Cybersécurité pour les professions libérales
Guide pratique de cybersécurité pour avocats, médecins, experts-comptables et notaires : protéger vos données clients sans expertise informatique.
Ce scénario, reconstitué à partir de cas réels dans le secteur juridique, illustre un schéma d’attaque fréquent. Un cabinet d’avocats parisien de quatre associés découvre que sa messagerie est compromise depuis six semaines. Pendant cette période, un attaquant a intercepté des échanges avec des clients, modifié les coordonnées bancaires sur plusieurs appels de fonds, et exfiltré des pièces de procédure confidentielles. Préjudice estimé : 140 000 euros, sans compter la procédure disciplinaire engagée par le Barreau de Paris pour manquement à la confidentialité.
Ce cabinet n’était pas une cible au hasard. Il l’était précisément parce qu’il est un cabinet d’avocats.
Les professions libérales — avocats, médecins, experts-comptables, notaires, architectes, psychologues — partagent un profil de risque commun : elles détiennent des données parmi les plus sensibles qui existent (secret médical, secret professionnel, données fiscales, données patrimoniales), elles travaillent en équipes réduites de 1 à 10 personnes, et elles disposent rarement d’une ressource affectée à la sécurité informatique.
Ce guide est écrit pour les professionnels libéraux eux-mêmes. Pas pour les informaticiens. Voici ce que vous devez savoir, et ce que vous pouvez faire sans expertise technique particulière.
Pourquoi les professions libérales sont une cible de choix
Le rapport effort/gain est imbattable pour les attaquants
Un cabinet médical de 2 médecins généralistes suit en moyenne 800 à 1 200 patients actifs. Il détient leur numéro de sécurité sociale, leur historique médical, leurs traitements en cours, leurs données psychiatriques éventuelles. Ces données se vendent entre 250 et 500 euros l’unité sur les marchés clandestins, selon les estimations de chercheurs en cybersécurité.
Un cabinet notarial gère les actes de propriété, les testaments, les donations, les régimes matrimoniaux. Un notaire de province peut avoir accès aux données patrimoniales complètes de 300 à 600 familles. Un cabinet d’avocats traite les documents les plus confidentiels de ses clients : contrats, procédures, correspondances privées, litiges en cours.
Pour un attaquant, compromettre un seul professionnel libéral revient à accéder aux données de centaines de particuliers — avec une valeur unitaire bien supérieure à celle d’une base de données e-commerce.
Une maturité informatique structurellement faible
Les professions libérales ne sont pas des structures informatiques. Un avocat, un médecin ou un architecte a consacré ses études à son métier, pas à la cybersécurité. La plupart des cabinets de 1 à 5 personnes fonctionnent sans DSI, sans RSSI, sans prestataire informatique spécialisé en sécurité. La messagerie est souvent un compte Gmail ou Outlook non durci. Les mots de passe sont parfois partagés entre collaborateurs.
Cybermalveillance.gouv.fr a publié des statistiques montrant que les TPE et les professions libérales représentent une part croissante des victimes d’actes de cybermalveillance en France. La plateforme traite chaque année un nombre croissant de demandes d’assistance, avec une proportion significative de petites structures et d’indépendants.
Le secret professionnel amplifie les conséquences
Une cyberattaque contre une entreprise ordinaire peut coûter cher. Une cyberattaque contre une profession réglementée peut coûter la profession elle-même. Le secret médical, le secret de l’instruction, le secret professionnel de l’avocat ou du notaire ne sont pas des obligations éthiques abstraites — ce sont des obligations légales dont la violation peut entraîner des poursuites pénales et des procédures disciplinaires.
Un médecin dont les données patients sont volées n’est pas seulement victime d’une cyberattaque. Il est potentiellement en faute vis-à-vis du Conseil national de l’Ordre des médecins si les mesures de protection n’étaient pas proportionnées. Un avocat dont la messagerie est compromise expose ses clients à une perte de confidentialité de leurs dossiers. Ce contexte rend la cybersécurité doublement urgente dans ces professions.
Les attaques spécifiques aux professions libérales
Les cybercriminels adaptent leurs techniques à chaque cible. Voici les scénarios les plus fréquents, documentés pour chaque profession.
Pour les avocats : les faux emails d’instances professionnelles
Les barreaux, le Conseil National des Barreaux (CNB), les tribunaux judiciaires et les cours d’appel sont des expéditeurs légitimes fréquents dans la boîte email d’un avocat. Les attaquants l’ont compris.
Scénario type 1 : le faux email du barreau. Un email semble provenir du Barreau de Paris ou du CNB. Il informe l’avocat d’une obligation de mise à jour de ses données d’inscription, d’une formation obligatoire ou d’un problème de cotisation. Un lien renvoie vers une page de connexion factice au portail de l’Ordre. L’avocat saisit ses identifiants, et l’attaquant accède au portail professionnel.
Scénario type 2 : la fausse convocation. Un email imite une notification du Portail du justiciable ou d’un greffe de tribunal. Objet : « Convocation audience [date] — dossier n°[numéro] ». Le ton est formel, la mise en page crédible. Le PDF joint contient un logiciel malveillant. L’avocat l’ouvre pour prendre connaissance de la convocation — et compromet son poste.
Scénario type 3 : le faux email URSSAF ou CARPIMKO. Les avocats libéraux reçoivent régulièrement des communications de l’URSSAF et des caisses de retraite professionnelles. Les attaquants envoient de fausses notifications de régularisation ou de mise en demeure. La pression d’un « arriéré de cotisations » ou d’une « pénalité imminente » déclenche le clic.
Pour les médecins : les faux emails ARS et CPAM
Scénario type 1 : la fausse notification ARS. L’Agence Régionale de Santé est l’interlocuteur administratif des médecins pour les autorisations, les demandes de conventions, les contrôles d’activité. Un email imitant l’ARS peut traiter d’une « anomalie de facturation » ou d’une « mise à conformité obligatoire ». Ces emails exploitent la crainte d’un contrôle administratif.
Scénario type 2 : le faux portail Ameli Pro. Le portail Ameli Pro est utilisé quotidiennement par les médecins pour les feuilles de soins électroniques, les remboursements, les communications avec la CPAM. Les attaquants envoient de fausses notifications de « session expirée » ou d’ « anomalie de remboursement » pointant vers de fausses pages de connexion.
Scénario type 3 : l’email de logiciel médical. Les éditeurs de logiciels médicaux (Doctolib, Mediboard, Crossway, Weda) envoient des notifications légitimes. Les faux emails imitant ces éditeurs, signalant une « mise à jour de sécurité obligatoire » ou une « connexion suspecte détectée », sont particulièrement efficaces parce qu’ils s’inscrivent dans le flux de travail habituel du médecin.
Pour les experts-comptables : les faux emails DGFiP
Ce vecteur est couvert en détail dans notre article sur les cyberattaques ciblant les cabinets comptables. En résumé : les campagnes d’usurpation de la DGFiP et de l’URSSAF se concentrent sur les périodes de déclaration fiscale (mars-mai). Un expert-comptable qui saisit ses identifiants sur une fausse page impots.gouv.fr perd l’accès aux mandats de télédéclaration de tous ses clients.
Pour les notaires : les arnaques au changement de RIB
Les notaires gèrent des transactions immobilières dont les montants sont élevés. L’arnaque au changement de RIB est particulièrement destructrice dans ce contexte : un email prétend informer le notaire d’un changement de coordonnées bancaires du vendeur ou de l’acquéreur, quelques jours avant la signature. Les fonds du compromis ou du prix de vente sont virés vers le compte de l’attaquant. Pour les mécanismes de cette fraude : Arnaque au changement de RIB : anatomie d’une fraude.
Vos obligations réglementaires : ce que vous risquez vraiment
Le RGPD s’applique à tous, sans exception de taille
Tout professionnel libéral traitant des données personnelles est soumis au Règlement Général sur la Protection des Données. Cette obligation s’applique dès le premier client, dès le premier patient, dès le premier dossier. Les obligations principales sont :
- Tenir un registre des traitements (article 30 du RGPD) — inventaire de ce que vous faites avec les données de vos clients
- Sécuriser les données de manière proportionnée au risque (article 32)
- Notifier la CNIL sous 72 heures en cas de violation de données (article 33)
- Informer les personnes concernées si la violation présente un risque élevé pour leurs droits (article 34)
Pour les médecins, psychologues et autres professionnels de santé, les données traitées sont des données de santé, qui appartiennent aux catégories particulières de données au sens de l’article 9 du RGPD. Ces données bénéficient d’un régime de protection renforcé — et les manquements sont traités avec plus de sévérité.
Les sanctions CNIL ne visent pas que les grandes entreprises. La CNIL a prononcé plusieurs dizaines de mises en demeure en 2024, et une part croissante vise des structures de moins de 250 salariés. Les amendes pour les PME et TPE se situent généralement entre 5 000 et 150 000 euros via la procédure simplifiée. Pour les détails et les cas documentés : Sanctions CNIL pour les PME : les vrais chiffres.
Le secret professionnel n’est pas une défense, c’est une responsabilité supplémentaire
Certains professionnels pensent que le secret professionnel les protège. C’est l’inverse. Le secret médical (article L. 1110-4 du Code de la santé publique), le secret professionnel de l’avocat (article 66-5 de la loi du 31 décembre 1971), le secret de l’acte authentique du notaire — tous ces secrets imposent une obligation de sécurisation active des données. La question que posera le Conseil de l’Ordre en cas d’incident n’est pas « avez-vous été victime d’une attaque ? » mais « avez-vous pris les précautions raisonnables pour protéger le secret qui vous est confié ? »
Les règles spécifiques par profession
| Profession | Instance disciplinaire | Obligation clé | Risque en cas de manquement |
|---|---|---|---|
| Avocat | Conseil de l’Ordre / CNB | Secret professionnel absolu | Sanctions disciplinaires, poursuite pénale |
| Médecin | Conseil Ordinal (CNOM) | Secret médical + RGPD données de santé | Radiation, amendes CNIL |
| Expert-comptable | OEC / CSOEC | Secret professionnel + RGPD sous-traitant | Sanctions ordinales, amendes CNIL |
| Notaire | CSN / Chambre des Notaires | Secret de l’acte + données patrimoniales | Destitution, responsabilité civile |
| Architecte | CNOA | RGPD données clients | Amendes CNIL |
Les mesures de protection adaptées à un cabinet de 1 à 10 personnes
La bonne nouvelle : les mesures les plus efficaces ne nécessitent pas d’expertise informatique et coûtent peu ou pas. Voici les priorités, par ordre d’impact.
Mesure 1 : activer l’authentification à deux facteurs sur toutes les messageries
C’est la mesure unique qui protège le mieux, à effort minimal. L’authentification à deux facteurs (2FA) exige un second code — reçu par SMS ou généré par une application — lors de chaque connexion. Même si un attaquant vole votre mot de passe via un email de phishing, il ne peut pas accéder à votre messagerie sans ce second facteur.
Comment l’activer :
- Gmail : Paramètres → Sécurité → Validation en deux étapes
- Outlook / Microsoft 365 : Paramètres → Sécurité → Vérification en deux étapes
- La Poste Pro / OVH mail : espace client → sécurité du compte
Activez aussi le 2FA sur tous les portails professionnels : impots.gouv.fr, Ameli Pro, portail de l’Ordre, logiciel métier en mode SaaS.
Mesure 2 : utiliser un gestionnaire de mots de passe
La réutilisation des mots de passe est l’une des pratiques les plus risquées. Si votre mot de passe fuite d’un service (un forum, une boutique en ligne), les attaquants le testeront automatiquement sur votre messagerie professionnelle, votre portail de l’Ordre, votre banque. Un gestionnaire de mots de passe crée et mémorise des mots de passe uniques et complexes pour chaque service.
Gestionnaires adaptés à un cabinet :
- Bitwarden : gratuit, open source, hébergement européen disponible
- 1Password : payant (environ 3 €/mois), interface très accessible
- Dashlane : version gratuite limitée, premium à 4 €/mois
L’investissement est de zéro à quelques euros par mois. Le risque évité : l’accès en cascade à tous vos services si un seul mot de passe fuite.
Mesure 3 : configurer la sécurité email de votre domaine
Si vous avez un domaine email professionnel (@votre-cabinet.fr), vérifiez qu’il est protégé contre l’usurpation. Trois protocoles — SPF, DKIM et DMARC — empêchent des attaquants d’envoyer des emails en se faisant passer pour vous.
Ces protocoles se configurent chez votre hébergeur (OVH, Ionos, Gandi, etc.) et sont gratuits. Vos clients et partenaires bénéficient alors d’une protection : ils ne recevront pas de faux emails semblant venir de votre cabinet.
Pour vérifier votre configuration actuelle et la corriger : Sécurité email PME : tester SPF, DKIM et DMARC.
Mesure 4 : mettre en place des sauvegardes régulières
Un ransomware chiffre l’ensemble de vos fichiers. Sans sauvegarde à jour, vos dossiers clients de 10 ans peuvent être perdus définitivement — ou récupérables uniquement contre paiement d’une rançon (que les autorités déconseillent formellement de payer).
La règle 3-2-1 est un standard éprouvé :
- 3 copies de vos données
- Sur 2 types de supports différents (disque local + cloud, par exemple)
- Dont 1 copie hors ligne ou hors réseau (disque dur externe déconnecté après la sauvegarde)
Pour un cabinet médical ou un cabinet d’avocats, la sauvegarde doit inclure les dossiers clients, les courriels, les documents en cours et les fichiers du logiciel métier. Des solutions comme Backblaze (2 €/mois pour un poste) ou la sauvegarde Microsoft OneDrive (incluse dans Microsoft 365) couvrent l’essentiel.
Mesure 5 : apprendre à reconnaître les emails frauduleux
La simulation de phishing est la méthode la plus efficace documentée pour développer les bons réflexes. Mais même sans programme formel, les règles de base s’apprennent vite.
Les vérifications à faire avant d’agir sur un email :
-
L’expéditeur réel — cliquez sur le nom affiché pour révéler l’adresse email complète. Le domaine après @ doit correspondre exactement à l’organisation supposée (
cnb.avocat.fr, pascnb-avocat.contact.com). -
L’URL avant de cliquer — survolez le lien sans cliquer. L’URL réelle s’affiche en bas de l’écran. Un lien prétendant mener vers
ameli.frqui afficheameli-pro-connexion.netau survol est une fraude. -
La cohérence de la demande — votre Ordre vous demande-t-il vraiment de vous connecter en urgence dans les 24h via un email ? La DGFiP vous envoie-t-elle vraiment des liens de paiement par email ? Non. Ces demandes passent par votre espace en ligne, que vous rejoignez en tapant vous-même l’adresse.
Pour les bonnes pratiques détaillées au quotidien : Bonnes pratiques email en entreprise : le guide.
Mesure 6 : fixer une procédure pour les changements de coordonnées bancaires
Pour les professions qui traitent des virements (avocats séquestres, notaires, experts-comptables), établissez une règle simple et non contournable : tout changement de coordonnées bancaires déclenche un appel de confirmation, sur un numéro connu, pas sur celui fourni dans l’email.
Cette procédure bloque la quasi-totalité des arnaques au changement de RIB. Elle ne prend que deux minutes. Elle peut éviter des pertes de plusieurs dizaines ou centaines de milliers d’euros.
Ce que coûte une attaque vs ce que coûte la prévention
Le coût d’un incident pour un cabinet de 3 à 10 personnes
| Poste de coût | Estimation |
|---|---|
| Remédiation informatique (nettoyage, récupération) | 3 000 – 15 000 € |
| Interruption d’activité (1 à 3 semaines selon le cas) | 5 000 – 30 000 € |
| Notification CNIL et gestion de crise | 2 000 – 8 000 € |
| Honoraires d’avocat (procédure disciplinaire éventuelle) | 5 000 – 20 000 € |
| Perte de clientèle à 12 mois | variable |
| Total estimé | 15 000 – 73 000 € |
Ces estimations sont cohérentes avec les données du rapport Hiscox Cyber Readiness Report 2025, qui situe le coût médian d’un incident cyber pour une TPE française entre 8 000 et 30 000 euros, hors coûts réputationnels.
Pour une analyse approfondie des coûts : Combien coûte vraiment une cyberattaque pour une PME.
Le coût de la prévention pour un cabinet de 1 à 5 personnes
| Mesure | Coût annuel |
|---|---|
| Gestionnaire de mots de passe (Bitwarden) | 0 – 40 € |
| 2FA sur messageries et portails | 0 € (intégré) |
| SPF/DKIM/DMARC | 0 € (configuration DNS) |
| Sauvegarde cloud (Backblaze ou équivalent) | 100 – 200 € |
| Antivirus professionnel | 30 – 80 € |
| Total | 130 – 320 €/an |
La comparaison est sans appel. La prévention coûte entre 50 et 500 fois moins cher qu’un incident.
Que faire après une attaque
Si vous suspectez d’avoir été victime d’un phishing, d’un ransomware ou d’une intrusion, voici la séquence à suivre.
Étape 1 : isoler et ne pas éteindre
Si une machine est infectée, déconnectez-la du réseau (débranchez le câble ethernet ou désactivez le Wi-Fi) mais ne l’éteignez pas. L’extinction peut détruire des traces forensiques utiles à l’enquête et, dans certains cas de ransomware, accélérer le chiffrement des données.
Étape 2 : contacter les autorités compétentes
- Cybermalveillance.gouv.fr — la plateforme nationale d’assistance aux victimes de cybermalveillance. Elle met à disposition des référents et des prestataires locaux. Numéro d’assistance : 0 806 000 036 (non surtaxé).
- Déposer plainte auprès du commissariat ou de la gendarmerie. Cette démarche est nécessaire pour l’assurance et pour que les services spécialisés (BEFTI, C3N) puissent agir.
Étape 3 : notifier la CNIL sous 72 heures
Si des données personnelles ont été compromises (ce qui est presque systématique), vous avez l’obligation légale de notifier la CNIL dans les 72 heures suivant la découverte de l’incident. La notification se fait en ligne sur le portail de la CNIL. La non-notification dans les délais est elle-même sanctionnable.
Étape 4 : informer vos clients concernés
Si l’incident présente un risque élevé pour les droits des personnes dont les données ont été compromises — ce qui est presque toujours le cas pour des données médicales ou juridiques — vous devez en informer les personnes concernées sans délai (article 34 du RGPD). Cette communication doit être claire, honnête et indiquer les mesures prises.
Étape 5 : changer tous les mots de passe depuis un appareil sain
Depuis un appareil qui n’est pas compromis (un téléphone, un autre ordinateur), changez immédiatement les mots de passe de votre messagerie professionnelle, vos portails professionnels, votre banque. Si vous n’aviez pas activé le 2FA, faites-le maintenant.
La formation : l’investissement le plus rentable
Les mesures techniques — 2FA, gestionnaire de mots de passe, sauvegardes — réduisent la surface d’attaque. Mais selon Proofpoint (State of the Phish 2025), environ un tiers des employés non formés cliquent sur un lien de phishing lors de leur première exposition. C’est vous, votre associé, votre collaborateur qui constitue la première ligne de défense.
Un programme de sensibilisation au phishing adapté aux professions libérales n’est pas un programme générique sur « ne cliquez pas sur les liens suspects ». C’est un programme qui met vos collaborateurs face à de vrais scénarios : le faux email du Barreau, la fausse notification Ameli, le faux relevé URSSAF. En voyant ces scénarios en conditions contrôlées — et en recevant une explication immédiate quand ils cliquent — ils développent les réflexes qui leur feront repérer la vraie attaque quand elle arrivera.
Les benchmarks sectoriels montrent que les professions libérales affichent des taux de clic initiaux compris entre 25 % et 40 % sur les premières simulations. Après 12 mois de programme régulier, ce taux tombe généralement sous 5 %. Ce n’est pas de la magie : c’est le résultat documenté de la pratique répétée. Pour les données par secteur : Phishing en entreprise : statistiques 2026.
Votre cabinet est-il protégé contre le phishing ?
En 15 minutes, testez si votre domaine email peut être usurpé par un attaquant pour envoyer de faux emails à vos clients.
Questions fréquentes
Pourquoi les professions libérales sont-elles ciblées par les cybercriminels ?
Les professions libérales concentrent des données à très haute valeur : données de santé, données juridiques confidentielles, données fiscales, patrimoniales. Un cabinet de 3 personnes peut détenir les informations personnelles de plusieurs centaines de clients. Pour un attaquant, c’est un ratio effort/gain exceptionnel. La faible maturité informatique de ces structures — souvent sans DSI ni responsable sécurité — aggrave l’exposition.
Un professionnel libéral est-il soumis au RGPD ?
Oui, sans exception. Tout professionnel qui traite des données personnelles de personnes physiques — patients, clients, mandants — est soumis au RGPD. Pour un médecin ou un professionnel de santé, les données traitées sont des données de santé (catégorie particulière au sens de l’article 9 du RGPD), ce qui impose des obligations renforcées. En cas de violation, la notification à la CNIL sous 72 heures est obligatoire. Les vrais montants des sanctions sont détaillés dans notre article sur les sanctions CNIL pour les PME.
Comment un avocat ou un notaire peut-il reconnaître un email frauduleux imitant son Ordre ?
Vérifiez systématiquement le domaine expéditeur : l’email doit venir de cnb.avocat.fr pour le CNB, pas d’un domaine sosie. Survolez les liens sans cliquer pour voir l’URL réelle. L’Ordre des avocats ou les instances professionnelles n’envoient jamais de liens de connexion urgents par email avec menace de sanction dans les 24 heures. En cas de doute, appelez directement le barreau sur un numéro connu.
Que faire si je suis victime d’un ransomware dans mon cabinet ?
Première mesure : isolez immédiatement les machines touchées du réseau (débranchez le câble réseau ou désactivez le Wi-Fi). N’éteignez pas les postes — cela peut compliquer la forensique. Contactez cybermalveillance.gouv.fr pour obtenir une assistance. Déposez plainte auprès du commissariat ou de la gendarmerie. Si des données clients sont compromises, notifiez la CNIL sous 72 heures et informez vos clients.
Quels outils de sécurité sont adaptés à un cabinet de 1 à 5 personnes ?
Quatre outils suffisent pour couvrir l’essentiel : un gestionnaire de mots de passe (Bitwarden gratuit, 1Password ou Dashlane), l’authentification à deux facteurs (2FA) sur toutes les messageries et outils métier, un antivirus maintenu à jour, et des sauvegardes régulières sur un support déconnecté ou un service cloud sécurisé. Ces mesures couvrent l’immense majorité des vecteurs d’attaque pour moins de 200 euros par an.