vendredi, octobre 18, 2024
Récents :

MANAGEMENT FINANCIER

Un regard nouveau sur le management financier d'aujourd'hui

cybersécurité : enjeux pour les comptables
données/sécurité de l'informationTECHNOLOGIE

La cybersécurité dans les cabinets comptables

Françoise R.

Aujourd’hui, en 2024, la cybersécurité est devenue incontournable pour les PME. Ainsi, selon l’enquête de la FFCyber (Fédération Française de la Cybersécurité), 21% des TPE/PME (Petites et Moyennes Entreprises) françaises ont déjà été victimes de cyberattaques en 2023. Dans ce contexte, la cybersécurité dans les cabinets comptables nécessite la mise en place d’une politique de sécurité informatique efficace. L’objectif principal est de garantir leur propre sécurité et celle des données de leurs clients.

Les formes d’attaques  les plus courantes sont le piratage de compte (23,5%), le phishing (21,2%) et le ransomware (16,6%). Aussi, face à cette situation, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction générale des entreprises (DGE) ont publié un guide pour aider les TPE/PME à prévenir et lutter contre les attaques informatiques. En fait, les PME et TPE sont la cible de nombreuses attaques en raison de leur petite taille et de leur manque de moyens.

Dans ces conditions, la question de cybersécurité dans les cabinets comptables se pose avec acuité.

Principales attaques visant la cybersécurité dans les cabinets comptables

Comme pour les PME/TPE en général, les cabinets comptables sont principalement victimes des trois formes d’attaques précitées.

Le phishing

Le phishing, également connu sous le nom de « hameçonnage », est une escroquerie qui se déroule sur internet. Elle prend la forme notamment d’envois d’emails, SMS ou encore d’appels.

Il peut aussi s’agir de :

  • cliquer sur un lien
  • ou encore télécharger un document infecté.

La tromperie consiste à se faire passer pour un interlocuteur fiable ((banques, administrations, entreprises de livraison, famille, etc.). Alors, les victimes communiquent des données sensibles (identité, carte bancaire, etc.). Une fois récupérées, ces données sont utilisées de manière malveillante (achats, accès à des comptes financiers, etc.).

Le ransomware

Le ransomware (ou rançongiciel) est un type de malware (logiciel malveillant).  Il peut consister au téléchargement d’une pièce jointe attachée à un email. Une autre façon de faire est d’inciter les victimes à aller sur un site qui contient un code. Alors, les victimes doivent payer une rançon pour :

  • soit, déchiffrer leurs propres fichiers
  • soit, accéder aux postes informatiques tout simplement.

Le piratage de compte

Le piratage de compte est également connu sous le nom de compromission de compte ou Account Takeover Fraud (ATO). En fait, cet acte malveillant consiste à prendre le contrôle d’un compte au détriment de son propriétaire. Ce type d’attaque peut concerner tout type de comptes allant des messageries à de sites administratifs ou à des plateformes commerciales.

Parmi les méthodes utilisées, on dénombre :

  • des mots de passe compromis
  • le phishing
  • ou encore l’usage de logiciels malveillants

In fine, les conséquences peuvent s’avérer très graves y compris en matière de fraude financière sans compter la réputation de la victime.

Mesures visant à renforcer la cybersécurité des cabinets comptables

De ce fait, l’infection des systèmes informatiques peuvent conduire au vol de données sensibles du cabinet. Cette situation peut être le fruit de une erreur humaine ou bien d’une défaillance technique.

Toujours est-il que les conséquences d’une cyberattaque sont graves :

  • des pertes financières substantielles
  • l’atteinte à la réputation du cabinet
  • le vol de données sensibles de clients
  • le dysfonctionnement de la structure avec des systèmes d’information corrompus
  • le départ de clients stressés et mécontents

Les cabinets comptables doivent donc aujourd’hui redoubler de vigilance face au risque de cyberattaques. Il est nécessaire de mettre en place une véritable politique de sécurité informatique afin de garantir leur propre sécurité et celle des données de leurs clients.

Au niveau individuel : sensibilisation des employés

La sensibilisation des employés est essentielle surtout dans le cas de manipulation d’informations personnelles. Aussi, avant de communiquer avec un interlocuteur, il convient de :

  • vérifier l’identité de l’expéditeur
  • cerner l’intérêt et/ou la légitimité du message

Ceci est d’autant plus vrai dans le cas de la présence de liens ou fichiers joints. Aussi, dans le cadre d’une session de formation, les collaborateurs doivent comprendre l’intérêt de la vérification des sources.

A cela s’ajoute l’utilisation de mots de passe forts à changer par ailleurs régulièrement. Si cela est possible, il est conseillé d’activer la double authentification (AMF).

Enfin, les employés doivent effectuer une sauvegarde régulière des fichiers importants.

cybersécurité : mesures à prendre au niveau individuel

Au niveau des infrastructures du cabinet : sécurisation des systèmes d’information

Aussi, tant pour les réseaux que pour les ordinateurs et les smartphones, le cabinet doit mettre en place :

  • des pare-feux
  • des programmes de détection de logiciels malveillants.

A ce titre, il est souhaitable d’utiliser des logiciels antivirus efficaces sans oublier une mise à jour régulière des systèmes et des logiciels. En outre, le cabinet devra aussi se tenir informé des vulnérabilités connues.

De plus, le cabinet peut envisager d’utiliser :

  • des VPN (Virtual Private Network).

Ainsi, en cas de cyberattaques, les VPNs protègent les données qui sont en fait chiffrées. De plus, ils permettent également de sécuriser les collaborateurs qui travaillent à distance. Aussi, ceux-ci peuvent alors accéder au réseau interne ou au cloud du cabinet via une connexion chiffrée.

Au niveau de la gouvernance du cabinet : instauration de protocoles

La mise en place de protocoles est nécessaire en cas de matérialisation du risque cyber. Cela permet de répondre rapidement à tout incident réduisant par la même les dommages.

  • Par exemple, en cas de piratage de compte, il est important de changer immédiatement le mot de passe et de contacter le service concerné pour obtenir des conseils et des aides pour récupérer le contrôle du compte.
  • Ou encore, il est important d’inciter le personnel à reporter toute activité suspecte et d’effectuer des sauvegardes régulières dans des lieux sécurisés.
  • Enfin, naturellement, le cabinet se doit de choisir des services informatiques (cloud, VPN, etc.) qui offrent des options de sécurité appropriés au risque cyber.

Par ailleurs, en cas de cyberattaque, depuis mai 2018, le RGPD exige que toute entité notifie l’incident dans les 72 heures. Cela concerne également les victimes collatérales, par exemple, les clients en cas de pertes de données sensibles.

Bien sûr, la politique de cabinet en matière de système d’information n’est pas inscrite dans du marbre. Revoir cette politique à intervalles réguliers s’avère tout aussi impératif tant que les menaces évoluent à un rythme effréné. Aussi, l’objectif est d’effectuer des modifications si nécessaire pour garantir au mieux les données des clients.

Au niveau des autorités administratives : l’Ordre des Experts-comptables en partenariat avec le COMCYBER

Dans ce contexte, l’OEC vient de signer un partenariat avec le COMCYBER du ministère de l’Intérieur le 23 juillet 2024. Il consiste à :

  • sensibiliser
  • former

les experts-comptables à la cybersécurité auprès d’une clientèle de PME/TPE.

Aussi, cette convention de partenariat préfigure « un échange d’informations sécurisé » et « les meilleures pratiques de prévention » contre les cyberattaques. Autrement dit, il s’agit d’un rapprochement entre le côté proximité des experts-comptables auprès des PME/TPE et l’administration. In fine, l’objectif est de partager les ressources et expertises en vue de lutter contre les cyberattaques.

Pour en savoir plus : Post de l’OEC sur LinkedIn

Conclusion : la cybersécurité dans les cabinets comptables

Pour conclure, la cybersécurité est essentielle pour accompagner le processus de digitalisation des cabinets (automatisation des tâches, dématérialisation des documents, entre autres).

Il est alors impératif de bien cerner les risques cyber pour protéger les données des clients. La sensibilisation aux cyberattaques concerne tout le personnel du cabinet de l’assistant à l’expert-comptable. Et, cela est valable tant sur le lieu de travail qu’à distance. Au niveau du cabinet, il convient de mettre en place toutes les mesures nécessaires pour minimiser les risques.

Aussi, la cybersécurité dans les cabinets comptables est l’affaire de tous. En effet, in fine, en cas d’incidents, il en va de la réputation du cabinet, des clients mécontents et un risque de perte d’emplois. Et la présidente du Conseil National de l’OEC de commenter : « La prévention et la sensibilisation aux cybermenaces est un enjeu majeur pour notre économie et notre souveraineté”. Voilà de quoi élargir la palette de compétences des métiers comptables !

Pour en savoir plus :

La comptabilité face aux cyberattaques

Replay Webinaire : pourquoi votre cabinet comptable est-il menacé par les cyberattaques ?

Françoise R.

Passionnée de finance d'entreprise et de management, je partage avec vous des nouvelles et des contenus thématiques autour du management financier. Si vous avez envie de partager votre avis après avoir lu ce post, n'hésitez pas à laisser un commentaire.

Vous pourrez aussi aimer

Excel Tableur

Rechercher des données sur Excel (1)

Françoise R.
Contenu d'un plan de gestion de risque cyber

Gestion de crise cyber : Que faire ?

Françoise R.
Excel fonction recherche

Rechercher des données dans Excel (2)

Françoise R.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *