Cybersécurité

Cybersécurité en cabinet d'avocats : menaces, obligations et plan d'action 2026.

Publié le 6 juillet 2026·12 min de lecture·Par Maxime Plasse
En bref

La cybersécurité n'est plus un sujet réservé aux grands cabinets internationaux. Selon les publications successives du CERT-FR et les alertes de cybermalveillance.gouv.fr, les professions du droit sont désormais régulièrement affectées par les mêmes vagues d'attaques que les collectivités ou le secteur santé — avec une spécificité qui rend l'enjeu particulièrement sensible : le secret professionnel absolu transforme toute fuite en incident déontologique, pas seulement en incident technique.

Cet article fait le point sur ce que doit savoir un cabinet en 2026 : pourquoi il est ciblé, quelles obligations légales pèsent sur lui, quelles mesures prioritaires mettre en place, et comment réagir en cas d'incident. L'objectif est opérationnel : donner des repères pour dimensionner un effort proportionné, sans céder ni à la panique ni au déni.

Pourquoi les cabinets d'avocats sont devenus une cible

Trois caractéristiques rendent les cabinets particulièrement rentables pour les attaquants :

À cela s'ajoute une professionnalisation croissante des groupes criminels : outillage industrialisé, ciblage sectoriel documenté, phase de reconnaissance préalable, négociation via portails dédiés. On est loin du « virus » d'il y a dix ans.

Les principales menaces en 2026

1. Le rançongiciel (ransomware) à double extorsion

Le scénario type observé : intrusion via un accès distant mal sécurisé (VPN sans MFA, RDP exposé) ou un email de phishing ; latence de plusieurs jours à plusieurs semaines pendant laquelle l'attaquant cartographie le réseau, désactive les sauvegardes accessibles, exfiltre les données ; puis chiffrement massif des fichiers et demande de rançon. La « double extorsion » consiste à menacer de publier les données exfiltrées même si la victime restaure ses sauvegardes.

2. Le phishing et le spear-phishing

Emails imitant un confrère, un client, un greffe ou un fournisseur (notamment de logiciels métier). Le spear-phishing est ciblé : l'attaquant a fait son travail, connaît le nom du dossier, cite une audience réelle. Le canal principal reste l'email, mais SMS (« smishing »), appel téléphonique (« vishing ») et messages LinkedIn se développent.

3. La compromission de compte

Mots de passe réutilisés entre services, fuites publiques revendues sur des marchés spécialisés, absence de MFA : l'attaquant se connecte simplement avec un identifiant valide. C'est la porte d'entrée la plus fréquente sur les messageries et les logiciels SaaS.

4. La fraude au faux ordre de virement

L'attaquant, ayant compromis une messagerie ou usurpé une identité, envoie au bon moment (souvent après une véritable transaction) un email avec un RIB modifié. Pour un cabinet manipulant des fonds via CARPA, l'impact peut être lourd, y compris en responsabilité civile professionnelle.

5. La perte ou le vol de matériel

Ordinateur portable oublié dans un train, téléphone perdu, disque dur volé au cabinet. Si le poste n'est pas chiffré, toutes les données lisibles sont considérées comme divulguées.

Signal d'alerte concret. Le CERT-FR et les autorités publient régulièrement des alertes lorsqu'une vague d'attaques cible un secteur. S'abonner au flux d'alertes CERT-FR (RSS ou email) coûte cinq minutes et évite d'apprendre l'attaque par la presse.

Le cadre légal et déontologique

Le secret professionnel

Le secret professionnel de l'avocat est général, absolu et illimité dans le temps (article 66-5 de la loi n° 71-1130 du 31 décembre 1971). Sa violation est pénalement sanctionnée par l'article 226-13 du Code pénal (un an d'emprisonnement, 15 000 € d'amende).

La question qui se pose désormais est celle de la faute par négligence : un cabinet qui laisse ses dossiers accessibles sans mesures raisonnables et se fait exfiltrer ses données peut voir sa responsabilité recherchée sur le terrain déontologique, civil et — plus rarement — pénal. La jurisprudence est encore en construction, mais la logique d'obligation de moyens renforcée s'installe.

Le RGPD : sécurité et notification

Deux articles structurent l'obligation :

Le voisinage avec le secret professionnel crée une articulation subtile : la notification CNIL n'a pas pour effet de lever le secret, mais elle impose de nommer les catégories de personnes concernées. Voir aussi notre guide RGPD pour les cabinets d'avocats.

La LOPMI et les rançons

La loi n° 2023-22 du 24 janvier 2023 (LOPMI) a introduit, à l'article L.12-10-1 du Code des assurances, une condition explicite : l'indemnisation par un assureur d'une somme versée en exécution d'une rançon suppose que la victime ait déposé plainte dans les 72 heures suivant la connaissance de l'infraction. Message implicite du législateur : ne pas payer, et si vous payez, tracez.

Le cadre déontologique et RIN

Le Règlement Intérieur National impose de manière générale la prudence, la diligence et la préservation du secret. Les barreaux locaux publient régulièrement des recommandations pratiques sur la sécurité des systèmes d'information — à consulter auprès de votre Ordre.

Les 10 mesures prioritaires, par ordre de retour sur investissement

La bonne façon d'aborder la cybersécurité n'est pas de vouloir « tout faire », mais de trier ce qui coûte peu et protège beaucoup. Voici l'ordre observé le plus efficace :

#MesureImpactEffort
1Authentification à double facteur (MFA) sur email, messagerie, logiciel métier, VPN, banque, CARPA, RPVA. TOTP (application) plutôt que SMS.Très élevéFaible
2Sauvegardes 3-2-1 testées : 3 copies, 2 supports différents, 1 hors-ligne ou immuable. Test de restauration au moins semestriel.Très élevéMoyen
3Chiffrement du disque des postes (BitLocker, FileVault, LUKS) activé par défaut sur tous les ordinateurs et téléphones professionnels.ÉlevéFaible
4Gestionnaire de mots de passe partagé (1Password, Bitwarden, Keeper…). Mots de passe uniques et longs, générés automatiquement, jamais dans un fichier Excel.ÉlevéFaible
5Mises à jour automatiques activées sur OS, navigateur, logiciels métier. Retirer les applications non utilisées.ÉlevéTrès faible
6Formation anti-phishing de l'équipe, y compris secrétaires et alternants. Test annuel avec faux emails.ÉlevéMoyen
7Cloisonnement des paiements : double validation pour tout virement supérieur à un seuil, vérification par appel du RIB en cas de changement.ÉlevéFaible
8Principe du moindre privilège : accès aux dossiers limité aux personnes réellement en charge, comptes administrateurs séparés des comptes usuels.MoyenMoyen
9Journalisation et alertes : conserver les logs de connexion aux systèmes principaux, alerte sur connexion depuis un pays inhabituel ou tentative anormale.MoyenMoyen
10Plan de réponse à incident écrit : qui appelle qui, dans quel ordre, avec quelles coordonnées, quelle décision. Une page suffit.Très élevé (le jour J)Faible

Les six premières mesures se déploient en pratique en quelques journées de travail, souvent avec l'aide d'un prestataire externe. Elles couvrent la très large majorité des vecteurs d'attaque grand public observés.

Ce qui n'est pas dans le top 10 (et pourquoi)

Sont volontairement absents de la liste les investissements coûteux à faible marginal pour un petit cabinet : SOC managé, DLP, EDR haut de gamme, audits de code. Ils sont utiles pour les grandes structures, mais démarrer par là revient à installer une alarme sur une porte qu'on laisse déverrouillée. L'ordre compte.

Que faire dans les 72 heures suivant un incident

Un incident cyber est un événement à haute pression temporelle. Sans plan, la première demi-journée est perdue à décider qui décide. Voici la trame recommandée par les acteurs publics et privés de la réponse à incident :

Heures 0 à 4 — Contenir

Heures 4 à 24 — Qualifier et notifier en amont

Heures 24 à 72 — Notifier CNIL et clients concernés

Ne pas payer. Position officielle de l'ANSSI, du gouvernement français et de l'ensemble des autorités européennes. Payer ne garantit pas la restitution des données, entretient l'écosystème criminel, désigne le cabinet comme cible solvable pour de futures attaques, et peut poser des questions de conformité — le paiement d'une rançon à une organisation sanctionnée pouvant, dans certains cas, être qualifié pénalement.

L'assurance cyber : utile, pas magique

L'assurance cyber s'est massivement développée pour couvrir des risques que la responsabilité civile professionnelle classique ne couvre pas ou mal :

Les primes annuelles observées pour un petit ou moyen cabinet se situent, selon les acteurs du marché, entre quelques centaines et quelques milliers d'euros. Elles sont très dépendantes du chiffre d'affaires, du niveau de garantie et surtout des mesures déjà en place : la plupart des assureurs exigent aujourd'hui MFA, sauvegardes testées et gestion des accès pour souscrire ou pour indemniser sans franchise majorée.

Bien lue, une police cyber peut être un très bon investissement. Mal lue, elle donne une fausse impression de couverture (plafonds bas, exclusions larges, délais de carence). À faire relire ligne à ligne — c'est probablement l'un des rares documents où un avocat gagnera à se faire aider par un confrère spécialisé.

Sensibilisation de l'équipe : le facteur humain reste central

Les enquêtes publiques sur les intrusions en cabinet convergent : dans une majorité des cas, la porte d'entrée est humaine — un clic sur un lien, l'exécution d'une pièce jointe, la communication d'un mot de passe. Les mesures techniques ne remplacent pas la vigilance de l'équipe.

Les pratiques qui marchent, observées chez les cabinets pilotes :

Le rôle du logiciel métier

Un logiciel de gestion de cabinet correctement conçu porte une part significative de la sécurité — c'est même l'un des principaux arguments d'un SaaS professionnel bien fait par rapport à un patchwork d'outils bureautiques.

Chez Kler, nous considérons ces briques comme le minimum, pas comme des options :

Le corollaire côté client : passer d'un stockage local et d'échanges par email vers un logiciel métier dûment sécurisé fait souvent gagner plusieurs crans de posture de sécurité, sans effort quotidien supplémentaire. Voir notre guide SaaS de gestion pour cabinets et notre méthode cabinet sans papier.

Par où commencer, concrètement

Si vous partez de zéro ou presque, une trame d'action réaliste sur 90 jours :

  1. Semaine 1 — activer le MFA partout où c'est possible (email, banque, logiciels), activer le chiffrement des postes, installer un gestionnaire de mots de passe.
  2. Semaine 2-3 — auditer les sauvegardes : où sont-elles, sont-elles à jour, sont-elles testées ? Ajouter une copie hors-ligne ou immuable si nécessaire.
  3. Semaine 4 — écrire un plan de réponse à incident d'une page (contacts prestataire, assurance, bâtonnier, CNIL) et l'imprimer.
  4. Mois 2 — session de sensibilisation d'équipe, mise à jour des règles de virement, cartographie des accès (qui accède à quoi).
  5. Mois 3 — souscription ou révision de l'assurance cyber, revue du contrat avec le prestataire IT, test de restauration de sauvegarde.

Ce n'est pas exhaustif, mais c'est actionnable, et cela couvre l'essentiel des vecteurs d'attaque observés en pratique. La suite (SOC, EDR, audit d'intrusion) devient utile ensuite, quand les fondamentaux sont solides.

Ce qu'il faut retenir

La cybersécurité en cabinet n'est ni un sujet de spécialiste ni un luxe : c'est une composante du secret professionnel. Les attaques ne sont plus l'exception, les obligations légales existent et la jurisprudence se construit. Bonne nouvelle : les mesures qui protègent le mieux sont accessibles, peu coûteuses et rapides à déployer. La difficulté n'est pas technique, elle est organisationnelle — décider par où commencer, écrire un plan, tester la sauvegarde une fois par semestre, sensibiliser l'équipe une fois par an.

Le rôle d'un bon logiciel métier est de porter une part importante de cette charge par défaut, pour que la vigilance humaine puisse se concentrer là où elle est irremplaçable.

Un cabinet sécurisé par défaut, pas par patchwork.

MFA, chiffrement, hébergement France certifié, journalisation des accès : les briques de sécurité sont intégrées à Kler, pas des options payantes.

Questions fréquentes

Les cabinets d'avocats sont-ils vraiment ciblés par des cyberattaques ?

Oui. Les rapports publics de l'ANSSI et du CERT-FR placent les professions du droit parmi les secteurs régulièrement affectés par les rançongiciels et le phishing, aux côtés des collectivités et de la santé. Données très sensibles, équipes IT limitées et forte incitation à payer pour préserver le secret professionnel font des cabinets une cible à fort ratio effort/gain pour les attaquants.

Quelles sont les obligations légales du cabinet ?

Trois strates cumulatives : secret professionnel (art. 66-5 loi 1971, art. 226-13 CP), RGPD (art. 32 sécurité, art. 33 notification 72 h), et obligations déontologiques du RIN. Pas de norme technique imposée, mais une obligation de moyens renforcée que la CNIL et la jurisprudence apprécient au regard du risque et de la sensibilité des données.

Faut-il payer une rançon ?

La position officielle française est claire : ne pas payer. Payer ne garantit rien, alimente l'écosystème criminel, expose à de futures attaques. La LOPMI conditionne d'ailleurs l'indemnisation par un assureur au dépôt d'une plainte dans les 72 heures. Restauration depuis les sauvegardes après nettoyage du réseau reste la voie recommandée.

Comment notifier une violation à la CNIL ?

Via le téléservice CNIL de notification, dans les 72 heures suivant la découverte. Notification initiale même incomplète, complétée ensuite. Registre interne obligatoire y compris pour les violations non notifiées. Information individuelle des personnes concernées si risque élevé (art. 34 RGPD).

L'assurance cyber est-elle indispensable ?

Non obligatoire mais de plus en plus recommandée. Elle couvre ce que la RCP classique ne couvre pas : gestion de crise, forensique, notification, pertes d'exploitation, rançongiciel. Les assureurs exigent aujourd'hui des mesures de base (MFA, sauvegardes) pour souscrire. Les polices sont à lire ligne à ligne avant signature.

Sources et références

Cet article a vocation pédagogique et ne constitue pas un avis juridique. Les mesures à mettre en œuvre doivent être adaptées à la taille, à l'activité et au risque du cabinet. Pour toute question sensible ou incident en cours, consulter un prestataire de réponse à incident qualifié et son bâtonnier.

MP
Maxime Plasse
Fondateur de Kler

Maxime conçoit Kler avec des cabinets d'avocats pilotes pour résoudre les frictions opérationnelles du quotidien : gestion des dossiers, interventions, facturation électronique, conventions et pilotage. Articles co-rédigés à partir des retours terrain.

LinkedIn →

À lire aussi