inqase
Estimer ma prime
Assurance cyber · Avocats

L'assurance cyber pour les avocats et cabinets belges

Un logiciel malveillant bloque vos dossiers la veille d'une audience. Un escroc détourne un virement de 35 000 € en usurpant votre adresse email. Votre messagerie est lue en silence depuis deux semaines. Inqase intervient dès le premier appel, 24h/24, et couvre la facture.

Contexte du secteur

Un cabinet d'avocats concentre parmi les données les plus sensibles qui soient : dossiers judiciaires en cours, échanges couverts par le secret professionnel, coordonnées bancaires de clients dans les dossiers immobiliers et successoraux, stratégies de négociation. Une seule compromission engage votre responsabilité déontologique, votre réputation et la confiance de vos clients, parfois en quelques heures.

1 PME sur 2
a été confrontée à un incident cyber en Belgique en 2024 Source · Centre pour la Cybersécurité Belgique (CCB), 2024
65 000 €
coût moyen d'une attaque par rançongiciel pour une PME européenne Source · ENISA Threat Landscape, 2024
72 h
délai légal pour signaler une fuite de données à l'autorité de protection des données Source · RGPD, article 33

Pourquoi un cabinet d’avocats est une cible de choix pour les pirates

On imagine rarement les avocats comme cibles de cyberattaques. Et pourtant : un cabinet d’avocats est exactement le type de structure qu’un attaquant cherche à compromettre, pas pour paralyser une usine, mais pour accéder à des informations qui ont une valeur directe.

Stratégies de négociation. Positions dans un litige commercial. Coordonnées bancaires de clients dans un dossier de succession. Actes couverts par le secret professionnel. Ces données n’existent nulle part ailleurs que dans votre messagerie et sur votre serveur.

Le Centre pour la Cybersécurité Belgique rappelle qu’1 PME sur 2 a été confrontée à un incident cyber en 2024. Les cabinets d’avocats font partie de cette statistique, souvent sans le savoir, parce que beaucoup d’intrusions restent silencieuses.

Vos données valent beaucoup plus qu’une base clients ordinaire

Un cabinet traite quotidiennement des informations que personne d’autre ne possède :

  • Les stratégies de plaidoirie et positions de négociation dans des affaires en cours
  • Les coordonnées bancaires de vos clients dans les dossiers immobiliers, successoraux ou de récupération de fonds
  • Les données personnelles sensibles : situations familiales, antécédents, dossiers médicaux dans les affaires de dommages corporels
  • Les échanges confidentiels avec vos clients, protégés par le secret professionnel

Pour un concurrent, un escroc ou un groupe criminel, ces informations ont une valeur immédiate. C’est pourquoi les intrusions dans les cabinets d’avocats sont souvent silencieuses et prolongées.

Secret professionnel ne veut pas dire protégé du RGPD

C’est un point souvent mal compris.

Le secret professionnel vous protège sur le plan déontologique et pénal. Il ne vous dispense pas de vos obligations au titre du Règlement général sur la protection des données (RGPD).

Si des données personnelles de vos clients sont compromises, qu’il s’agisse d’une intrusion, d’un vol de matériel ou d’une fuite chez votre prestataire informatique, vous devez signaler l’incident à l’Autorité de Protection des Données dans les 72 h (article 33 du RGPD). Si le risque pour vos clients est élevé, vous devez également les informer individuellement.

Sans accompagnement, cette procédure est coûteuse, urgente et techniquement complexe. Elle nécessite un avocat spécialisé en protection des données, distinct de votre cabinet pour éviter tout conflit d’intérêts, mobilisable en urgence.

Les attaques les plus courantes dans les cabinets d’avocats

Le rançongiciel “veille d’audience”

Un rançongiciel (ou ransomware) est un logiciel malveillant qui chiffre vos fichiers et les rend inaccessibles jusqu’au paiement d’une rançon. C’est l’attaque la plus répandue contre les PME belges.

Le scénario type : un collaborateur ouvre une pièce jointe frauduleuse, simulant une convocation, une facture fournisseur ou un document de greffe. Le logiciel malveillant se propage sur le serveur de dossiers, généralement pendant la nuit.

Le lendemain matin, au moment d’ouvrir un dossier urgent, l’écran affiche un message de demande de rançon. Tout le serveur est verrouillé.

La réalité pratique est brutale. Si vous ne disposez pas de sauvegardes récentes et isolées du réseau principal, la restauration peut prendre plusieurs jours. Si vos sauvegardes sont propres, un expert informatique peut souvent récupérer l’accès en quelques heures, à condition d’agir rapidement.

La fraude à l’email, l’attaque qui vide les comptes

La fraude à l’email professionnel (appelée BEC pour Business Email Compromise) est l’attaque qui génère le plus de pertes financières dans les cabinets.

Le mécanisme est simple : un escroc crée une adresse email quasi identique à la vôtre, un seul caractère changé, invisible au premier coup d’œil, et envoie des instructions de virement à vos clients ou à votre secrétariat.

Dans le contexte d’un cabinet d’avocats, les moments les plus à risque sont :

  • La transmission des coordonnées de séquestre en fin de transaction immobilière
  • Le versement d’acompte dans un dossier de succession
  • La récupération de fonds après un jugement favorable

Le client fait le virement. L’argent part chez l’escroc. Vous ne le découvrez généralement que deux à trois jours plus tard, quand le vrai destinataire réclame son paiement.

La messagerie lue en silence

L’attaque la plus redoutée dans un contexte judiciaire : un pirate accède à votre messagerie et l’observe sans rien modifier, pendant des semaines.

Il lit les échanges avec vos clients, les stratégies de plaidoirie, les offres de transaction. Dans une affaire commerciale ou un contentieux entre associés, ces informations ont une valeur directe pour la partie adverse.

Ce type d’intrusion se détecte rarement sur le moment. Elle n’apparaît souvent qu’après coup, quand une série de coïncidences tactiques devient inexplicable autrement.

Comment Inqase intervient en cas d’incident

Dans l’heure

Vous appelez la hotline, disponible 24h/24 et 7j/7. Un expert informatique prend la main à distance pour évaluer l’étendue de l’intrusion, couper les accès non autorisés et identifier le point d’entrée.

Les premiers 1 000 € de frais techniques sont couverts immédiatement, sans franchise et sans pré-validation.

Dans les 72 heures

Si des données personnelles de vos clients sont concernées, un avocat spécialisé en protection des données, distinct de votre cabinet, est mobilisé pour préparer la déclaration à l’APD et évaluer l’obligation d’information individuelle des clients.

Une cellule de communication de crise peut être activée si l’incident risque de devenir public ou d’atteindre les médias.

Sur la durée

La perte de revenus pendant l’arrêt forcé est indemnisée sur votre marge brute réelle, selon la franchise temporelle de votre formule. Jusqu’à 10 000 € supplémentaires peuvent être mobilisés pour la récupération des données et les améliorations de sécurité après incident.

Tarif et souscription

Le simulateur Inqase donne un prix exact en 3 minutes, sans inscription. Le tarif dépend de votre chiffre d’affaires, du type de dossiers traités et de votre niveau d’équipement informatique. La couverture est active dès le paiement de la première mensualité.

Rançongiciel : tous vos dossiers bloqués la veille d'une audience

Le scénario

Un associé ouvre une pièce jointe reçue d'une adresse imitant celle du greffe. Un logiciel malveillant se propage discrètement sur le serveur du cabinet. Le soir, tous les dossiers actifs, conclusions, pièces, échanges avec clients, sont chiffrés et inaccessibles. Un message en anglais réclame 18 000 € pour les déverrouiller. L'audience du lendemain matin concerne une garde d'enfant en urgence.

Ce qui est pris en charge

  • Assistance 24/7 sans franchise : expert informatique mobilisé dans l'heure pour évaluer les options de récupération
  • Avis technique sur la faisabilité d'une restauration sans payer avant toute décision
  • Paiement éventuel de la rançon uniquement avec accord écrit préalable de l'assureur et d'un mandataire social
  • Perte d'exploitation indemnisée sur la marge brute selon la franchise temporelle de votre formule
  • Récupération des données et améliorations de sécurité post-incident jusqu'à 10 000 €

À savoir

  • Rançon payée sans accord préalable écrit de l'assureur : non remboursée
  • Cyber-guerre, faute intentionnelle, sinistre connu avant souscription : exclus
  • Paiement en cryptomonnaies sous sanctions internationales : exclu

Fuite de données couvertes par le secret professionnel

Le scénario

Votre prestataire informatique externe, à qui vous avez confié la sauvegarde distante des fichiers, est piraté. Des dossiers de clients particuliers et d'une procédure commerciale sensible se retrouvent dans la nature. Deux clients appellent le même matin après avoir reçu des tentatives d'hameçonnage reprenant des éléments précis de leur dossier.

Ce qui est pris en charge

  • Déclaration à l'Autorité de Protection des Données (APD) dans les 72h, pilotée par un avocat spécialisé distinct de votre cabinet
  • Courriers d'information aux clients concernés, rédigés et envoyés par la cellule communication
  • Call center pour absorber les questions des personnes exposées
  • Surveillance d'identité jusqu'à 12 mois pour les clients les plus exposés
  • Défense face aux plaintes et amendes administratives, dans la mesure où elles sont assurables en droit belge

À savoir

  • Les amendes infligées par l'APD restent non assurables dans leur composante punitive en droit belge
  • Données traitées sans base légale ni durée de conservation : exclusion possible
  • Sinistre connu ou déclaré avant souscription : exclu

Faux RIB en fin de transaction immobilière

Le scénario

La veille de la signature d'un compromis de vente, votre secrétariat reçoit un email signé de votre nom demandant de communiquer au client le 'nouveau' compte de séquestre pour le versement d'acompte. L'email provient d'une adresse quasi identique à la vôtre, un seul caractère différent, invisible au premier coup d'œil. Le client vire 35 000 €. Vous le découvrez deux jours plus tard.

Ce qui est pris en charge

  • Remboursement du virement frauduleux (vol, escroquerie, abus de confiance, faux et usage de faux)
  • Sous-limite fraude de 50 000 € par défaut par sinistre (extensible à la souscription)
  • Enquête informatique pour identifier comment votre identité a été usurpée
  • Accompagnement pour le dépôt de plainte pénale, obligatoire dans les 24h suivant la découverte

À savoir

  • Dépôt de plainte pénale dans les 24h suivant la découverte : condition obligatoire pour être indemnisé
  • Virements en cryptomonnaies : exclus
  • Fraude commise par un mandataire social du cabinet : exclusion

Messagerie lue en silence pendant des semaines

Le scénario

Un collaborateur utilise le même mot de passe pour sa messagerie professionnelle et un service en ligne piraté. Son compte est silencieusement consulté pendant trois semaines par un tiers. Des stratégies de plaidoirie, des offres de transaction et des échanges avec la partie adverse sont lus en temps réel. La partie adverse dans une affaire commerciale urgente semble systématiquement anticiper vos positions.

Ce qui est pris en charge

  • Assistance 24/7 sans franchise : expert informatique pour couper l'accès non autorisé et mesurer l'étendue de l'intrusion
  • Avis juridique sur vos obligations de déclaration (autorité de protection des données, clients, Ordre)
  • Frais d'avocat pour l'information aux clients dont les données ont été exposées
  • Communication de crise si l'incident devient public ou fait l'objet d'une plainte déontologique

À savoir

  • Préjudice stratégique non chiffrable, position compromise dans un litige : hors périmètre de l'assurance
  • Faute intentionnelle ou complicité interne : exclusion
  • Cyber-guerre et sanctions économiques : exclusion

Ce qui est couvert pour vous en tant que Cabinet d'avocats

Secret professionnel et RGPD : deux obligations qui s'appliquent en même temps

Le secret professionnel protège vos clients sur le plan déontologique. Le RGPD vous impose des obligations supplémentaires : en cas de fuite de données personnelles, vous devez notifier l'autorité de protection des données dans les 72h (article 33) et informer les personnes concernées. Inqase pilote toute cette procédure via un avocat spécialisé, distinct de votre cabinet pour éviter tout conflit d'intérêts.

La fraude au faux RIB : scénario le plus fréquent dans les cabinets belges

Les transactions immobilières, les successions et les récupérations de fonds après jugement sont des cibles idéales pour l'usurpation d'identité par email. La sous-limite fraude de 50 000 € couvre le remboursement du virement détourné, à condition de déposer plainte pénale dans les 24h suivant la découverte.

Assistance 24/7, week-ends et jours fériés compris

Les délais judiciaires n'attendent pas. Si un rançongiciel frappe la veille d'une audience, la hotline Inqase est active 24h/24 et 7j/7. Un expert informatique prend la main à distance dans l'heure. Les premiers 1 000 € de frais d'intervention sont couverts immédiatement, sans franchise, sans paperasse.

Récupération de vos fichiers jusqu'à 10 000 €

Restauration des dossiers depuis les sauvegardes, reconstruction des fichiers endommagés, audit de sécurité après incident et mise en place de protections renforcées : jusqu'à 10 000 € peuvent être mobilisés pour remettre votre cabinet en état et éviter que ça ne se reproduise.

Perte de revenus couverte pendant l'arrêt forcé

Si une attaque vous contraint à suspendre votre activité, accès aux dossiers impossible, matériel informatique hors service, la perte de revenus est calculée sur votre marge brute réelle, selon la franchise temporelle de votre formule. Pas sur le chiffre d'affaires brut.

Questions fréquentes pour Cabinet d'avocats

Mes obligations vis-à-vis de l'Ordre des barreaux sont-elles couvertes ?

Inqase couvre les coûts financiers directs de l'incident : déclaration à l'APD, frais d'avocat spécialisé, communication de crise, perte de revenus pendant l'arrêt. Les sanctions disciplinaires de l'Ordre restent hors périmètre, elles relèvent de la déontologie, pas du droit des assurances. En revanche, un avis juridique externe pour anticiper la gestion de l'incident vis-à-vis de l'Ordre peut être mobilisé via la garantie assistance.

Si la fuite vient de mon prestataire informatique, qui doit déclarer à l'APD ?

Vous, en tant que cabinet. Même si la fuite est techniquement chez votre sous-traitant, vous restez responsable de traitement vis-à-vis de l'APD (article 28 du RGPD). Vous avez 72h pour déclarer. Inqase pilote cette déclaration via un avocat spécialisé et organise ensuite le recours éventuel contre votre prestataire.

La fraude au faux virement est-elle couverte même si c'est notre secrétariat qui a effectué le virement ?

Oui, à condition que le virement résulte d'une tromperie externe, email frauduleux, usurpation d'identité, faux document. La faute doit être imputable à un tiers, pas à un mandataire social du cabinet. Le dépôt de plainte pénale dans les 24h suivant la découverte est une condition d'indemnisation.

Mon cabinet utilise un logiciel de gestion de dossiers en ligne (Kleos, Clio…). Suis-je couvert si ce service est attaqué ?

Oui. Ce qui est assuré, c'est votre cabinet et les conséquences financières pour votre activité, pas l'infrastructure informatique elle-même. Si l'indisponibilité du logiciel entraîne une interruption d'activité ou une fuite de données vous concernant, la police s'applique aux conséquences pour vous.

Combien coûte une assurance cyber pour un cabinet de 3 avocats ?

Le tarif dépend de votre chiffre d'affaires, du type de dossiers traités (immobilier, pénal, commercial) et de votre niveau d'équipement informatique. Le simulateur Inqase donne un prix exact en 3 minutes, sans inscription. Pour un cabinet de taille modeste, la prime annuelle est généralement comparable à votre assurance responsabilité civile professionnelle.

Estimer ma prime Nous contacter