TL;DR les 4 vecteurs et le plan de défense
- Vecteur 1 : Logiciels métier mutualisés : iNot (Septeo, la majorité des offices français), ADSN, Genapi. Comptes secrétariat partagés, MFA contournée, VPN éditeur opaque. Un trou éditeur, c'est la chaîne entière qui prend.
- Vecteur 2 : Fraude au virement (FOVI) : compromission d'une messagerie, écoute silencieuse du fil d'un dossier, substitution de RIB au moment du règlement. Marseille 2025 : 120 000 € détournés, détection 3 semaines plus tard.
- Vecteur 3 : Ransomware double extorsion : chiffrement + exfiltration + DLS public. Bordeaux 2024 : 2 M€ de rançon demandée, contrats sur le Dedicated Leak Site, 3,5 M€ de coût total.
- Vecteur 4 : REAL / ADSN/REAL : la techno est solide (AES-256, carte à puce à certificat), mais l'usage casse tout (clé branchée toute la journée, partagée, PIN sur post-it).
- Caisse des Dépôts : excellent airbag sur les flux qui passent par elle, mais ne couvre ni les paiements directs, ni la fuite de données.
- Cadre : article 226-13 CP (secret pro), RGPD 4 % CA, Guide CSN cybersécurité 2023, LCB-FT, exclusion cyber en RC pro.
- Plan de défense en 9 mesures applicable à une étude sans DSI, pour un budget cohérent avec sa taille.
1. Pourquoi votre étude est devenu une cible prioritaire
Le office notarial coche toutes les cases du criminel rationnel. Quatre éléments structurent l'intérêt grandissant des groupes ransomware et des fraudeurs au virement pour la profession en France.
Des données ultra-sensibles, couvertes par le secret professionnel
Dossiers M&A, contentieux RH, divorces complexes, droit pénal des affaires, contentieux fiscaux : la valeur d'une fuite ne se mesure pas seulement à la revente sur les marketplaces criminelles, mais surtout au levier d'extorsion qu'elle représente vis-à-vis du client et du notaire. Une seule pièce sensible publiée sur un Dedicated Leak Site peut suffire à faire payer la rançon.
Des mouvements financiers réguliers via Caisse des Dépôts et séquestre
La Caisse des Dépôts, les comptes séquestres, les indemnisations clients : les virements à 5 ou 6 chiffres sont une routine que ni la banque ni le notaire ne questionnent en premier réflexe. C'est exactement le terrain de chasse de la fraude au virement transposée à l'office : la fraude au virement.
Une concentration logicielle extrême
Trois éditeurs équipent 70 à 80 % du marché : iNot (groupe Septeo, dominant en France), ADSN/REAL Notaires (mutualisé profession), Genapi (Fiducial). Un défaut de configuration côté éditeur ou côté usage se réplique sur des milliers d'offices en même temps.
Un sous-investissement chronique en sécurité
Le notaire est juriste, pas DSI. Sa formation initiale n'aborde ni l'EDR, ni la segmentation réseau, ni la gestion d'incident. Le prestataire IT généraliste qui équipe la majorité des petites études ne fait pas de cyber. Résultat : MFA absente, mots de passe partagés, sauvegardes non testées, anti-virus comme unique protection.

2. Vecteur 1 : Les logiciels métier, le maillon mutualisé
Les trois éditeurs qui dominent la profession en France structurent à eux seuls la posture de sécurité de la majorité des études : iNot (groupe Septeo) avec présent dans la majorité des offices, ADSN/REAL Notaires (mutualisé profession) avec une intégration native au REAL, Genapi (Fiducial) sur une part importante du marché. À cela s'ajoutent LEGAPI ou des suites internes pour certaines grandes études.
Ces logiciels sont aujourd'hui massivement hébergés en SaaS chez l'éditeur, avec accès distant par portail web ou client lourd connecté. C'est efficace pour la mobilité, mais cela ouvre des zones de faiblesse récurrentes que l'on retrouve à chaque mission :
Comptes partagés entre associés et secrétariat
Le compte « secrétariat » utilisé par 3 personnes différentes avec le même mot de passe est encore la norme dans la majorité des petites études. Aucune traçabilité, aucun cloisonnement, et le départ d'une assistante laisse un accès actif six mois plus tard.
MFA non activée ou contournée
L'authentification à double facteur existe chez iNot comme chez Genapi. Elle est rarement activée par défaut, et quand elle l'est, on trouve des associés qui ont demandé sa désactivation pour des raisons de confort. Un mot de passe d'notaire compromis sur LinkedIn (et il y en a beaucoup dans les fuites publiques) ouvre alors l'intégralité du dossier client.
Accès distant via VPN éditeur mal documenté
Les connexions hors étude passent par des passerelles éditeur dont les notaires ignorent souvent qu'elles sont distinctes de leur firewall local. Conséquence : un poste compromis à la maison expose le logiciel métier sans que le pare-feu pro ne voie passer quoi que ce soit.
Sur une étude récent : accès au compte secrétariat trouvé en 11 minutes via une fuite publique. Lecture de tous les dossiers en cours, export possible de la base clients, accès aux RIB Caisse des Dépôts. Compte associé compromis 40 minutes plus tard via le mot de passe partagé sur un poste assistant. L'étude n'a rien détecté.
3. Vecteur 2 : La fraude au virement (FOVI), le plus rentable

C'est de loin l'attaque la plus rentable et la moins détectée. Le schéma est toujours le même. L'attaquant compromet la messagerie du notaire (phishing classique, jeton OAuth volé, mot de passe réutilisé) ou celle du client. Il écoute en silence le fil d'un dossier de règlement, de transaction, de cession ou d'indemnisation. Au moment où le virement est attendu, il intervient par mail, depuis la vraie adresse compromise, en remplaçant le RIB. Le client (ou le notaire) vire de bonne foi. L'argent part vers une mule à l'étranger.
Une étude marseillais reçoit ce qu'il prend pour un mail de son client demandant de modifier le RIB du règlement à venir. Le mail provient de la boîte authentique du client (piratée 3 jours plus tôt). Le virement de 120 000 € est effectué. La fraude n'est détectée que trois semaines plus tard quand le vrai client réclame son dû. Récupération bancaire partielle, contentieux assurance, atteinte à la confiance de l'étude.
Le phishing initie 60 % des attaques en France selon l'ANSSI. Sur les offices notariaux, le phénomène est amplifié par l'habitude de communiquer avec de nouvelles parties à chaque dossier : confrères, magistrats, banques, notaires, experts. Un mail d'une étude inconnu n'éveille jamais la méfiance.
4. Vecteur 3 : Le ransomware, le plus médiatique
Le ransomware sur office notarial est en pleine accélération depuis 2023, parce que le calcul des groupes ransomware est devenu mathématique : plus le secret est lourd, plus le payement est probable. Une étude d'affaires qui traite des cessions M&A, des contentieux RH sensibles, ou des dossiers de personnalités publiques n'a pas le luxe de voir ses pièces fuiter sur un Dedicated Leak Site (DLS).
Une étude bordelais représentant un groupe multinational est compromis via un mail piégé ouvert par un collaborateur. Le ransomware chiffre les serveurs et exfiltre 240 Go avant. La rançon demandée est de 2 M€. Faute de backups exploitables, le site web tombe trois jours, des contrats confidentiels apparaissent sur le DLS du groupe ransomware, et l'étude finit par négocier. Coût total estimé : plus de 3,5 M€ rançon incluse, hors préjudice d'image.
La triple peine du ransomware sur étude est unique. Violation du secret professionnel (article 226-13 du Code pénal et déontologie notariale), qui peut déclencher la responsabilité pénale personnelle du notaire. Engagement de la responsabilité civile professionnelle si un client subit un préjudice direct (et il en subit toujours un quand son contrat de cession est en ligne). Paralysie totale de l'activité : sans accès à iNot ou ADSN, l'étude ne peut plus rédiger un acte, déposer, signer, facturer. 80 % des études ransomés en 2026 n'ont pas de sauvegarde réellement exploitable.
5. Vecteur 4 : la carte REAL et l'authentification mutualisée, la passerelle sous-estimée
Le Réseau Réel des Notaires (REAL) est techniquement solide. Authentification forte par carte à puce à certificat, chiffrement AES-256, et passerelle dédiée vers les juridictions. Le maillon faible n'est pas la techno, c'est l'usage.
En pratique sur le terrain : la carte REAL reste branchée toute la journée sur le poste du notaire, qui s'éloigne du bureau sans la retirer. Elle est parfois partagée avec un collaborateur pour signer un dépôt pendant qu'on est en audience. Le PIN est noté sur un post-it sous le clavier, ou réutilisé sur d'autres services. Et surtout, le poste qui héberge le certificat est rarement durci : pas d'EDR, partage SMB ouvert, navigation perso autorisée, mises à jour Windows en retard.
Un poste compromis avec carte REAL présente devient une capacité de signature électronique dans les mains de l'attaquant, le temps que la clé soit branchée. Dans certains scénarios d'attaque ciblée, c'est exactement ce qui est recherché : non pas voler des données, mais signer un acte au nom du notaire.
6. La Caisse des Dépôts, dernier rempart efficace mais incomplet
La Caisse des Dépôts reste un excellent garde-fou sur les virements qui passent par elle. La règle de vérification du nom du bénéficiaire face au RIB transmis a déjà déjoué plusieurs tentatives de FOVI ces deux dernières années : un simple appel téléphonique de vérification a sauvé des virements de plusieurs dizaines de milliers d'euros.
Mais la Caisse des Dépôts ne couvre pas tout. Elle ne protège pas les virements directs client-à-client passés à votre demande, ni les paiements de factures à des prestataires, ni évidemment la fuite de données qui suit un ransomware. Elle ne sécurise pas non plus votre messagerie ou votre logiciel métier. C'est un airbag, pas un système anti-collision.
7. Cadre réglementaire et déontologique : ce que vous risquez
Le secret professionnel du notaire est protégé par l'article 226-13 du Code pénal : un an d'emprisonnement et 15 000 € d'amende. La jurisprudence considère que le notaire reste débiteur du secret même quand la violation résulte d'un acte malveillant tiers, dès lors qu'une négligence dans les mesures de protection peut être démontrée.
Le RGPD s'applique à toute étude : 4 % du chiffre d'affaires annuel mondial ou 20 M€ en sanction maximale, notification à la CNIL sous 72 heures, et notification aux clients en cas de risque élevé. Une étude sans Privacy Officer ni registre des traitements n'est plus défendable en 2026.
Le Conseil Supérieur du Notariat a publié en octobre 2023 un guides de cybersécurité pour la profession, signé conjointement avec l'Ordre. Ce n'est pas une suggestion. C'est un référentiel auquel un président de chambre ou un assureur RC pro peut désormais opposer une étude en cas d'incident.
S'ajoutent selon le profil de clientèle : la LCB-FT pour les notaires concernés, qui impose des obligations de vigilance sur les flux. Et l'obligation d'assurance RC professionnelle, dont les contrats excluent désormais quasi systématiquement les sinistres cyber sans mesures préventives documentées.
8. Plan de défense pour une étude sans DSI

Une étude de 3 à 30 personnes n'a pas les moyens d'un RSSI à temps plein, mais elle a accès aujourd'hui à des mesures qui couvrent la majorité du risque pour un coût compatible avec sa taille et ses honoraires.
- MFA obligatoire sur tout : messagerie, iNot, Genapi, REAL dans la mesure du possible, accès distant. Pas négociable pour aucun associé ni clerc.
- Comptes individuels nominatifs sur le logiciel métier. Aucun compte partagé. Désactivation immédiate au départ d'un collaborateur ou d'un stagiaire.
- EDR managé sur tous les postes et serveurs locaux.
- Sauvegardes immuables 3-2-1 avec test de restauration trimestriel. La sauvegarde non testée n'est pas une sauvegarde.
- Procédure RIB sortants verrouillée : tout changement de RIB en cours de dossier déclenche un appel téléphonique de vérification sur la ligne enregistrée, jamais sur le numéro fourni dans le mail. Aucune exception, même avec un confrère de longue date.
- Sensibilisation FOVI semestrielle de tous les collaborateurs, secrétariat en première ligne car c'est lui qui valide les RIB.
- Procédure carte REAL : retrait systématique quand on quitte le poste, PIN unique, ne jamais partager.
- Pentest annuel ciblé : poste de travail type étude, accès logiciel métier, périmètre exposé, scénario FOVI complet.
- Plan de réponse incident écrit, avec contacts cyber-assureur, président de chambre, CSN, Tracfin, CNIL, prestataire d'astreinte identifié avant l'incident.
9. Office notarial : l'accompagnement HackHeart
HackHeart est basé à Mandelieu-la-Napoule et intervient sur la Côte d'Azur (Nice, Cannes, Antibes, Sophia Antipolis, Grasse, Mougins, Monaco) ainsi qu'en remote partout en France. L'approche pour office notarial :
- Un premier appel découverte de 30 minutes gratuit pour cadrer votre situation et votre périmètre.
- Un cadrage technique précis (postes, logiciel métier, exposition externe, scénario FOVI).
- Un test d'intrusion ciblé sur 3 à 8 jours selon la taille de l'étude, avec exploitation contrôlée et chaînage.
- Un rapport en 2 parties : synthèse managériale pour les associés, rapport technique pour votre prestataire IT.
- Une restitution orale et un plan de remédiation priorisé par criticité CVSS.
- Un point de revue annuel pour maintenir le niveau dans la durée.
Pages locales : pentest Nice, pentest Cannes, pentest Antibes, pentest Monaco. Pour aller plus loin : audit de cybersécurité, vCISO, réponse à incident, coût d'un pentest en 2026.
Test d'intrusion adapté au contexte d'une étude : poste de travail, accès iNot/Genapi/ADSN, exposition externe, messagerie, scénario FOVI immobilier complet. À partir de 3 990 € HT.
Schéma d'attaque, signaux faibles, 8 contre-mesures qui tiennent. Transposable au schéma vente immobilière. PDF, par email, sans engagement.