TL;DR les 4 vecteurs et le plan de défense
- Vecteur 1 : Logiciels métier mutualisés : Secib (Septeo, 7 500 cabinets), Lexis PolyOffice, Kleos. Comptes secrétariat partagés, MFA contournée, VPN éditeur opaque. Un trou éditeur, c'est la chaîne entière qui prend.
- Vecteur 2 : Fraude au virement (FOVI) : compromission d'une messagerie, écoute silencieuse du fil d'un dossier, substitution de RIB au moment du règlement. Marseille 2025 : 120 000 € détournés, détection 3 semaines plus tard.
- Vecteur 3 : Ransomware double extorsion : chiffrement + exfiltration + DLS public. Bordeaux 2024 : 2 M€ de rançon demandée, contrats sur le Dedicated Leak Site, 3,5 M€ de coût total.
- Vecteur 4 : RPVA / e-Barreau : la techno est solide (AES-256, clé USB à certificat), mais l'usage casse tout (clé branchée toute la journée, partagée, PIN sur post-it).
- CARPA : excellent airbag sur les flux qui passent par elle, mais ne couvre ni les paiements directs, ni la fuite de données.
- Cadre : article 226-13 CP (secret pro), RGPD 4 % CA, Guide CNB cybersécurité 2023, LCB-FT, exclusion cyber en RC pro.
- Plan de défense en 9 mesures applicable à un cabinet sans DSI, pour un budget cohérent avec sa taille.
1. Pourquoi votre cabinet est devenu une cible prioritaire
Le cabinet d'avocats coche toutes les cases du criminel rationnel. Quatre éléments structurent l'intérêt grandissant des groupes ransomware et des fraudeurs au virement pour la profession en France.
Des données ultra-sensibles, couvertes par le secret professionnel
Dossiers M&A, contentieux RH, divorces complexes, droit pénal des affaires, contentieux fiscaux : la valeur d'une fuite ne se mesure pas seulement à la revente sur les marketplaces criminelles, mais surtout au levier d'extorsion qu'elle représente vis-à-vis du client et de l'avocat. Une seule pièce sensible publiée sur un Dedicated Leak Site peut suffire à faire payer la rançon.
Des mouvements financiers réguliers via CARPA et séquestre
La CARPA, les comptes séquestres, les indemnisations clients : les virements à 5 ou 6 chiffres sont une routine que ni la banque ni l'avocat ne questionnent en premier réflexe. C'est exactement le terrain de chasse de la fraude au président version cabinet : la fraude au virement.
Une concentration logicielle extrême
Trois éditeurs équipent 70 à 80 % du marché : Secib (groupe Septeo, plus de 7 500 cabinets), Lexis PolyOffice (LexisNexis), Kleos (Wolters Kluwer). Un défaut de configuration côté éditeur ou côté usage se réplique sur des milliers de cabinets en même temps.
Un sous-investissement chronique en sécurité
L'avocat est juriste, pas DSI. Sa formation initiale n'aborde ni l'EDR, ni la segmentation réseau, ni la gestion d'incident. Le prestataire IT généraliste qui équipe la majorité des petits cabinets ne fait pas de cyber. Résultat : MFA absente, mots de passe partagés, sauvegardes non testées, anti-virus comme unique protection.

2. Vecteur 1 : Les logiciels métier, le maillon mutualisé
Les trois éditeurs qui dominent la profession en France structurent à eux seuls la posture de sécurité de la majorité des cabinets : Secib (groupe Septeo) avec plus de 7 500 cabinets équipés, Lexis PolyOffice (LexisNexis) avec une intégration native au RPVA, Kleos (Wolters Kluwer) sur le segment moyen et grand cabinet. À cela s'ajoutent Cicero, Diapaz, Polyacte sur des niches plus petites.
Ces logiciels sont aujourd'hui massivement hébergés en SaaS chez l'éditeur, avec accès distant par portail web ou client lourd connecté. C'est efficace pour la mobilité, mais cela ouvre des zones de faiblesse récurrentes que l'on retrouve à chaque mission :
Comptes partagés entre associés et secrétariat
Le compte « secrétariat » utilisé par 3 personnes différentes avec le même mot de passe est encore la norme dans la majorité des petits cabinets. Aucune traçabilité, aucun cloisonnement, et le départ d'une assistante laisse un accès actif six mois plus tard.
MFA non activée ou contournée
L'authentification à double facteur existe chez Secib comme chez Kleos. Elle est rarement activée par défaut, et quand elle l'est, on trouve des associés qui ont demandé sa désactivation pour des raisons de confort. Un mot de passe d'avocat compromis sur LinkedIn (et il y en a beaucoup dans les fuites publiques) ouvre alors l'intégralité du dossier client.
Accès distant via VPN éditeur mal documenté
Les connexions hors cabinet passent par des passerelles éditeur dont les avocats ignorent souvent qu'elles sont distinctes de leur firewall local. Conséquence : un poste compromis à la maison expose le logiciel métier sans que le pare-feu pro ne voie passer quoi que ce soit.
Sur un cabinet récent : accès au compte secrétariat trouvé en 11 minutes via une fuite publique. Lecture de tous les dossiers en cours, export possible de la base clients, accès aux RIB CARPA. Compte associé compromis 40 minutes plus tard via le mot de passe partagé sur un poste assistant. Le cabinet n'a rien détecté.
3. Vecteur 2 : La fraude au virement (FOVI), le plus rentable

C'est de loin l'attaque la plus rentable et la moins détectée. Le schéma est toujours le même. L'attaquant compromet la messagerie de l'avocat (phishing classique, jeton OAuth volé, mot de passe réutilisé) ou celle du client. Il écoute en silence le fil d'un dossier de règlement, de transaction, de cession ou d'indemnisation. Au moment où le virement est attendu, il intervient par mail, depuis la vraie adresse compromise, en remplaçant le RIB. Le client (ou l'avocat) vire de bonne foi. L'argent part vers une mule à l'étranger.
Un cabinet marseillais reçoit ce qu'il prend pour un mail de son client demandant de modifier le RIB du règlement à venir. Le mail provient de la boîte authentique du client (piratée 3 jours plus tôt). Le virement de 120 000 € est effectué. La fraude n'est détectée que trois semaines plus tard quand le vrai client réclame son dû. Récupération bancaire partielle, contentieux assurance, atteinte à la confiance du cabinet.
Le phishing initie 60 % des attaques en France selon l'ANSSI. Sur les cabinets d'avocats, le phénomène est amplifié par l'habitude de communiquer avec de nouvelles parties à chaque dossier : confrères, magistrats, banques, notaires, experts. Un mail d'un cabinet inconnu n'éveille jamais la méfiance.
4. Vecteur 3 : Le ransomware, le plus médiatique
Le ransomware sur cabinet d'avocats est en pleine accélération depuis 2023, parce que le calcul des groupes ransomware est devenu mathématique : plus le secret est lourd, plus le payement est probable. Un cabinet d'affaires qui traite des cessions M&A, des contentieux RH sensibles, ou des dossiers de personnalités publiques n'a pas le luxe de voir ses pièces fuiter sur un Dedicated Leak Site (DLS).
Un cabinet bordelais représentant un groupe multinational est compromis via un mail piégé ouvert par un collaborateur. Le ransomware chiffre les serveurs et exfiltre 240 Go avant. La rançon demandée est de 2 M€. Faute de backups exploitables, le site web tombe trois jours, des contrats confidentiels apparaissent sur le DLS du groupe ransomware, et le cabinet finit par négocier. Coût total estimé : plus de 3,5 M€ rançon incluse, hors préjudice d'image.
La triple peine du ransomware sur cabinet est unique. Violation du secret professionnel (article 226-13 du Code pénal et déontologie CNB), qui peut déclencher la responsabilité pénale personnelle de l'avocat. Engagement de la responsabilité civile professionnelle si un client subit un préjudice direct (et il en subit toujours un quand son contrat de cession est en ligne). Paralysie totale de l'activité : sans accès à Secib ou PolyOffice, le cabinet ne peut plus déposer, plaider, facturer. 80 % des cabinets ransomés en 2026 n'ont pas de sauvegarde réellement exploitable.
5. Vecteur 4 : Le RPVA et e-Barreau, la passerelle sous-estimée
Le Réseau Privé Virtuel des Avocats est techniquement solide. Authentification forte par clé USB à certificat, chiffrement AES-256, et passerelle dédiée vers les juridictions. Le maillon faible n'est pas la techno, c'est l'usage.
En pratique sur le terrain : la clé RPVA reste branchée toute la journée sur le poste de l'avocat, qui s'éloigne du bureau sans la retirer. Elle est parfois partagée avec un collaborateur pour signer un dépôt pendant qu'on est en audience. Le PIN est noté sur un post-it sous le clavier, ou réutilisé sur d'autres services. Et surtout, le poste qui héberge le certificat est rarement durci : pas d'EDR, partage SMB ouvert, navigation perso autorisée, mises à jour Windows en retard.
Un poste compromis avec clé RPVA présente devient une capacité de signature électronique dans les mains de l'attaquant, le temps que la clé soit branchée. Dans certains scénarios d'attaque ciblée, c'est exactement ce qui est recherché : non pas voler des données, mais signer un acte au nom de l'avocat.
6. La CARPA, dernier rempart efficace mais incomplet
La CARPA reste un excellent garde-fou sur les virements qui passent par elle. La règle de vérification du nom du bénéficiaire face au RIB transmis a déjà déjoué plusieurs tentatives de FOVI ces deux dernières années : un simple appel téléphonique de vérification a sauvé des virements de plusieurs dizaines de milliers d'euros.
Mais la CARPA ne couvre pas tout. Elle ne protège pas les virements directs client-à-client passés à votre demande, ni les paiements de factures à des prestataires, ni évidemment la fuite de données qui suit un ransomware. Elle ne sécurise pas non plus votre messagerie ou votre logiciel métier. C'est un airbag, pas un système anti-collision.
7. Cadre réglementaire et déontologique : ce que vous risquez
Le secret professionnel de l'avocat est protégé par l'article 226-13 du Code pénal : un an d'emprisonnement et 15 000 € d'amende. La jurisprudence considère que l'avocat reste débiteur du secret même quand la violation résulte d'un acte malveillant tiers, dès lors qu'une négligence dans les mesures de protection peut être démontrée.
Le RGPD s'applique à tout cabinet : 4 % du chiffre d'affaires annuel mondial ou 20 M€ en sanction maximale, notification à la CNIL sous 72 heures, et notification aux clients en cas de risque élevé. Un cabinet sans Privacy Officer ni registre des traitements n'est plus défendable en 2026.
Le Conseil National des Barreaux a publié en octobre 2023 un guide pratique de la sécurité numérique du cabinet, signé conjointement avec l'Ordre. Ce n'est pas une suggestion. C'est un référentiel auquel un bâtonnier ou un assureur RC pro peut désormais opposer un cabinet en cas d'incident.
S'ajoutent selon le profil de clientèle : la LCB-FT pour les avocats concernés, qui impose des obligations de vigilance sur les flux. Et l'obligation d'assurance RC professionnelle, dont les contrats excluent désormais quasi systématiquement les sinistres cyber sans mesures préventives documentées.
8. Plan de défense pour un cabinet sans DSI

Un cabinet de 3 à 30 personnes n'a pas les moyens d'un RSSI à temps plein, mais il a accès aujourd'hui à des mesures qui couvrent la majorité du risque pour un coût compatible avec sa taille.
- MFA obligatoire sur tout : messagerie, Secib/Kleos/PolyOffice, RPVA dans la mesure du possible, accès VPN. Pas négociable pour aucun associé.
- Comptes individuels nominatifs sur le logiciel métier. Aucun compte partagé. Désactivation immédiate au départ d'un collaborateur.
- EDR managé sur tous les postes (et serveurs s'il y en a). Coût mensualisé par poste, déploiement en quelques jours.
- Sauvegardes immuables 3-2-1 avec test de restauration trimestriel. La sauvegarde non testée n'est pas une sauvegarde.
- Procédure double validation sur tout virement supérieur à un seuil défini, avec vérification téléphonique sur ligne connue (jamais sur le numéro fourni dans le mail).
- Sensibilisation FOVI annuelle de tous les collaborateurs, secrétariat inclus. C'est le secrétariat qui valide les RIB en première ligne.
- Procédure clé RPVA : retrait systématique quand on quitte le poste, PIN unique, ne jamais partager.
- Pentest annuel ciblé : poste de travail type cabinet, accès logiciel métier, périmètre exposé.
- Plan de réponse incident écrit, avec contacts cyber-assureur, bâtonnier, CERT, et un prestataire d'astreinte identifié avant l'incident.
9. Cabinet d'avocats : l'accompagnement HackHeart
HackHeart est basé à Mandelieu-la-Napoule et intervient sur la Côte d'Azur (Nice, Cannes, Antibes, Sophia Antipolis, Grasse, Mougins, Monaco) ainsi qu'en remote partout en France. L'approche pour cabinet d'avocats :
- Un premier appel découverte de 30 minutes gratuit pour cadrer votre situation et votre périmètre.
- Un cadrage technique précis (postes, logiciel métier, exposition externe, scénario FOVI).
- Un test d'intrusion ciblé sur 3 à 8 jours selon la taille du cabinet, avec exploitation contrôlée et chaînage.
- Un rapport en 2 parties : synthèse managériale pour les associés, rapport technique pour votre prestataire IT.
- Une restitution orale et un plan de remédiation priorisé par criticité CVSS.
- Un point de revue annuel pour maintenir le niveau dans la durée.
Pages locales : pentest Nice, pentest Cannes, pentest Antibes, pentest Monaco. Pour aller plus loin : audit de cybersécurité, vCISO, réponse à incident, coût d'un pentest en 2026.
Test d'intrusion adapté au contexte cabinet : poste de travail, accès Secib/Kleos/PolyOffice, exposition externe, messagerie, scénario FOVI. À partir de 3 490 € HT.
Schéma d'attaque, signaux faibles, 8 contre-mesures qui tiennent. PDF, par email, sans engagement.