Cybersécurité et propriété intellectuelle : le paradoxe du coffre-fort

À travers un cas concret inspiré d’attaques réelles, cet article met en lumière un paradoxe encore sous-estimé : les professionnels de la propriété intellectuelle accompagnent les entreprises dans la protection de leurs actifs stratégiques… tout en restant fortement exposés eux-mêmes aux cybermenaces. Entre risques invisibles, attaques ciblées et nouvelles exigences réglementaires, ce paradoxe du coffre-fort appelle à une prise de conscience rapide.

Conseil en Propriété Industrielle, Mandataire européen en brevets et spécialiste reconnu des enjeux de cybersécurité, Ghislain Demonda expose son analyse éclairante et nous propose des actions simples à mettre en œuvre dès maintenant.

Vendredi, 17h30. Un cabinet de conseil en propriété industrielle, huit personnes.

Ce matin, la comptable a reçu un email de l’Office européen des brevets lui demandant de « vérifier ses identifiants de connexion MyEPO ». Elle a cliqué sur le lien. Elle a saisi son mot de passe.

À 16 heures, un premier client appelle, perplexe : il vient de recevoir un email du cabinet lui demandant un virement de 45 000 euros vers un nouveau compte bancaire. Dans l’heure qui suit, trois autres clients signalent des messages identiques — tous envoyés depuis l’adresse légitime du cabinet.

Ce scénario n’est pas une fiction. C’est une reconstruction fidèle, inspirée d’incidents réels : l’EUIPO et Europol documentent la multiplication des attaques par usurpation d’identité visant les professionnels de la PI, tandis que l’ANSSI alerte sur la compromission de messageries professionnelles dans les PME. Et il met en lumière un paradoxe que la profession n’a pas encore pleinement mesuré : les professionnels de la propriété intellectuelle consacrent leur expertise à protéger l’innovation de leurs clients, mais restent souvent eux-mêmes exposés aux menaces numériques les plus élémentaires.

Pourquoi parler de « paradoxe du coffre-fort » ?

Un cabinet de CPI, un cabinet d’avocats PI, un service juridique ou innovation d’entreprise : chacun concentre en un seul point les informations les plus sensibles de dizaines d’organisations — brevets non publiés, stratégies de dépôt et d’extension de marques, analyses de liberté d’exploitation, dessins avant divulgation, secrets d’affaires. Pour un attaquant, compromettre ce point unique revient à ouvrir simultanément tous les coffres. C’est ce qui rend ces professionnels si rentables à cibler : l’effort est celui d’une seule intrusion, le gain est celui de dizaines de clients.

Les chiffres le confirment : 4,4 millions d’euros de coût moyen par violation de données (IBM, 2025), 241 jours en moyenne avant qu’une intrusion ne soit identifiée et contenue, et 43 % des cyberattaques qui visent des structures de moins de 250 personnes (Verizon DBIR) — précisément le profil de la majorité des cabinets de CPI.

Qui cible les professionnels de la PI, et pourquoi ?

On réduit souvent la menace au hacker isolé. La réalité est plus structurée. Quatre profils d’attaquants se distinguent : – les concurrents qui cherchent un avantage compétitif direct (un brevet non publié vaut une avance de 18 mois sur un marché ; une stratégie d’extension de marques révélée permet de déposer en premier dans les pays visés), – les États engagés dans l’espionnage stratégique, – les insiders — collaborateurs ou prestataires malveillants ou simplement négligents — et – les cybercriminels opportunistes, ceux qui chiffrent vos données un vendredi soir et réclament une rançon le lundi matin. Le point commun : tous savent que la chaîne de valeur PI, du dépôt à la délivrance, est une surface d’attaque continue. Chaque échange avec un correspondant étranger, chaque transfert via un portail d’office, chaque email à un gestionnaire d’annuités est un point d’entrée potentiel.

Quel est le risque que personne ne voit venir ?

Les métadonnées. Chaque document Word ou PDF envoyé par email transporte des informations invisibles : le nom de l’auteur réel (parfois un stagiaire), le chemin d’accès réseau (qui peut révéler un nom de client dans l’arborescence — « D:_SA »), l’historique des modifications, le nom de l’organisation, l’imprimante utilisée. Un rapport d’analyse de liberté d’exploitation envoyé sans nettoyage préalable peut trahir la stratégie d’un client sans qu’aucun hacker n’ait eu à intervenir.

La vérification prend deux minutes. La quasi-totalité des professionnels PI ne l’a jamais faite.

Les professionnels PI sont-ils directement concernés par NIS2 et le RGPD ?

Pas toujours de front, mais de plus en plus par ricochet. NIS2, dont la transposition française est imminente, imposera aux entités régulées de vérifier que leurs prestataires respectent des standards de cybersécurité. Un cabinet intervenant pour une entreprise de l’énergie, de la santé ou du numérique entre potentiellement dans cette chaîne d’exigences. Le RGPD, lui, impose déjà une notification à la CNIL sous 72 heures en cas de violation de données personnelles — un délai qui suppose d’avoir formalisé une procédure avant l’incident, pas pendant.

Que peut-on faire concrètement en 30 jours ?

Cinq gestes suffisent à réduire significativement l’exposition :
🔐 activer l’authentification multi facteur sur tous les comptes professionnels,
🔎 inspecter les métadonnées avant chaque envoi de document sensible,
🛡️ auditer les accès et renouveler les mots de passe critiques,
☝️ organiser une sensibilisation interne, et
📄 rédiger une fiche réflexe incident — même simplifiée.

Aucune de ces actions ne requiert de compétence technique avancée. Toutes relèvent de la décision, pas de l’expertise.

Ghislain DEMONDA, Conseil en Propriété Industrielle et Mandataire européen en brevets, certifié CISM (Certified Information Security Manager — ISACA) et CEH (Certified Ethical Hacker — EC-Council), intervient pour l’IEEPI dans le cadre de la formation « Cybersécurité & Propriété Intellectuelle : Diagnostiquer, comprendre, agir ». Prochaine session : 21-22 septembre 2026, à distance.