cabinets juridiques pèsent peu en nombre, mais lourd en sensibilité.

Un cabinet d’avocats peut-il vraiment être victime d’un ransomware ?

Oui, et plus souvent qu’on ne le croit. Le profil typique : un collaborateur clique sur une pièce jointe piégée, le rançongiciel se propage en quelques minutes, les fichiers sont chiffrés, une rançon est demandée. Le cabinet de Caen visé par LockBit en 2022 entre exactement dans ce schéma. L’attaque a démarré sur un simple phishing.

Ce que dit vraiment le rapport ANSSI de juin 2023

Trois menaces identifiées : rançon, espionnage, déstabilisation

Le rapport consacre une section à chacune des trois grandes catégories d’attaque. Les attaques à but lucratif dominent : rançongiciels, doubles extorsions (chiffrement + menace de publication), arnaques au virement. Les opérations d’espionnage informatique ciblent les dossiers stratégiques pour le compte d’États ou de concurrents économiques. Les opérations de déstabilisation visent à nuire à la réputation d’un client ou d’un cabinet via la divulgation de pièces sensibles.

La numérisation comme facteur d’aggravation

L’ANSSI constate que la surface d’attaque des cabinets ne cesse de s’étendre. La cause tient en un mot, numérisation. RPVA, e-barreau, plateformes de signature électronique, cloud, télétravail post-Covid, AAE pour les notaires, applications métier accessibles depuis un smartphone. Chaque outil ajoute une porte d’entrée potentielle. Et chaque porte mal verrouillée devient un risque pour le secret professionnel.

Quelles recommandations l’ANSSI formule-t-elle ?

Le rapport détaille 30 recommandations classées par priorité, comme le résume Dalloz Actualité. Les fondamentaux : authentification multifacteur (MFA) sur tous les accès, sauvegarde externalisée et testée, journalisation des accès administrateurs, chiffrement des postes nomades, sensibilisation des collaborateurs au phishing. Aucune de ces mesures n’est exotique. La plupart manquent pourtant dans les cabinets que YSY ONE diagnostique en première visite.

Trois affaires qui ont changé la donne

LockBit / Caen 2022, ou comment 9 000 documents ont fini sur le dark web

Le 10 février 2022, le groupe LockBit annonce avoir piraté le ministère de la Justice. L’enquête démontre rapidement le contraire. Les 9 000 documents publiés appartiennent à un cabinet d’avocats de Caen : certificats médicaux, passeports, convocations judiciaires, chefs d’accusation, mots de passe en clair, comme le rapporte Le Monde Informatique. À l’origine, un phishing dans la messagerie d’un collaborateur.

L’enseignement tient en trois mots : un seul clic suffit. La technicité de l’attaque est faible. La rigueur côté défense doit être permanente.

83 offices notariaux espionnés par leur propre prestataire IT

En mars 2024, la Chambre des notaires d’Ille-et-Vilaine donne l’alerte : un logiciel espion a été détecté sur les postes de plusieurs offices. L’enquête, transférée au parquet de Nantes, identifie rapidement une petite société informatique de Loire-Atlantique. Le procédé tient en une ligne : une règle de redirection email installée à l’insu des clients, qui copiait les échanges vers les serveurs du prestataire. Plus de 80 offices notariaux seraient concernés.

L’affaire est jugée à Nantes. La leçon dépasse le cas individuel. La confiance envers un prestataire IT s’entretient, et elle se démontre par la traçabilité plutôt que par la parole donnée.

Pourquoi ces cas concernent aussi votre cabinet

Le cabinet de Caen et les offices nantais ne sont pas des grands réseaux internationaux. Ce sont des structures de taille modeste, géographiquement ancrées, comme la majorité des cabinets de Nancy, Metz et du Grand Est. Ce que les attaquants cherchent, c’est une opportunité. La taille importe peu. Une infrastructure mal supervisée, un prestataire non audité, un VPN bricolé : autant de signaux qu’un attaquant repère en quelques heures.

Le secret professionnel à l’épreuve du numérique

Article 66-5 : une obligation absolue, mais qui couvre l’infrastructure ?

L’article 66-5 de la loi de 1971 protège l’ensemble des correspondances entre l’avocat et son client. Le secret professionnel est absolu, illimité dans le temps et opposable à tous. La déontologie est claire, la technique l’est moins. Quand la correspondance passe par un serveur de messagerie hébergé chez un éditeur, par un VPN configuré par un prestataire externe, par un poste portable connecté au Wi-Fi d’un hôtel, qui est responsable de la barrière technique ? Le bâtonnier le rappelle régulièrement : la responsabilité reste celle de l’avocat.

Le guide cybersécurité du CNB d’octobre 2023 et ses obligations concrètes

En octobre 2023, le Conseil National des Barreaux publie son guide cybersécurité, accessible aux 74 000 avocats français. Le document compile des fiches pratiques sur la gestion de l’authentification, la gestion des autorisations d’accès, la sécurité des équipements, la sauvegarde des données, le télétravail et les communications sécurisées. Le ton est pédagogique mais la direction est claire : un cabinet qui ne s’aligne pas sur ces recommandations s’expose à un risque déontologique en plus du risque opérationnel.

RPVA, e-barreau, clé Avocat : les outils métier ne suffisent pas

La clé RPVA, fabriquée par CertEurope sous contrôle CNB, repose sur un certificat cryptographique unique, une authentification à deux facteurs et un chiffrement AES-256. Sa validité est de 3 ans. La clé sécurise les échanges avec les juridictions et l’accès aux services e-Barreau. Elle ne sécurise rien d’autre. Votre messagerie, votre logiciel métier (Secib, Kleos, Jarvis Legal), votre VPN télétravail, votre serveur local, votre sauvegarde : ce périmètre dépasse la clé RPVA et reste sous la responsabilité du cabinet.

Confier son infrastructure à un prestataire viole-t-il le secret pro ?

Non, à condition que le prestataire intervienne sur l’infrastructure et non sur le contenu des dossiers. Maintenance, supervision, sauvegarde, sécurité : ces missions n’imposent aucun accès aux fichiers métier. Un contrat solide doit prévoir des clauses de confidentialité renforcées, une traçabilité complète des accès administrateurs, un hébergement France et un droit d’audit. Un prestataire qui refuse ces clauses ou ne sait pas en justifier la mise en œuvre ne devrait pas accéder à votre cabinet.

Les 5 failles qu’on retrouve dans la plupart des cabinets

Mots de passe partagés et absence de MFA

Une boîte mail commune au secrétariat. Un mot de passe Wi-Fi affiché en salle de pause. Aucune authentification multifacteur sur la messagerie. C’est la première porte ouverte que repèrent les attaquants. La parade existe depuis dix ans : un coffre-fort de mots de passe et un MFA généralisé.

Sauvegardes non testées (ou inexistantes)

« On a une sauvegarde quelque part. » Le quelque part est généralement un disque dur USB connecté au serveur, ou un cloud paramétré il y a cinq ans. Personne n’a jamais testé une restauration. Une sauvegarde non testée est une sauvegarde supposée. Le jour où le ransomware frappe, vous découvrez sa fiabilité réelle.

Accès distant fragile, VPN bricolés post-Covid

Le télétravail s’est installé en 2020 dans l’urgence. Beaucoup de cabinets fonctionnent encore avec les configurations VPN de cette époque : pas de MFA, postes personnels non chiffrés, RPVA en accès distant non supervisé. Une seule machine compromise donne l’accès à tout le serveur du cabinet.

Prestataire IT généraliste qui ne connaît ni RPVA, ni Secib, ni Kleos

« Je leur dis clé Real ou RPVA, ils me regardent avec des yeux ronds. » Phrase entendue régulièrement en diagnostic. Un prestataire qui ne connaît pas les outils métier oriente mal les choix d’infrastructure et perd un temps précieux à chaque incident.

Aucune traçabilité des accès administrateurs

Personne ne sait qui se connecte, quand, sur quoi. C’est précisément ce qui a permis l’affaire des 83 offices notariaux. La traçabilité est une obligation contractuelle minimale, pas une option de confort.

Notre approche cybersécurité couvre ces failles avec une supervision proactive, et notre sauvegarde externalisée ajoute une garantie de restauration testée chaque mois.

Comment sécuriser votre cabinet sans bouleverser le quotidien

Le diagnostic comme point de départ

Une heure trente, sur site ou en visio. Un état des lieux complet : qui accède à quoi, où sont les sauvegardes, comment se passent les accès distants, quel est l’état des postes. À l’issue, un plan d’action priorisé et chiffré. Pas d’engagement, pas de jargon. Le coût habituel d’un audit de ce type est de 500 €. Chez YSY ONE, il est offert à l’issue d’un échange de qualification.

Infrastructure vs application, ce que YSY ONE couvre en plus

Votre éditeur (Secib, Kleos, Jarvis) sécurise son application et l’hébergement de ses données. YSY ONE sécurise tout le reste : postes, réseau, messagerie, sauvegardes, accès distants, supervision, contrats RGPD. Les deux périmètres sont complémentaires. Aucun ne remplace l’autre.

Nos formules démarrent à 39 € par utilisateur et par mois (Essentiel) et incluent dès la formule Standard à 59 € la supervision proactive, la protection EDR et la sauvegarde testée.

Questions fréquentes

Quel coût pour sécuriser un cabinet de 10 avocats ?

Sur la formule Standard (recommandée), comptez 59 € HT par utilisateur et par mois, soit 590 € HT mensuels pour 10 postes. Cette enveloppe couvre support illimité, supervision proactive, EDR, sauvegarde et patch management. Comparez à l’amende CNIL de 6 000 € prononcée contre un cabinet pour défaut de sécurité, ou aux jours d’arrêt après un ransomware.

YSY ONE accède-t-il au contenu de mes dossiers clients ?

Non. YSY ONE intervient sur l’infrastructure (postes, réseau, sauvegarde, supervision), pas sur le contenu métier. Les accès administrateurs sont journalisés, le contrat inclut des clauses RGPD et de confidentialité renforcées. Vous gardez la main sur qui voit quoi.

Mes données restent-elles hébergées en France ?

Oui. La supervision YSY ONE et les sauvegardes externalisées s’appuient sur des infrastructures hébergées en France. Aucune donnée du cabinet ne quitte le territoire. Cela couvre l’exigence RGPD et l’attente déontologique d’éviter les hébergeurs hors UE.

Quelles clauses contractuelles proposez-vous sur la confidentialité ?

Le contrat YSY ONE intègre confidentialité renforcée, hébergement France, traçabilité des accès administrateurs, droit d’audit et procédure de notification en cas d’incident. Les associés peuvent et doivent le faire relire ligne par ligne. C’est précisément le réflexe attendu d’un juriste, et il est bienvenu.