La cybersécurité est devenue un enjeu stratégique incontournable pour les experts-comptables. Face à la transformation digitale, à la dématérialisation quasi-totale des flux financiers et à l'arrivée de la facturation électronique, les cabinets manipulent un volume de données critiques sans précédent. Cette position centrale, combinée à la valeur inestimable des données qu'ils détiennent, transforme les cabinets en cibles de très haute valeur pour les cybercriminels.
Pourquoi les cabinets comptables sont des cibles privilégiées
Les hackers choisissent leurs cibles en fonction de leur vulnérabilité et de la valeur des informations qu'ils peuvent exploiter. Les cabinets comptables sont devenus des cibles de choix pour les cybercriminels en raison de la richesse des données qu'ils détiennent et de leur rôle central dans l'écosystème économique.
Les cabinets gèrent et centralisent une mine d'informations critiques qui attirent les cybercriminels. La compromission de ces données peut avoir des conséquences désastreuses pour leurs clients et le cabinet : informations financières et fiscales, données bancaires, données personnelles, documents stratégiques.
Les chiffres confirment que la menace est bien réelle. Selon la 9ᵉ édition du baromètre CESIN[1], 49% des entreprises ont subi une cyberattaque réussie et significative en 2023. Le secteur de l'expertise comptable a connu une véritable prise de conscience avec l'attaque contre Coaxis, qui a touché plus de 1 000 cabinets et, par ricochet, 350 000 entreprises, démontrant l'ampleur potentielle des dégâts.
Le risque ne provient pas uniquement de menaces externes sophistiquées. Les failles peuvent également naître au sein même du cabinet et de ses interactions quotidiennes.
- Le risque interne : les erreurs humaines restent une cause majeure d'incidents. Un clic imprudent sur un lien de phishing, l'utilisation d'un mot de passe trop simple ou des accès non contrôlés où tous les collaborateurs peuvent consulter des fichiers sensibles sont des portes d'entrée pour les attaquants. Des outils obsolètes ou non mis à jour créent également des brèches de sécurité exploitables.
- Le risque externe : la dépendance aux prestataires informatiques (éditeurs de logiciels, fournisseurs cloud) et les interactions constantes avec les clients augmentent la surface d'attaque. Un cabinet compromis peut ainsi servir de cheval de Troie pour lancer des « attaques par rebond », où les hackers exploitent sa crédibilité et ses accès pour cibler ses propres clients, masquant ainsi leur véritable identité.
Les impacts dévastateurs d'une cyberattaque
Les conséquences d'une cyberattaque réussie vont bien au-delà d'un simple problème technique. Elles affectent durablement les volets opérationnel, financier, juridique et réputationnel du cabinet.
Une attaque peut paralyser l'activité et engendrer des coûts considérables.
- Paralysie de l'activité : une attaque par ransomware peut chiffrer l'ensemble de vos données, rendant les outils et les fichiers inaccessibles. Cela paralyse les services, retarde des échéances critiques (déclarations fiscales, bilans) et peut durer des semaines.
- Pertes financières directes et indirectes : les coûts incluent les frais techniques pour la récupération des systèmes et des données, les pertes d'exploitation dues à l'arrêt de l'activité, et potentiellement le paiement d'une rançon, qui n'offre aucune garantie de récupérer les informations intactes.
- Vol ou destruction de données critiques : les données volées peuvent être revendues sur le dark web ou utilisées pour de futures fraudes. Si les sauvegardes ne sont pas adéquates ou si elles sont elles-mêmes compromises, la destruction des données peut être définitive.
La négligence en matière de protection des données expose les cabinets à de lourdes sanctions. Deux réglementations majeures encadrent la responsabilité des professionnels.
- Le RGPD : le Règlement Général sur la Protection des Données impose l'obligation de notifier la CNIL dans un délai de 72 heures en cas de violation de données personnelles. Les sanctions financières en cas de manquement peuvent atteindre 4% du chiffre d'affaires annuel mondial.
- La directive NIS2 : ce nouveau standard européen de cybersécurité s'étend désormais à certains prestataires critiques, y compris les cabinets comptables. Le non-respect de ses exigences peut entraîner des sanctions allant jusqu'à 2% du chiffre d'affaires annuel mondial.
À cela s'ajoute la responsabilité civile et pénale du cabinet, qui peut être poursuivi par des clients ou des partenaires pour les préjudices subis suite à une attaque.
La réputation est un actif immatériel essentiel pour un expert-comptable, un métier fondé sur la confiance. Une cyberattaque entraîne une perte de confiance immédiate des clients et partenaires, un déficit de crédibilité durable et un frein majeur à l'acquisition de nouveaux clients. Une couverture médiatique négative peut amplifier ces dégâts réputationnels.
Mesures humaines et technologiques indispensables
Une stratégie de défense efficace et proactive doit impérativement combiner la vigilance humaine et des outils technologiques robustes.
La majorité des failles de sécurité proviennent d'une négligence ou d'une erreur humaine. Renforcer ce maillon est donc la première priorité.
- Sensibilisation et formation, la clé de voûte : il est crucial d'organiser des formations régulières, au minimum une à deux fois par an (par exemple, tous les 6 mois), pour apprendre aux collaborateurs à détecter les emails de phishing, les liens suspects et les tentatives d'usurpation d'identité. Des simulations d'attaques (phishing factice) permettent de tester la vigilance des équipes et de renforcer les bons réflexes.
- Instaurer une véritable culture de la sécurité : la cybersécurité doit devenir un sujet de conversation quotidien, fondé sur une discipline collective rigoureuse. Il importe d'instaurer des processus clairs dans la manière d'échanger les informations avec les clients et en leur expliquant les dangers associés. Cette approche, soutenue par une charte informatique claire et une implication forte de la direction, constitue le socle d'une culture de sécurité efficace.
La technologie fournit les barrières indispensables pour protéger vos systèmes et vos données.
- Mots de passe forts et authentification multifacteur (MFA) : imposez l'utilisation de mots de passe complexes et uniques, idéalement gérés via un gestionnaire de mots de passe. Activez systématiquement l'authentification multifacteur (MFA) pour les accès aux logiciels sensibles, aux boîtes mail et aux serveurs.
- Mises à jour systématiques : appliquez sans délai les mises à jour des logiciels, des systèmes d'exploitation et des antivirus. Ces correctifs comblent des failles de sécurité connues qui sont activement exploitées par les hackers.
- Sauvegardes régulières, testées et isolées : les sauvegardes doivent être automatiques et sécurisées. Idéalement, elles doivent être externalisées ou conservées hors ligne pour les protéger des ransomwares. Surtout, leur capacité de restauration doit être testée régulièrement pour s'assurer qu'elles sont fonctionnelles en cas de crise.
- Limitation stricte des accès : appliquez le principe de "moindre privilège" : chaque collaborateur ne doit avoir accès qu'aux données et aux dossiers strictement nécessaires à l'accomplissement de sa mission. Cela limite les risques d'erreur et les dommages potentiels en cas de compromission d'un compte.
Le risque zéro n'existe pas. Même avec les meilleures protections, un incident peut survenir. Il est donc crucial de se préparer à gérer une crise.
- Élaborer un plan de gestion de crise : mettez en place un Plan de Continuité d'Activité (PCA) pour maintenir les opérations essentielles en mode dégradé, ainsi qu'un Plan de Reprise d'Activité (PRA) pour restaurer les systèmes le plus rapidement possible après un sinistre.
- Simuler des cyberincidents : organisez des exercices pour tester la réactivité de votre cabinet face à différents scénarios d’attaques. Ces simulations permettent de vérifier que les plans ne sont pas seulement théoriques mais bien opérationnels en situation de stress.
- Préparer la communication : votre plan doit définir comment et quand informer rapidement vos collaborateurs, clients et partenaires pour limiter la perte de confiance et respecter vos obligations légales, notamment la notification à la CNIL.
- Faire appel à des experts : réalisez des audits de sécurité et des tests de vulnérabilité pour identifier les failles de votre système d'information. Des experts externes peuvent apporter un regard neuf et vous aider à renforcer vos défenses de manière ciblée.
En conclusion, la cybersécurité ne doit plus être perçue comme un coût ou une contrainte, mais comme un investissement stratégique indispensable à la pérennité de tout cabinet comptable. En tant que gardiens de données critiques, les experts-comptables ont le devoir d'adopter une posture proactive face aux cybermenaces. En intégrant des pratiques de sécurité robustes, ils protègent non seulement leur activité, mais renforcent également la confiance de leurs clients.
[1] Club des Experts de la Sécurité de l'Information et du Numérique
Articles les plus lus
Articles les plus récents
Inscription à la newsletter