Les cabinets comptables et juridiques manipulent une concentration extrême d'informations sensibles : données financières, fiscales, sociales, juridiques de leurs clients. Une compromission n'affecte pas seulement le cabinet — elle propage le risque sur toute sa clientèle. C'est ce qui fait de ces cabinets des cibles prioritaires.
Pourquoi les cabinets sont visés
Trois caractéristiques. Concentration de données valorisées : un cabinet de 30 clients héberge l'équivalent de 30 entreprises en termes de données financières. Accès élargis : portails fiscaux (impots.gouv, DGFiP), URSSAF, banques, signature électronique. Secret professionnel : la pression à payer ou à étouffer un sinistre est forte car la fuite affecte directement les clients.
Sinistres typiques en cabinet
Phishing avec compromission de la messagerie du cabinet : utilisée ensuite pour envoyer des faux IBAN aux clients. Pertes en cascade chez plusieurs clients. Ransomware sur le serveur métier : Cegid, ACD, EBP chiffrés, perte de plusieurs mois de saisie. Vol de bases clients : ventes sur le dark web, recours collectifs des clients lésés. Fraude à la signature électronique : usurpation pour valider des actes.
Le secret professionnel et ses implications
Pour les avocats, le secret professionnel est absolu et pénalement sanctionné(article 226-13 du code pénal). Une violation, même involontaire, expose le cabinet à des sanctions ordinales et à des actions en responsabilité. Pour les experts-comptables, l'article 66 du code de déontologie pose des obligations équivalentes. L'assurance cyber doit couvrir les conséquences d'une violation accidentelle, mais ne peut pas effacer la responsabilité déontologique.
Garanties spécifiques aux cabinets
Une assurance cyber pour cabinet doit inclure : RC cyber étendue aux clients du cabinet (souvent appelée « couverture portefeuille »), frais de communication individualisée aux clients lésés, frais de défense ordinaleen cas de procédure disciplinaire, compensation perte de mandat si des clients partent suite au sinistre, cyber-extorsion avec négociation rapide pour limiter la divulgation. Plafonds typiques : 1 à 3 M€ pour un cabinet de 5 à 20 collaborateurs.
Tarifs observés
Cabinet de 1 à 3 collaborateurs : 800 à 1 800 €/an pour 250 000 à 500 000 € de capital. Cabinet de 4 à 15 collaborateurs : 2 200 à 5 500 €/an pour 1 M€. Cabinet de 16 à 50 collaborateurs : 5 500 à 14 000 €/an pour 2 M€. Majoration secteur juridique/comptable : +20 à +40 % par rapport à une PME standard, justifiée par la concentration de données et le secret professionnel.
Prérequis cyber pour un cabinet
MFA obligatoire sur tous les outils métier (Cegid, Sage, ACD, RPVA, e-Barreau) et sur la messagerie. Sauvegardes immuables des dossiers clients, testées trimestriellement. Hébergement en France ou UE des données clients. Politique de mot de passe robuste pour les connexions externes (impots, URSSAF, sécurité sociale). Formation annuelle obligatoire de tous les collaborateurs sur le phishing et la fraude au virement. Sans cela, refus ou prime majorée.
Articulation avec la RC pro
Un cabinet est généralement déjà couvert par une RC professionnelle obligatoire. Mais cette RC pro classique couvre rarement les sinistres cyber : elle vise les erreurs de conseil, pas les compromissions informatiques. La cyber est complémentaire, pas redondante. Notre rôle de courtier est de vérifier la jonction entre les deux contrats pour qu'il n'y ait ni doublon ni trou de garantie. Sur des cabinets matures, l'optimisation du couple RC pro + cyber dégage souvent 10 à 20 % d'économies sur la prime totale, à couverture équivalente.