1. Messagerie : le maillon le plus exposé
L'email reste le canal principal d'échange avocat-client. Or, le mail standard transite en clair sur Internet (sauf TLS opportuniste, qui n'est pas garanti). Les mesures à mettre en place :
- MFA sur toute la messagerie du cabinet, sans exception (associés, collaborateurs, secrétariat).
- SPF, DKIM, DMARC activés sur le domaine pour empêcher l'usurpation.
- Messagerie chiffrée de bout en bout pour les échanges hyper-sensibles : ProtonMail, Tuta, ou Olvid (français, certifié ANSSI).
- Politique stricte sur les pièces jointes : identification de la nature confidentielle dans le nom du fichier, idéalement chiffrement individuel des dossiers très sensibles avec un mot de passe transmis par un autre canal.
2. Stockage cloud : RGPD et secret cumulés
Le stockage des dossiers chez Microsoft 365 / Google Workspace est légal en France pour la majorité des dossiers, à condition de respecter :
- Choix d'une région d'hébergement européenne dans les paramètres tenant.
- DPA (Data Processing Agreement) signé avec le fournisseur cloud — typiquement déjà couvert par les CGU pro.
- Cloisonnement par dossier : les dossiers d'un client ne sont pas visibles par tous les collaborateurs.
Pour les dossiers à très forte sensibilité (instruction pénale, divorce conflictuel, contentieux d'affaires majeur), envisager :
- Un cloud souverain français (OVHcloud, Scaleway, Infomaniak).
- Un stockage local dans le cabinet, sur serveur durci.
- Le chiffrement applicatif des fichiers les plus sensibles avant dépôt cloud (Cryptomator, par exemple).
3. Téléphones mobiles : le risque sous-estimé
Le smartphone professionnel contient des emails, des documents partagés, parfois des notes personnelles sur les dossiers. En cas de vol :
- Verrouillage par code à 6+ chiffres (pas un schéma facile, pas un code 4 chiffres).
- Chiffrement matériel activé (par défaut sur iOS, à vérifier sur Android selon constructeur).
- Effacement à distance configuré (Find My iPhone, Microsoft Intune Mobile, Google Find My Device).
- MDM (Mobile Device Management) pour les cabinets 5+ avocats — Microsoft Intune ou équivalent.
4. Déplacements et garde à vue : matériel dédié
L'avocat qui se déplace au commissariat ou au tribunal a souvent un ordinateur portable avec lui. Risques :
- Confiscation temporaire ou contrôle dans certaines juridictions à l'étranger.
- Vol dans une salle d'attente ou un véhicule.
- Inspection visuelle de l'écran par tiers.
Mesures :
- BitLocker activé sur tous les portables.
- Verrouillage de session après 5 minutes d'inactivité.
- Filtre de confidentialité (filtre polarisant) pour bloquer la vue latérale.
- Pour les déplacements à l'étranger sensibles, considérer un poste « voyage » dédié, contenant uniquement le strict nécessaire.
5. RPVA et plateformes métier
Le Réseau Privé Virtuel des Avocats (RPVA) impose des exigences spécifiques :
- Configuration sécurisée des postes accédant au RPVA.
- Certificat e-Barreau à protéger (jamais sur clé USB partagée, jamais en pièce jointe email).
- MFA recommandée sur les comptes RPVA.
De même pour les plateformes métier : Légifrance, Lextenso, Dalloz, Lamyline. Ces accès méritent les mêmes précautions que vos comptes bancaires (mots de passe uniques, MFA).
6. Plan de continuité : le cas particulier des audiences
Une PRA dans un cabinet d'avocats inclut un cas absent dans une PME standard : vous avez une plaidoirie demain matin et votre poste vient de tomber ce soir. Le plan doit prévoir :
- Sauvegarde des dossiers en cours sur un second support indépendant (drive cloud + clé USB chiffrée).
- Procédure rapide pour récupérer les pièces depuis un autre poste.
- Imprimés papier des pièces critiques pour les audiences proches.
À retenir
Ce que Scryptoura fait pour vous
Notre offre dédiée Cybersécurité pour cabinets d'avocats intègre ces 6 points dans la grille d'audit. Le Diagnostic Découverte en cabinet d'avocats prend en compte la spécificité de la confidentialité absolue.