Un associé quitte le cabinet un vendredi soir. Le lundi matin, son ancien identifiant donne encore accès à la messagerie sécurisée, au cloud partagé et au logiciel de gestion des dossiers. Ce scénario revient régulièrement dans les structures de taille intermédiaire, où la gestion des accès repose sur la bonne volonté plutôt que sur un protocole formalisé.
La connection avocat aux outils numériques du cabinet mérite un cadrage strict, surtout quand un départ ou un changement de structure intervient.
Lire également : Colis perdus en vente : où les trouver ?
Révoquer les accès le jour du départ : un angle mort fréquent en cabinet d’avocat
On pense souvent à récupérer les clés du bureau et le badge d’entrée. La révocation des accès numériques passe après, parfois plusieurs jours après. Sur le terrain, le problème se concentre sur trois points.
Le premier, c’est la messagerie professionnelle. Un compte actif après un départ permet de consulter les échanges en cours, y compris ceux couverts par le secret professionnel au sens de l’article 66-5. Le deuxième, c’est l’accès au logiciel métier (gestion de cabinet, base documentaire, agenda partagé). Le troisième, c’est le stockage cloud, où transitent des pièces sensibles.
A lire en complément : Découvrez comment Cemantix du jour renouvelle vos compétences linguistiques
La révocation doit intervenir le jour même du départ effectif. Pas la semaine suivante, pas après un rappel. On prépare la liste des comptes à désactiver avant la date de sortie, et on l’exécute le jour J. Si le cabinet n’a pas de responsable informatique dédié, cette tâche revient à l’associé gestionnaire ou au prestataire IT.
Authentification multifacteur sur la connection avocat : ce que les assureurs exigent désormais
Les assureurs cyber ne se contentent plus d’une déclaration de bonnes intentions. Selon un article de Village de la Justice publié en 2025, l’authentification multifacteur (MFA) est attendue concrètement sur la messagerie, le cloud et le VPN pour que la couverture d’assurance reste valide.
En pratique, ça signifie qu’un simple mot de passe, même complexe, ne suffit plus pour sécuriser la connection avocat aux outils du cabinet. On ajoute un second facteur : application d’authentification sur smartphone, clé physique de type FIDO2, ou code temporaire envoyé par SMS (moins fiable, mais mieux que rien).
Lors d’un changement de cabinet, ce point devient critique. L’avocat partant doit être retiré des listes MFA, et ses tokens de connexion invalidés. De son côté, l’avocat qui rejoint un nouveau cabinet doit enregistrer ses propres dispositifs d’authentification, pas hériter de ceux d’un prédécesseur.
- Désinscrire l’ancien collaborateur de toutes les applications MFA liées au cabinet (Microsoft Authenticator, Google Authenticator, Duo, etc.)
- Réinitialiser les sessions actives sur l’ensemble des services cloud et VPN du cabinet
- Vérifier que les accès distants (télétravail, accès mobile) sont bien coupés et pas seulement les accès depuis le réseau interne
- Documenter la date et l’heure de chaque révocation dans un registre accessible aux associés
Sauvegarde et portabilité des dossiers lors d’un changement de cabinet
Un avocat qui change de structure emporte ses dossiers en cours. C’est le principe. En pratique, la transition génère des zones grises sur la sécurité des données.
Le transfert de dossiers doit passer par un canal chiffré. Envoyer des pièces par e-mail classique ou via WeTransfer expose les données à un risque d’interception que ni le barreau ni le RGPD ne tolèrent. On privilégie un outil de transfert sécurisé, idéalement hébergé en France pour rester hors du périmètre du Cloud Act américain.
Une copie complète des dossiers transférés reste dans le cabinet d’origine pendant la durée légale de conservation. On s’assure que cette copie est incluse dans le plan de sauvegarde. La règle dite 3-2-1-1-0, recommandée par l’ANSSI, prévoit trois copies des données sur deux supports différents, dont une hors site, une copie immuable et zéro erreur vérifiée par des tests de restauration mensuels.
Les retours varient sur la facilité réelle de ces tests de restauration dans les petits cabinets, mais le principe reste le même : une sauvegarde jamais testée n’est pas une sauvegarde.
Procédure de crise documentée : un critère que l’on ne peut plus ignorer
Que se passe-t-il si un ancien collaborateur utilise un accès non révoqué pour consulter des dossiers après son départ ? La réponse ne devrait pas être improvisée un lundi matin dans l’urgence.
Village de la Justice souligne en 2025 qu’une procédure documentée de gestion de crise est désormais un critère de conformité attendu par les assureurs. Cette procédure couvre le volet technique (isoler le compte compromis, couper l’accès, analyser les logs) et le volet réglementaire.
Obligations de notification en cas d’incident
Deux délais courent en parallèle quand des données personnelles sont touchées :
- Dépôt de plainte dans les 72 heures au titre de la LOPMI, condition nécessaire pour que l’assurance cyber intervienne
- Notification à la CNIL sous 72 heures si des données personnelles de clients sont concernées, conformément au RGPD
- Information des clients dont les données ont été exposées, avec un niveau de détail adapté à la gravité de l’incident
Un cabinet qui a formalisé ces étapes dans un document accessible à tous les associés gagne un temps précieux le jour où l’incident survient. Sans cette préparation, on perd des heures à chercher qui appeler et dans quel ordre.
Vérification des coordonnées bancaires : un réflexe à intégrer au changement de cabinet
Un aspect rarement associé à la connection avocat, mais directement lié à la cybersécurité opérationnelle : la vérification des RIB. Lors d’un changement de cabinet, les coordonnées bancaires communiquées aux clients, aux juridictions et aux partenaires doivent être mises à jour.
Les arnaques au faux RIB ciblent spécifiquement les périodes de transition, quand les interlocuteurs habituels changent et que les réflexes de vérification se relâchent. Confirmer tout changement de RIB par un appel téléphonique direct, jamais par e-mail seul, reste le moyen le plus fiable de bloquer ces tentatives.
Chaque changement de structure est aussi l’occasion de revoir l’ensemble de la chaîne d’accès : identifiants, mots de passe, tokens MFA, droits sur les plateformes partagées, accès aux comptes bancaires professionnels. Traiter ces points comme une check-list opérationnelle, et non comme une formalité administrative, protège le cabinet sortant, le cabinet d’accueil et surtout les clients dont les dossiers sont en jeu.
