Cyber-risques professions libérales : obligations, garanties et tarifs

Cyber-risques professions libérales : pourquoi et comment se protéger efficacement

En 2024, l'ANSSI a traité 4 386 événements de sécurité, soit une hausse de 15 % par rapport à 2023 [1]. Parmi les victimes de rançongiciels identifiées, 37 % étaient des TPE, PME et ETI, catégorie dans laquelle s'inscrivent la majorité des cabinets libéraux [1]. Avocats, médecins, notaires, experts-comptables : les cyber-risques des professions libérales ne sont plus une hypothèse lointaine, mais une réalité quotidienne. Ce guide vous explique pourquoi votre activité est particulièrement exposée, quelles obligations réglementaires vous incombent et comment choisir une assurance cyber adaptée à votre exercice.

Pourquoi les professions libérales sont des cibles privilégiées des cyberattaques

Les cyber-risques pour les professions libérales constituent aujourd'hui une menace majeure et croissante. Médecins, avocats, experts-comptables, notaires ou architectes : ces professionnels manipulent au quotidien des données parmi les plus sensibles (dossiers médicaux, stratégies juridiques, informations financières), particulièrement convoitées sur le dark web. Pourtant, leurs moyens de protection restent souvent très en deçà de ceux des grandes entreprises.

Les chiffres parlent d'eux-mêmes. Selon le rapport Hiscox 2024, 67% des entreprises françaises ont été victimes d'au moins une cyberattaque en 2024, contre 53% l'année précédente [1]. L'ANSSI a traité 4 386 événements de sécurité en 2024, soit +15% par rapport à 2023, et précise que 37% des rançongiciels ciblaient des TPE/PME/ETI, dont les cabinets libéraux [2]. Plus alarmant encore : 60% des PME victimes d'une cyberattaque grave ferment dans les 18 mois.

Plusieurs facteurs expliquent cette vulnérabilité spécifique :

• Ressources limitées en cybersécurité : 75% des TPE-PME investissent moins de 2 000€/an dans ce domaine, et seulement 44% estiment avoir un bon niveau de protection [3].
• Mode hybride cabinet/télétravail : l'utilisation d'appareils personnels et de réseaux non sécurisés multiplie les points d'entrée pour les attaquants.
• Faille humaine prépondérante : le phishing représente 60% des attaques, suivi de l'exploitation de failles (47%) et des rançongiciels en forte hausse.
• Chaîne de sous-traitance : les prestataires informatiques ou logiciels métiers peuvent devenir des vecteurs d'attaque indirects [4].

Double exposition : obligations RGPD et sanctions CNIL face aux cyber-risques

En cas de cyberattaque, les professions libérales font face à un double risque : les conséquences directes de l'incident (perte de données, arrêt d'activité) et une éventuelle sanction de la CNIL si les obligations du RGPD n'ont pas été respectées.

Obligations légales du RGPD

Depuis le 25 mai 2018, toutes les professions libérales qui collectent des données personnelles (c'est-à-dire la quasi-totalité d'entre elles) sont soumises au RGPD (Règlement Général sur la Protection des Données). La conformité au RGPD impose des obligations précises dont le non-respect engage directement la responsabilité civile professionnelle. La CNPL rappelle que cela implique notamment [4] :

• La tenue d'un registre des activités de traitement, disponible en cas de contrôle CNIL
• L'information des personnes concernées sur leurs droits (accès, rectification, suppression)
• La mise en place de mesures de sécurité adaptées (chiffrement recommandé)
• La réalisation d'une AIPD (Analyse d'Impact sur la Protection des Données) pour les traitements à haut risque, comme le suivi de patients

Articles clés du RGPD

L'article 32 du RGPD oblige tout responsable de traitement à mettre en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque : chiffrement des données, pseudonymisation, sauvegardes sécurisées régulièrement testées et évaluation continue des dispositifs de sécurité [5]. L'article 9 renforce cette protection pour les données sensibles (données de santé notamment), ce qui concerne directement les médecins, infirmiers, kinésithérapeutes et autres professionnels de santé.

Pour les professions de santé, la MACSF et la CNIL précisent que le professionnel est un responsable de traitement au sens du RGPD et doit pouvoir prouver sa conformité à tout moment [5]. Les professions juridiques (avocats, notaires) doivent en outre garantir le chiffrement des échanges et la confidentialité des dossiers numériques [6].

En cas de violation : notification obligatoire et sanctions réelles

Point critique : en cas de violation de données, vous devez notifier la CNIL dans les 72 heures après la découverte de l'incident et informer les personnes concernées si le risque est élevé [4][5].

La CNIL a enregistré 5 629 violations de données en 2024, soit +20% par rapport à 2023 [7]. Les sanctions sont concrètes et en hausse : en 2022, un chirurgien libéral a été condamné à 2 500€ d'amende par le Conseil d'État pour avoir laissé plus de 5 000 images médicales en libre accès sur Internet, faute de chiffrement et de sécurisation de ses serveurs [8]. Les amendes peuvent théoriquement atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. Le non-respect du délai de 72 heures pour notifier la CNIL aggrave encore votre situation en cas de contentieux avec les personnes dont les données ont été compromises.

Directive NIS2 : les professions libérales sont-elles concernées ?

La directive NIS2 (Network and Information Security), publiée en décembre 2022, élargit considérablement le périmètre des obligations de cybersécurité en Europe. Mais qu'en est-il pour les professions libérales ?

La réponse courte : non, pas directement. NIS2 vise les entités dites "essentielles" ou "importantes" selon des seuils précis (50 employés minimum, 10 millions d'euros de chiffre d'affaires). La grande majorité des cabinets libéraux n'atteint pas ces seuils [9].

Toutefois, l'impact indirect est réel. Un cabinet comptable ou juridique prestataire d'une entité soumise à NIS2 peut se voir imposer des clauses de sécurité contractuelles strictes. Les entités concernées doivent notifier les incidents sous 24h (alerte initiale) puis 72h (rapport complet) à l'ANSSI, avec des sanctions pouvant atteindre 10 millions d'euros ou 2% du CA mondial [9].

Depuis mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), un document de travail listant les mesures recommandées pour atteindre les objectifs de sécurité NIS2 [9]. Même hors périmètre NIS2, ce référentiel constitue un guide précieux pour les professions libérales souhaitant structurer leur démarche de cybersécurité.

Ce que couvre (vraiment) une assurance cyber pour professions libérales

Beaucoup de professionnels libéraux pensent être protégés par leur RC Pro (responsabilité civile professionnelle). En réalité, la RC Pro couvre les dommages causés à des tiers, mais pas les pertes propres : restauration du système informatique, reconstitution des données, perte d'exploitation durant l'arrêt d'activité [7]. C'est précisément ce que couvre une assurance cyber dédiée.

Comparatif des garanties par assureur

Source : données internes AssurancesLabs, matrices de garanties Allianz, AXA, Hiscox, Chubb et MACSF.

Tarifs indicatifs et comparatif par taille

Le coût d'une assurance cyber varie selon la taille de la structure, le secteur d'activité et le niveau de garanties souhaité :

• Micro-cabinets / exercice individuel : de 350 € à 1 500 €/an pour des garanties allant jusqu'à 50 000 €
• Cabinet de 1 à 5 personnes (plafond 500 000€) : 800 à 2 000€/an
• Cabinet de 5 à 15 personnes (plafond 1 M€) : 2 000 à 5 000€/an
• Secteurs sensibles (médical, juridique) : souvent au-delà de 100 €/mois en raison de la sensibilité des données traitées
• Exemples concrets : cabinet juridique (300-400 K€ de CA) environ 630€/an ; centre de radiologie (800-900 K€ de CA) environ 1 135€/an
• Hiscox : à partir de 48,94€/mois pour une couverture cyber dédiée

Points importants sur les couvertures

Amendes CNIL et frais de gestion : les amendes CNIL directes ne sont pas assurables. En revanche, les frais de gestion de la procédure (avocat, notification, communication de crise) peuvent l'être, comme le précise notamment Hiscox avec sa garantie « enquêtes et sanctions » [7].

Pour les professions de santé : la MACSF propose une garantie Cyber Base incluse automatiquement dans la multirisque professionnelle (plafond de 5 000 €), avec une option Cyber Plus à 25 000 € comprenant reconstitution des données, accompagnement juridique, communication de crise et surveillance post-incident [8].

RC Pro et assurance cyber complémentaires : La RC Pro (obligatoire pour les avocats, experts-comptables et professionnels de santé) couvre les conséquences financières des erreurs professionnelles. L'assurance cyber couvre spécifiquement les incidents informatiques : intrusion, ransomware, fuite de données, fraude en ligne. Les deux sont complémentaires et ne se substituent pas l'une à l'autre [10]. En cas de cyberattaque, la RC Pro seule ne prendra pas en charge les frais de remédiation technique, la notification CNIL ou la perte d'exploitation liée à l'arrêt des systèmes.

Bonnes pratiques et réflexes en cas d'incident

Au-delà de l'assurance, la prévention reste le premier rempart contre les cyber-risques des professions libérales. Voici les mesures prioritaires :

Mesures préventives essentielles

• Former et sensibiliser vos collaborateurs aux menaces de phishing, ransomwares et bonnes pratiques numériques : c'est la première ligne de défense, car la majorité des attaques réussies exploitent une erreur humaine.
• Double authentification (2FA/MFA) : à activer en priorité sur les messageries, logiciels métiers et portails administratifs.
• Sauvegardes selon la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Testez régulièrement la restauration.
• Mots de passe robustes (10 caractères minimum) via un gestionnaire dédié et utiliser l'authentification multi-facteurs sur tous les accès sensibles.
• Sécuriser le télétravail avec un VPN et une séparation stricte des usages professionnels et personnels.
• Mises à jour systématiques de tous les systèmes et logiciels.
• Plan de Reprise d'Activité (PRA) : formalisez-le avant toute crise pour garantir la continuité de votre cabinet (qui contacter, quelles procédures suivre, quels systèmes restaurer en priorité).

Que faire dans les premières heures suivant une cyberattaque ?

1. Isoler immédiatement les systèmes compromis (déconnecter du réseau, ne pas éteindre).
2. Notifier la CNIL sous 72 heures si des données personnelles sont concernées.
3. Contacter votre assureur cyber pour activer la cellule de gestion de crise (délai idéal : dans les 72 heures également).
4. Déposer plainte auprès de la police ou de la gendarmerie.
5. Signaler l'incident sur Cybermalveillance.gouv.fr pour bénéficier d'une assistance et d'un accès aux fiches pratiques.

Conclusion

Les cyber-risques pour les professions libérales ne sont plus une menace théorique : avec 67% des entreprises françaises touchées en 2024, 37% des victimes de rançongiciels étant des TPE/PME, et des sanctions CNIL de plus en plus fréquentes, la question n'est plus de savoir si une attaque surviendra, mais quand. La combinaison d'une conformité RGPD rigoureuse, de bonnes pratiques de cybersécurité et d'une assurance cyber adaptée constitue le triptyque indispensable pour protéger votre cabinet, vos patients ou clients, et votre réputation.

Chez AssurancesLabs, nous aidons les professionnels libéraux à comprendre, comparer et choisir les couvertures d'assurance les plus adaptées à leurs besoins. Nos guides complets, comparatifs détaillés et conseils d'experts vous accompagnent dans cette démarche avec transparence et pédagogie, pour que vous puissiez prendre les meilleures décisions en toute connaissance de cause.

Références

1. Hiscox France, Cyberassurance et RGPD : êtes-vous vraiment couvert face aux sanctions ?
2. ANSSI, Panorama de la cybermenace 2024
3. Cybermalveillance.gouv.fr, 2024 : une année marquée par un nombre record de violations de données personnelles
4. Interfimo, Sécurité des données personnelles : quels enjeux pour les professions libérales ?
5. MACSF, Médecins libéraux et RGPD : attention aux failles de sécurité informatique
6. Agence RGPD, RGPD et professions juridiques
7. France Assureurs, Guide protection des données personnelles et risques encourus
8. CNIL, Rapport annuel 2024
9. ANSSI, La directive NIS 2
10. Hiscox France, Complémentarité assurance cyber et conformité RGPD
11. Assurup, Indépendant ou PME : quand souscrire une assurance cyber ?
12. France Num / ANSSI, Guide des bonnes pratiques de l'informatique pour les TPE/PME