La cybersécurité dans les cabinets comptables
Aujourd’hui, en 2024, la cybersécurité est devenue incontournable pour les PME. Ainsi, selon l’enquête de la FFCyber (Fédération Française de la Cybersécurité), 21% des TPE/PME (Petites et Moyennes Entreprises) françaises ont déjà été victimes de cyberattaques en 2023. Dans ce contexte, la cybersécurité dans les cabinets comptables nécessite la mise en place d’une politique de sécurité informatique efficace. L’objectif principal est de garantir leur propre sécurité et celle des données de leurs clients.
Les formes d’attaques les plus courantes sont le piratage de compte (23,5%), le phishing (21,2%) et le ransomware (16,6%). Aussi, face à cette situation, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction générale des entreprises (DGE) ont publié un guide pour aider les TPE/PME à prévenir et lutter contre les attaques informatiques. En fait, les PME et TPE sont la cible de nombreuses attaques en raison de leur petite taille et de leur manque de moyens.
Dans ces conditions, la question de cybersécurité dans les cabinets comptables se pose avec acuité.
Principales attaques visant la cybersécurité dans les cabinets comptables
Comme pour les PME/TPE en général, les cabinets comptables sont principalement victimes des trois formes d’attaques précitées.
Le phishing
Le phishing, également connu sous le nom de « hameçonnage », est une escroquerie qui se déroule sur internet. Elle prend la forme notamment d’envois d’emails, SMS ou encore d’appels.
Il peut aussi s’agir de :
- cliquer sur un lien
- ou encore télécharger un document infecté.
La tromperie consiste à se faire passer pour un interlocuteur fiable ((banques, administrations, entreprises de livraison, famille, etc.). Alors, les victimes communiquent des données sensibles (identité, carte bancaire, etc.). Une fois récupérées, ces données sont utilisées de manière malveillante (achats, accès à des comptes financiers, etc.).
Le ransomware
Le ransomware (ou rançongiciel) est un type de malware (logiciel malveillant). Il peut consister au téléchargement d’une pièce jointe attachée à un email. Une autre façon de faire est d’inciter les victimes à aller sur un site qui contient un code. Alors, les victimes doivent payer une rançon pour :
- soit, déchiffrer leurs propres fichiers
- soit, accéder aux postes informatiques tout simplement.
Le piratage de compte
Le piratage de compte est également connu sous le nom de compromission de compte ou Account Takeover Fraud (ATO). En fait, cet acte malveillant consiste à prendre le contrôle d’un compte au détriment de son propriétaire. Ce type d’attaque peut concerner tout type de comptes allant des messageries à de sites administratifs ou à des plateformes commerciales.
Parmi les méthodes utilisées, on dénombre :
- des mots de passe compromis
- le phishing
- ou encore l’usage de logiciels malveillants
In fine, les conséquences peuvent s’avérer très graves y compris en matière de fraude financière sans compter la réputation de la victime.
Mesures visant à renforcer la cybersécurité des cabinets comptables
De ce fait, l’infection des systèmes informatiques peuvent conduire au vol de données sensibles du cabinet. Cette situation peut être le fruit de une erreur humaine ou bien d’une défaillance technique.
Toujours est-il que les conséquences d’une cyberattaque sont graves :
- des pertes financières substantielles
- l’atteinte à la réputation du cabinet
- le vol de données sensibles de clients
- le dysfonctionnement de la structure avec des systèmes d’information corrompus
- le départ de clients stressés et mécontents
Les cabinets comptables doivent donc aujourd’hui redoubler de vigilance face au risque de cyberattaques. Il est nécessaire de mettre en place une véritable politique de sécurité informatique afin de garantir leur propre sécurité et celle des données de leurs clients.
Au niveau individuel : sensibilisation des employés
La sensibilisation des employés est essentielle surtout dans le cas de manipulation d’informations personnelles. Aussi, avant de communiquer avec un interlocuteur, il convient de :
- vérifier l’identité de l’expéditeur
- cerner l’intérêt et/ou la légitimité du message
Ceci est d’autant plus vrai dans le cas de la présence de liens ou fichiers joints. Aussi, dans le cadre d’une session de formation, les collaborateurs doivent comprendre l’intérêt de la vérification des sources.
A cela s’ajoute l’utilisation de mots de passe forts à changer par ailleurs régulièrement. Si cela est possible, il est conseillé d’activer la double authentification (AMF).
Enfin, les employés doivent effectuer une sauvegarde régulière des fichiers importants.
Au niveau des infrastructures du cabinet : sécurisation des systèmes d’information
Aussi, tant pour les réseaux que pour les ordinateurs et les smartphones, le cabinet doit mettre en place :
- des pare-feux
- des programmes de détection de logiciels malveillants.
A ce titre, il est souhaitable d’utiliser des logiciels antivirus efficaces sans oublier une mise à jour régulière des systèmes et des logiciels. En outre, le cabinet devra aussi se tenir informé des vulnérabilités connues.
De plus, le cabinet peut envisager d’utiliser :
- des VPN (Virtual Private Network).
Ainsi, en cas de cyberattaques, les VPNs protègent les données qui sont en fait chiffrées. De plus, ils permettent également de sécuriser les collaborateurs qui travaillent à distance. Aussi, ceux-ci peuvent alors accéder au réseau interne ou au cloud du cabinet via une connexion chiffrée.
Au niveau de la gouvernance du cabinet : instauration de protocoles
La mise en place de protocoles est nécessaire en cas de matérialisation du risque cyber. Cela permet de répondre rapidement à tout incident réduisant par la même les dommages.
- Par exemple, en cas de piratage de compte, il est important de changer immédiatement le mot de passe et de contacter le service concerné pour obtenir des conseils et des aides pour récupérer le contrôle du compte.
- Ou encore, il est important d’inciter le personnel à reporter toute activité suspecte et d’effectuer des sauvegardes régulières dans des lieux sécurisés.
- Enfin, naturellement, le cabinet se doit de choisir des services informatiques (cloud, VPN, etc.) qui offrent des options de sécurité appropriés au risque cyber.
Par ailleurs, en cas de cyberattaque, depuis mai 2018, le RGPD exige que toute entité notifie l’incident dans les 72 heures. Cela concerne également les victimes collatérales, par exemple, les clients en cas de pertes de données sensibles.
Bien sûr, la politique de cabinet en matière de système d’information n’est pas inscrite dans du marbre. Revoir cette politique à intervalles réguliers s’avère tout aussi impératif tant que les menaces évoluent à un rythme effréné. Aussi, l’objectif est d’effectuer des modifications si nécessaire pour garantir au mieux les données des clients.
Au niveau des autorités administratives : l’Ordre des Experts-comptables en partenariat avec le COMCYBER
Dans ce contexte, l’OEC vient de signer un partenariat avec le COMCYBER du ministère de l’Intérieur le 23 juillet 2024. Il consiste à :
- sensibiliser
- former
les experts-comptables à la cybersécurité auprès d’une clientèle de PME/TPE.
Aussi, cette convention de partenariat préfigure « un échange d’informations sécurisé » et « les meilleures pratiques de prévention » contre les cyberattaques. Autrement dit, il s’agit d’un rapprochement entre le côté proximité des experts-comptables auprès des PME/TPE et l’administration. In fine, l’objectif est de partager les ressources et expertises en vue de lutter contre les cyberattaques.
Pour en savoir plus : Post de l’OEC sur LinkedIn
Conclusion : la cybersécurité dans les cabinets comptables
Pour conclure, la cybersécurité est essentielle pour accompagner le processus de digitalisation des cabinets (automatisation des tâches, dématérialisation des documents, entre autres).
Il est alors impératif de bien cerner les risques cyber pour protéger les données des clients. La sensibilisation aux cyberattaques concerne tout le personnel du cabinet de l’assistant à l’expert-comptable. Et, cela est valable tant sur le lieu de travail qu’à distance. Au niveau du cabinet, il convient de mettre en place toutes les mesures nécessaires pour minimiser les risques.
Aussi, la cybersécurité dans les cabinets comptables est l’affaire de tous. En effet, in fine, en cas d’incidents, il en va de la réputation du cabinet, des clients mécontents et un risque de perte d’emplois. Et la présidente du Conseil National de l’OEC de commenter : « La prévention et la sensibilisation aux cybermenaces est un enjeu majeur pour notre économie et notre souveraineté”. Voilà de quoi élargir la palette de compétences des métiers comptables !
Pour en savoir plus :
La comptabilité face aux cyberattaques
Replay Webinaire : pourquoi votre cabinet comptable est-il menacé par les cyberattaques ?