Cybersécurité cabinets d'avocats : 38 % frappés en 2025
38 % des cabinets d'avocats français ont subi une cyberattaque en 2025 (CNIL, Ordre des Avocats de Paris).

TL;DR les 4 vecteurs et le plan de défense

1. Pourquoi votre cabinet est devenu une cible prioritaire

Le cabinet d'avocats coche toutes les cases du criminel rationnel. Quatre éléments structurent l'intérêt grandissant des groupes ransomware et des fraudeurs au virement pour la profession en France.

Des données ultra-sensibles, couvertes par le secret professionnel

Dossiers M&A, contentieux RH, divorces complexes, droit pénal des affaires, contentieux fiscaux : la valeur d'une fuite ne se mesure pas seulement à la revente sur les marketplaces criminelles, mais surtout au levier d'extorsion qu'elle représente vis-à-vis du client et de l'avocat. Une seule pièce sensible publiée sur un Dedicated Leak Site peut suffire à faire payer la rançon.

Des mouvements financiers réguliers via CARPA et séquestre

La CARPA, les comptes séquestres, les indemnisations clients : les virements à 5 ou 6 chiffres sont une routine que ni la banque ni l'avocat ne questionnent en premier réflexe. C'est exactement le terrain de chasse de la fraude au président version cabinet : la fraude au virement.

Une concentration logicielle extrême

Trois éditeurs équipent 70 à 80 % du marché : Secib (groupe Septeo, plus de 7 500 cabinets), Lexis PolyOffice (LexisNexis), Kleos (Wolters Kluwer). Un défaut de configuration côté éditeur ou côté usage se réplique sur des milliers de cabinets en même temps.

Un sous-investissement chronique en sécurité

L'avocat est juriste, pas DSI. Sa formation initiale n'aborde ni l'EDR, ni la segmentation réseau, ni la gestion d'incident. Le prestataire IT généraliste qui équipe la majorité des petits cabinets ne fait pas de cyber. Résultat : MFA absente, mots de passe partagés, sauvegardes non testées, anti-virus comme unique protection.

Logiciels métier avocats : Secib, PolyOffice, Kleos
3 éditeurs structurent 70 à 80 % du marché : Secib (Septeo), Lexis PolyOffice, Kleos. La concentration crée le SPOF.

2. Vecteur 1 : Les logiciels métier, le maillon mutualisé

Les trois éditeurs qui dominent la profession en France structurent à eux seuls la posture de sécurité de la majorité des cabinets : Secib (groupe Septeo) avec plus de 7 500 cabinets équipés, Lexis PolyOffice (LexisNexis) avec une intégration native au RPVA, Kleos (Wolters Kluwer) sur le segment moyen et grand cabinet. À cela s'ajoutent Cicero, Diapaz, Polyacte sur des niches plus petites.

Ces logiciels sont aujourd'hui massivement hébergés en SaaS chez l'éditeur, avec accès distant par portail web ou client lourd connecté. C'est efficace pour la mobilité, mais cela ouvre des zones de faiblesse récurrentes que l'on retrouve à chaque mission :

Comptes partagés entre associés et secrétariat

Le compte « secrétariat » utilisé par 3 personnes différentes avec le même mot de passe est encore la norme dans la majorité des petits cabinets. Aucune traçabilité, aucun cloisonnement, et le départ d'une assistante laisse un accès actif six mois plus tard.

MFA non activée ou contournée

L'authentification à double facteur existe chez Secib comme chez Kleos. Elle est rarement activée par défaut, et quand elle l'est, on trouve des associés qui ont demandé sa désactivation pour des raisons de confort. Un mot de passe d'avocat compromis sur LinkedIn (et il y en a beaucoup dans les fuites publiques) ouvre alors l'intégralité du dossier client.

Accès distant via VPN éditeur mal documenté

Les connexions hors cabinet passent par des passerelles éditeur dont les avocats ignorent souvent qu'elles sont distinctes de leur firewall local. Conséquence : un poste compromis à la maison expose le logiciel métier sans que le pare-feu pro ne voie passer quoi que ce soit.

Ce que ça donne en pentest

Sur un cabinet récent : accès au compte secrétariat trouvé en 11 minutes via une fuite publique. Lecture de tous les dossiers en cours, export possible de la base clients, accès aux RIB CARPA. Compte associé compromis 40 minutes plus tard via le mot de passe partagé sur un poste assistant. Le cabinet n'a rien détecté.

3. Vecteur 2 : La fraude au virement (FOVI), le plus rentable

Schéma fraude au virement par substitution de RIB
Le schéma FOVI : compromission boîte mail, écoute du fil, swap de RIB au moment du règlement. Marseille 2025 : 120 000 €.

C'est de loin l'attaque la plus rentable et la moins détectée. Le schéma est toujours le même. L'attaquant compromet la messagerie de l'avocat (phishing classique, jeton OAuth volé, mot de passe réutilisé) ou celle du client. Il écoute en silence le fil d'un dossier de règlement, de transaction, de cession ou d'indemnisation. Au moment où le virement est attendu, il intervient par mail, depuis la vraie adresse compromise, en remplaçant le RIB. Le client (ou l'avocat) vire de bonne foi. L'argent part vers une mule à l'étranger.

Cas réel · Marseille 2025

Un cabinet marseillais reçoit ce qu'il prend pour un mail de son client demandant de modifier le RIB du règlement à venir. Le mail provient de la boîte authentique du client (piratée 3 jours plus tôt). Le virement de 120 000 € est effectué. La fraude n'est détectée que trois semaines plus tard quand le vrai client réclame son dû. Récupération bancaire partielle, contentieux assurance, atteinte à la confiance du cabinet.

Le phishing initie 60 % des attaques en France selon l'ANSSI. Sur les cabinets d'avocats, le phénomène est amplifié par l'habitude de communiquer avec de nouvelles parties à chaque dossier : confrères, magistrats, banques, notaires, experts. Un mail d'un cabinet inconnu n'éveille jamais la méfiance.

4. Vecteur 3 : Le ransomware, le plus médiatique

Le ransomware sur cabinet d'avocats est en pleine accélération depuis 2023, parce que le calcul des groupes ransomware est devenu mathématique : plus le secret est lourd, plus le payement est probable. Un cabinet d'affaires qui traite des cessions M&A, des contentieux RH sensibles, ou des dossiers de personnalités publiques n'a pas le luxe de voir ses pièces fuiter sur un Dedicated Leak Site (DLS).

Cas réel · Bordeaux 2024

Un cabinet bordelais représentant un groupe multinational est compromis via un mail piégé ouvert par un collaborateur. Le ransomware chiffre les serveurs et exfiltre 240 Go avant. La rançon demandée est de 2 M€. Faute de backups exploitables, le site web tombe trois jours, des contrats confidentiels apparaissent sur le DLS du groupe ransomware, et le cabinet finit par négocier. Coût total estimé : plus de 3,5 M€ rançon incluse, hors préjudice d'image.

La triple peine du ransomware sur cabinet est unique. Violation du secret professionnel (article 226-13 du Code pénal et déontologie CNB), qui peut déclencher la responsabilité pénale personnelle de l'avocat. Engagement de la responsabilité civile professionnelle si un client subit un préjudice direct (et il en subit toujours un quand son contrat de cession est en ligne). Paralysie totale de l'activité : sans accès à Secib ou PolyOffice, le cabinet ne peut plus déposer, plaider, facturer. 80 % des cabinets ransomés en 2026 n'ont pas de sauvegarde réellement exploitable.

5. Vecteur 4 : Le RPVA et e-Barreau, la passerelle sous-estimée

Le Réseau Privé Virtuel des Avocats est techniquement solide. Authentification forte par clé USB à certificat, chiffrement AES-256, et passerelle dédiée vers les juridictions. Le maillon faible n'est pas la techno, c'est l'usage.

En pratique sur le terrain : la clé RPVA reste branchée toute la journée sur le poste de l'avocat, qui s'éloigne du bureau sans la retirer. Elle est parfois partagée avec un collaborateur pour signer un dépôt pendant qu'on est en audience. Le PIN est noté sur un post-it sous le clavier, ou réutilisé sur d'autres services. Et surtout, le poste qui héberge le certificat est rarement durci : pas d'EDR, partage SMB ouvert, navigation perso autorisée, mises à jour Windows en retard.

Un poste compromis avec clé RPVA présente devient une capacité de signature électronique dans les mains de l'attaquant, le temps que la clé soit branchée. Dans certains scénarios d'attaque ciblée, c'est exactement ce qui est recherché : non pas voler des données, mais signer un acte au nom de l'avocat.

6. La CARPA, dernier rempart efficace mais incomplet

La CARPA reste un excellent garde-fou sur les virements qui passent par elle. La règle de vérification du nom du bénéficiaire face au RIB transmis a déjà déjoué plusieurs tentatives de FOVI ces deux dernières années : un simple appel téléphonique de vérification a sauvé des virements de plusieurs dizaines de milliers d'euros.

Mais la CARPA ne couvre pas tout. Elle ne protège pas les virements directs client-à-client passés à votre demande, ni les paiements de factures à des prestataires, ni évidemment la fuite de données qui suit un ransomware. Elle ne sécurise pas non plus votre messagerie ou votre logiciel métier. C'est un airbag, pas un système anti-collision.

7. Cadre réglementaire et déontologique : ce que vous risquez

Le secret professionnel de l'avocat est protégé par l'article 226-13 du Code pénal : un an d'emprisonnement et 15 000 € d'amende. La jurisprudence considère que l'avocat reste débiteur du secret même quand la violation résulte d'un acte malveillant tiers, dès lors qu'une négligence dans les mesures de protection peut être démontrée.

Le RGPD s'applique à tout cabinet : 4 % du chiffre d'affaires annuel mondial ou 20 M€ en sanction maximale, notification à la CNIL sous 72 heures, et notification aux clients en cas de risque élevé. Un cabinet sans Privacy Officer ni registre des traitements n'est plus défendable en 2026.

Le Conseil National des Barreaux a publié en octobre 2023 un guide pratique de la sécurité numérique du cabinet, signé conjointement avec l'Ordre. Ce n'est pas une suggestion. C'est un référentiel auquel un bâtonnier ou un assureur RC pro peut désormais opposer un cabinet en cas d'incident.

S'ajoutent selon le profil de clientèle : la LCB-FT pour les avocats concernés, qui impose des obligations de vigilance sur les flux. Et l'obligation d'assurance RC professionnelle, dont les contrats excluent désormais quasi systématiquement les sinistres cyber sans mesures préventives documentées.

8. Plan de défense pour un cabinet sans DSI

Plan de défense en profondeur : 9 mesures prioritaires
9 mesures qui couvrent la majorité du risque pour un cabinet de 3 à 30 personnes, à coût compatible avec sa taille.

Un cabinet de 3 à 30 personnes n'a pas les moyens d'un RSSI à temps plein, mais il a accès aujourd'hui à des mesures qui couvrent la majorité du risque pour un coût compatible avec sa taille.

9. Cabinet d'avocats : l'accompagnement HackHeart

HackHeart est basé à Mandelieu-la-Napoule et intervient sur la Côte d'Azur (Nice, Cannes, Antibes, Sophia Antipolis, Grasse, Mougins, Monaco) ainsi qu'en remote partout en France. L'approche pour cabinet d'avocats :

Pages locales : pentest Nice, pentest Cannes, pentest Antibes, pentest Monaco. Pour aller plus loin : audit de cybersécurité, vCISO, réponse à incident, coût d'un pentest en 2026.

Auditez votre cabinet avant qu'un attaquant ne le fasse

Test d'intrusion adapté au contexte cabinet : poste de travail, accès Secib/Kleos/PolyOffice, exposition externe, messagerie, scénario FOVI. À partir de 3 490 € HT.

// Ressource gratuite
Guide anti-FOVI pour cabinets d'avocats

Schéma d'attaque, signaux faibles, 8 contre-mesures qui tiennent. PDF, par email, sans engagement.