Pourquoi les cabinets d’avocats et de comptables ont-ils besoin de SASE ?
Les cabinets d’avocats et de comptables traitent certaines des données les plus sensibles de tous les secteurs. Le secret professionnel est une obligation légale, pas une préférence, et il s’applique quel que soit l’endroit où les données sont stockées ou consultées. Les opérations multi-sites, le travail hybride et le BYOD des stagiaires créent des défis de contrôle d’accès que les VPN traditionnels ne peuvent pas résoudre de manière granulaire. Des plateformes comme Jimber unifient l’accès sécurisé, la protection web et la connectivité des sites dans une seule console, donnant aux petites équipes informatiques la supervision que le secret professionnel et NIS2 exigent.
Imaginez la réalité d’un cabinet d’avocats ou d’experts-comptables de taille moyenne. Les associés accèdent aux dossiers depuis les salles d’audience, les salles de réunion des clients et les bureaux à domicile. Les stagiaires se déplacent d’une succursale à l’autre avec des ordinateurs portables personnels. L’imprimante partagée de la réception se trouve sur le même segment de réseau que le système de gestion des documents. Cinq bureaux sont reliés entre eux par des tunnels VPN vieillissants qui permettent à quiconque se connecte d’accéder à tout.
Il ne s’agit pas d’une hypothèse. C’est la norme pour les entreprises qui emploient de 50 à 400 personnes réparties sur 3 à 15 sites. Il s’agit d’un problème de conformité qui s’aggrave chaque fois que l’entreprise s’agrandit, fusionne ou accueille un nouvel associé.
Ce billet explique pourquoi les sociétés de services professionnels sont confrontées à des risques de sécurité uniques, ce que coûte réellement une violation de données au-delà de l’amende globale, comment SASE répond à chaque défi avec un composant spécifique, et où NIS2 et les obligations de secret professionnel se chevauchent.
Les défis uniques des sociétés de services professionnels en matière de sécurité
Le secret professionnel est au centre de tout. En Belgique, l’article 458 du code pénal punit les avocats, les comptables et les réviseurs d’entreprises qui divulguent des informations obtenues dans l’exercice de leur profession. L’Orde van Vlaamse Balies (OVB) et l’Ordre des Barreaux Francophones et Germanophone (OBFG) attendent des praticiens qu’ils prennent des mesures raisonnables pour empêcher tout accès non autorisé. Cette obligation s’étend au stockage dans le nuage, à l’accès à distance et à tous les appareils qui touchent aux données des clients.
Il ne s’agit pas seulement de cocher une case de conformité. La réputation d’une entreprise repose entièrement sur la confiance. Dès qu’un client soupçonne que ses informations confidentielles pourraient être exposées, il change d’entreprise. Aucune campagne de marketing ne peut le rattraper.
Au-delà du secret, la structure opérationnelle de la plupart des entreprises crée des lacunes spécifiques en matière de sécurité.
L’expansion multisite. Une entreprise comptant huit bureaux a généralement huit configurations de pare-feu distinctes, huit jeux d’identifiants VPN à gérer et huit possibilités de mauvaise configuration. La cohérence est presque impossible à maintenir manuellement.
Travail hybride dans les locaux du client. Les avocats sont présents au tribunal, rendent visite à leurs clients et travaillent à domicile. Les comptables passent des journées entières dans les bureaux des clients pendant la saison des audits. Chaque site est un réseau différent avec des niveaux de risque différents. Les VPN traditionnels offrent à ces utilisateurs le même accès étendu au réseau, quel que soit l’endroit où ils se trouvent ou ce qu’ils doivent atteindre.
Stagiaires et indépendants BYOD. Les cabinets d’avocats belges emploient régulièrement des stagiaires qui utilisent leurs propres appareils. Les comptables intérimaires et les conseillers fiscaux indépendants apportent des ordinateurs portables personnels. Ces appareils échappent à la gestion des points finaux du cabinet, mais ils accèdent quotidiennement aux dossiers des clients.
Systèmes de gestion des documents. Des plates-formes comme iManage et NetDocuments constituent l’épine dorsale des opérations. Elles contiennent tous les dossiers des clients, toutes les correspondances privilégiées et tous les documents financiers. Une faille de sécurité qui atteint le DMS n’est pas un incident partiel. Il s’agit d’une exposition totale.
Des dispositifs partagés auxquels personne ne pense. Les imprimantes multifonctions numérisent vers le courrier électronique et stockent les documents dans la mémoire locale. Les écrans des salles de réunion se connectent au réseau. Les téléphones IP se trouvent sur le même VLAN que les postes de travail. Aucun de ces appareils ne peut exécuter un agent de sécurité des points finaux.
Ce qu’une violation de données signifie pour un cabinet d’avocats (au-delà de l’amende)
Le coût financier d’une violation dans le secteur des services professionnels est élevé. Les données sectorielles du rapport 2025 Cost of a Data Breach d’IBM montrent que les violations dans les secteurs des services financiers et professionnels dépassent régulièrement six millions de dollars en moyenne, ce qui est bien supérieur à la moyenne mondiale. Mais pour les cabinets d’avocats et d’experts-comptables, les véritables dommages sont d’ordre structurel.
Procédures disciplinaires. Les barreaux et les organismes professionnels peuvent suspendre ou radier les praticiens qui ne protègent pas la confidentialité de leurs clients. Pour un associé, il ne s’agit pas d’une amende. C’est la fin d’une carrière.
Responsabilité personnelle. En vertu de la législation belge, l’associé gérant ou le membre du conseil d’administration qui n’a pas mis en œuvre des mesures de sécurité adéquates peut être tenu personnellement responsable. Le NIS2 renforce ce principe par des dispositions explicites sur la responsabilité des dirigeants.
Vol du client. Les études montrent régulièrement que plus de 80 % des clients des services financiers envisageraient de transférer leurs actifs après une violation de données chez leur fournisseur de services. Les cabinets d’avocats sont confrontés à la même dynamique. La relation est fondée sur la confiance, et la confiance ne survit pas à une notification publique de violation de données.
Perte de l’avantage concurrentiel. Les grands clients intègrent désormais des exigences en matière de cybersécurité dans leurs procédures de passation de marchés. Un cabinet comptable qui ne peut pas démontrer l’existence de contrôles adéquats perd des appels d’offres au profit de concurrents qui peuvent le faire. C’est l’effet du NIS2 sur la chaîne d’approvisionnement qui se répercute sur les services professionnels.
Cascade réglementaire. Une entreprise qui traite des données pour des clients réglementés par le NIS2 (banques, sociétés d’énergie, prestataires de soins de santé) peut se retrouver classée comme fournisseur critique. Cela implique des obligations de reporting et des exigences d’audit supplémentaires, qu’une configuration VPN traditionnelle ne peut pas satisfaire.
Le secteur des services professionnels a été à l’origine d’environ 13 % de tous les incidents cybernétiques signalés ces dernières années, les principaux vecteurs d’attaque étant la compromission des courriels professionnels et les ransomwares. Les courriels d’hameçonnage déguisés en convocations de tribunaux, en notifications de l’administration fiscale ou en documents de clients sont particulièrement efficaces dans ce secteur parce qu’ils reflètent les communications quotidiennes légitimes.
Comment SASE résout chacun de ces défis
Le schéma ci-dessous montre comment chaque composante de SASE répond à un défi spécifique en matière de services professionnels.
| Défi | Composant SASE | Ce qu’il résout |
|---|---|---|
| Travail à distance sur les sites des clients et des tribunaux | ZTNA | Accès basé sur l’identité aux dossiers et au DMS sans VPN. Les utilisateurs n’accèdent qu’aux applications requises par leur rôle. |
| Plusieurs bureaux avec des pare-feux séparés | SD-WAN + FWaaS | Connectivité rapide et sécurisée entre tous les bureaux. Un seul ensemble de règles appliquées partout à partir d’une seule console. |
| Ordinateurs portables BYOD pour les stagiaires et les indépendants | Vérification de la sécurité des appareils | Seuls les appareils répondant aux exigences de sécurité (correctifs du système d’exploitation, cryptage du disque, antivirus actif) peuvent accéder aux données des clients. |
| Hameçonnage par le biais de documents juridiques et de factures | GTS | Inspecte l’ensemble du trafic web, bloque les liens et les téléchargements malveillants. L’isolation du navigateur exécute le contenu à risque dans un conteneur en nuage. |
| Imprimantes partagées, téléphones IP, écrans pour salles de réunion | Matériel NIAC | Isolation en ligne pour les appareils sans agent. Chaque périphérique ne communique qu’avec sa destination approuvée. Une imprimante compromise ne peut pas atteindre le DMS. |
| Politique cohérente et piste d’audit dans tous les bureaux | Console de gestion unique | Une interface unique pour les règles, la journalisation et la surveillance. La console unique de Jimber permet à une équipe informatique de deux personnes de gérer la sécurité de douze bureaux. |
| Cryptage de bout en bout pour les communications privilégiées | Chiffrement intégré | Tout le trafic entre les utilisateurs, les sites et les services est crypté par défaut, ce qui permet de répondre aux exigences de secret professionnel pour les données en transit. |
L’avantage pratique pour les sociétés de services professionnels est la consolidation. Au lieu de gérer des produits distincts pour le VPN, le filtrage Web, le pare-feu et la connectivité des sites, chacun avec sa propre console et son propre cycle de licence, SASE fournit tous ces produits à partir d’une seule plateforme. Une société belge de gestion de patrimoine a réduit ses coûts de sécurité de 58 % après avoir consolidé sa pile de sécurité fragmentée en une seule plateforme SASE. La dynamique des cabinets d’avocats et d’experts-comptables est identique : plusieurs bureaux, des données clients sensibles, de petites équipes informatiques et un besoin pressant de contrôles prêts à être audités.
NIS2 et secret professionnel : le chevauchement de la conformité
Le secret professionnel et le NIS2 peuvent sembler être des obligations distinctes, mais ils convergent sur presque tous les contrôles techniques.
Tous deux nécessitent un contrôle d’accès strict. Le secret professionnel exige que seules les personnes autorisées aient accès aux informations relatives aux clients. L’article 21 du NIS2 exige des contrôles d’accès basés sur l’identité avec une application du principe du moindre privilège. ZTNA offre les deux dans une seule configuration.
Tous deux exigent une journalisation et des pistes d’audit. Les barreaux attendent des cabinets qu’ils démontrent que l’accès aux dossiers des clients est contrôlé et surveillé. NIS2 exige des capacités de détection des incidents et des preuves des mesures de sécurité. La journalisation intégrée de Jimber couvre les exigences de piste d’audit pour les deux obligations à partir d’une seule console.
Dans les deux cas, le chiffrement est nécessaire. Les communications privilégiées doivent être protégées en transit et au repos. Le NIS2 prévoit le chiffrement comme mesure de sécurité proportionnelle. Les plates-formes SASE chiffrent tout le trafic par défaut.
Dans les deux cas, il faut intervenir en cas d’incident. Les organismes professionnels attendent des entreprises qu’elles informent les clients concernés lorsque la confidentialité est compromise. Le NIS2 impose une fenêtre de notification initiale de 24 heures aux autorités nationales. Une plateforme centralisée avec une journalisation unifiée permet de respecter les deux délais de réponse, plutôt que de passer les douze premières heures à chercher lequel des cinq outils distincts détient les preuves pertinentes.
Tous deux nécessitent une surveillance de la chaîne d’approvisionnement. L’article 21.2.d de la NIS2 exige des organisations qu’elles évaluent et gèrent les risques de sécurité de leurs fournisseurs de technologie. Les organismes professionnels s’attendent de plus en plus à la même diligence. Une plateforme SASE relevant de la juridiction de l’UE, comme l’infrastructure de Jimber basée en Belgique, permet d’éviter les risques liés à la loi CLOUD (CLOUD Act) que présentent les fournisseurs basés aux États-Unis. Le guide des alternatives européennes au SASE explique pourquoi la souveraineté des données est importante pour ce choix.
Résultat pratique : la mise en œuvre de SASE pour satisfaire à NIS2 répond simultanément à la plupart des exigences techniques que requiert le secret professionnel. Un projet, deux cadres de conformité. La liste de contrôle de conformité NIS2 destinée aux responsables informatiques couvre l’ensemble des contrôles.
Les attentes des organismes professionnels belges
L’OVB et l’OBFG n’ont pas publié de normes techniques prescriptives en matière de cybersécurité, mais l’orientation est claire. Les deux organisations attendent des praticiens qu’ils prennent des « mesures raisonnables » pour empêcher l’accès non autorisé aux données des clients, et ces attentes se renforcent.
L’Instituut van de Bedrijfsrevisoren (IBR) et l’Institut des conseillers fiscaux et des comptables (ITAA) sont plus explicites. Le plan d’action « Ambities 2030 » de l’IBR fait de la numérisation une priorité essentielle et, à partir d’avril 2026, l’authentification multifactorielle deviendra obligatoire pour accéder au portail de l’IBR. L’ITAA a également mis l’accent sur l’intégrité numérique et le traitement sécurisé des données des clients en tant qu’obligations professionnelles.
Il s’agit là d’indicateurs avancés. Lorsqu’un organisme professionnel impose l’AMF pour son propre portail, cela indique que les mêmes attentes s’étendront bientôt à la manière dont les praticiens traitent les données de leurs clients.
Pour les entreprises qui se préparent à ce changement, les principes de confiance zéro qui sous-tendent SASE, la vérification explicite, l’application du moindre privilège, l’hypothèse d’une violation, la validation de la posture des appareils et l’évaluation continue, fournissent un cadre qui répond à la fois aux exigences actuelles et émergentes. Le guide sur les contrôles de la posture des périphériques pour NIS2 explique comment mettre en œuvre les contrôles au niveau des périphériques qui seront recherchés par les auditeurs.
Les entreprises flamandes bénéficient également d’une incitation financière. La réforme de l’OCM-portefeuille, qui entrera en vigueur en février 2026, limite les subventions de conseil exclusivement à la cybersécurité. Les petites entreprises peuvent demander un remboursement de 45 % des frais de conseil en cybersécurité éligibles, avec un plafond annuel de 7 500 euros. Les entreprises de taille moyenne recevront 35 %. Cela fait de 2026 l’année la plus rentable pour mettre en œuvre le SASE, avec près de la moitié des coûts de conseil subventionnés.
Comment SASE s’intègre-t-il aux flux de travail juridiques et comptables ?
Les sociétés de services professionnels utilisent des applications spécifiques que toute solution de sécurité doit prendre en charge sans friction.
Systèmes de gestion des documents. iManage et NetDocuments sont accessibles via un navigateur et un client lourd. ZTNA publie ces applications par le biais de politiques basées sur l’identité. Un avocat au tribunal accède à iManage de la même manière qu’au bureau, avec les mêmes contrôles de sécurité appliqués automatiquement. Aucune connexion VPN n’est requise, aucun accès au réseau n’est nécessaire.
Gestion du cabinet et facturation. Des systèmes tels que CoyoteERP, Cicero et divers outils de suivi du temps sont de plus en plus hébergés dans le nuage. SWG applique des politiques de sécurité cohérentes à l’ensemble du trafic SaaS, tandis que les capacités CASB offrent une visibilité sur les applications en nuage utilisées par le personnel, y compris celles qui ne sont pas approuvées.
Courriel et Microsoft 365. La correspondance juridique passe par Outlook et Teams. SWG inspecte les liens et les pièces jointes en temps réel. L’isolation du navigateur peut rendre les pièces jointes suspectes dans un conteneur sécurisé, empêchant ainsi qu’une « assignation à comparaître » contenant des logiciels malveillants n’atteigne jamais le point final.
Numérisation et impression. Les imprimantes multifonctions qui scannent vers des partages de réseau ou des e-mails sont courantes dans tous les bureaux. Le matériel NIAC de Jimber peut embarquer ces appareils sans agent, limitant leur communication réseau aux seules destinations approuvées. Une imprimante compromise ne peut pas devenir un point de pivot pour atteindre le DMS ou les systèmes financiers.
Pour les entreprises qui souhaitent savoir comment tous ces éléments s’intègrent dans l’architecture, le guide de l’architecture SASE présente le flux de données, les modèles de déploiement et le fonctionnement pratique de l’inspection à passage unique.
Questions fréquemment posées
Le SASE basé sur le cloud est-il conforme aux obligations en matière de secret professionnel ?
Oui, à condition que la plateforme chiffre toutes les données en transit, applique des contrôles d’accès basés sur l’identité et traite les données dans la juridiction de l’UE. Le secret professionnel au sens de l’article 458 exige des mesures raisonnables pour empêcher tout accès non autorisé. Une plateforme SASE avec chiffrement intégré, accès « Zero Trust » et résidence des données en Europe répond à cette norme de manière plus complète qu’une collection d’appareils sur site avec des configurations incohérentes d’un bureau à l’autre.
Pouvons-nous sécuriser les ordinateurs portables des stagiaires et des indépendants sans installer d’agents ?
Partiellement. Pour les appareils gérés, l’agent SASE fournit une vérification complète de la posture et de l’application des politiques. Pour les appareils BYOD pour lesquels l’installation d’un logiciel n’est pas possible, l’accès par navigateur avec des autorisations limitées constitue une alternative contrôlée. Pour les appareils partagés tels que les imprimantes et les écrans de salles de réunion, le matériel NIAC fournit une isolation en ligne sans nécessiter de logiciel sur l’appareil lui-même.
Comment SASE gère-t-il les systèmes de gestion de documents comme iManage ?
ZTNA publie iManage (ou NetDocuments, ou tout autre DMS) en tant qu’application accessible par le biais de politiques basées sur l’identité. Les utilisateurs s’authentifient auprès de leur fournisseur d’identité, la plateforme vérifie l’état de l’appareil et l’accès n’est accordé qu’au DMS. Ils ne rejoignent jamais le réseau de l’entreprise. Cela signifie qu’un appareil personnel compromis ne peut pas scanner le reste du réseau, même s’il possède des informations d’identification iManage valides.
Les cabinets d’avocats relèvent-ils du NIS2 en Belgique ?
La plupart des cabinets d’avocats de taille moyenne ne sont pas directement classés comme des entités essentielles ou importantes dans le cadre du NIS2. Toutefois, les cabinets qui servent des clients réglementés par le NIS2 (banques, sociétés d’énergie, prestataires de soins de santé) sont de plus en plus considérés comme des fournisseurs essentiels. L’article 21, paragraphe 2, point d), exige de ces clients réglementés qu’ils évaluent et gèrent les pratiques de sécurité de leur chaîne d’approvisionnement, qui comprend leurs conseillers juridiques et financiers. En pratique, cela signifie que les attentes en matière de conformité au NIS2 se répercutent sur les sociétés de services professionnels par le biais des exigences des clients plutôt que par une réglementation directe.
Quel est le coût de la mise en œuvre de SASE pour une société de services professionnels ?
La tarification spécifique dépend du nombre d’utilisateurs, du nombre de sites et des composants requis. L’approche consolidée permet généralement de réduire les dépenses totales de sécurité par rapport à la gestion de produits distincts pour le VPN, le filtrage web, les pare-feu et la connectivité des sites. Une société de services professionnels comparable, un gestionnaire de patrimoine belge, a obtenu une réduction de 58 % des coûts totaux de sécurité après la consolidation. Les entreprises flamandes peuvent en outre demander un remboursement de 35 à 45 % sur les coûts de conseil en cybersécurité éligibles par l’intermédiaire du KMO-portefeuille.
Une équipe informatique de deux personnes peut-elle gérer SASE dans plusieurs bureaux ?
Oui, c’est le principal avantage opérationnel. Une console de gestion unique remplace la nécessité de gérer des configurations de pare-feu, des concentrateurs VPN et des dispositifs de filtrage Web distincts sur chaque site. Les politiques sont définies une seule fois et appliquées partout. La plateforme Jimber est conçue exactement pour ce scénario : des entreprises de taille moyenne avec de petites équipes informatiques gérant des environnements distribués.
Vous êtes prêt à voir comment une seule plateforme SASE gère le secret professionnel, la conformité NIS2 et la sécurité multi-sites à partir d’une seule console ? Réservez une démonstration et découvrez la configuration d’une société de services professionnels avec votre nombre spécifique de bureaux et d’utilisateurs.
