Assurer la cybersécurité au sein de son cabinet d'expertise comptable

Cryptage des données, politique des mots de passe, cloud, transmission sécurisées via https, antivirus, parefeu, sécurité mobile, sauvegardes sont quelques éléments à prendre en compte pour sécuriser ses données et limiter sa vulnérabilité aux attaques informatiques.

Ces mesures phares qui peuvent être mises en oeuvre ne suffiront pas toujours comme le rappelle Dominique Perier, président du comité technologique au CSOEC. « Le vrai sujet en matière de cybercriminalité se trouve entre le clavier et la chaise, c'est l'humain, sa sensibilisation, sa formation au comportement et la vigilance de tout le monde ».

C'est pour cette raison que « l'expert-comptable doit monter en compétences et sécuriser ses propres outils. Il pourra ensuite accompagner ses clients sur ces questions de cybersécurité, sous un angle stratégique et non technique » estime à son tour Sanaa Moussaid, présidente du comité transition numérique au CSOEC.

Les principales vulnérabilités et cyberattaques associées

Les cyberattaques peuvent prendre des formes très diverses. Si les 4 principales sont bien connues, au moins par leurs noms, les acteurs de la cybercriminalité et leurs motivations sont bien plus variés.

Les attaques s'appellent hameçonnage, rançongiciel, malware ou encore fraude au président. Elles peuvent avoir pour conséquences :

• un accès non autorisé au système ou aux applications du cabinet ;
• un partage de données accidentel à des tiers ;
• la rançon ;
• les virus qui détruisent les données.

Deux autres risques tels que la destruction physique des données par un incendie ou le vol des infrastructures, applications ou fichiers de données sont également à prendre en compte.

Il faut aussi « prendre conscience des domaines à risques que sont la mobilité avec l'utilisation des outils professionnels et personnels pour les deux usages, le cloud et la sensibilisation de l'humain » ajoute Constance Camilleri, directrice de l'innovation au CSOEC.

Car comme le rappelle Dominique Perrier, « les cabinets d'expertise comptable gèrent un grand nombre de données confidentielles de leurs clients ». Les experts-comptables doivent acquérir les bons réflexes stratégiques en matière de cybersécurité.

Les bonnes pratiques de la cybersécurité dans les cabinets d'expertise comptable

« Le niveau de menace ne décroît pas parce que le risque pour un cyberattaquant est relativement faible. La coopération entre les États en matière de lutte contre la cybercriminalité n'est pas toujours un succès, même si des travaux sont en cours au sein du ministère de l'Intérieur » estime Yves Verhoeven, sous-directeur des relations extérieures et de la coordination de l'ANSSI

Les « acteurs isolés, les groupes criminels, les activistes et les États se dotent de moyens divers pour gagner de l'argent, déstabiliser, espionner et depuis peu, pour saboter et mettre à mal une entreprise ». Les experts-comptables ont donc tout intérêt à se former et à sensibiliser leurs collaborateurs et clients. Car dans les cas les plus graves, une cyberattaque aura pour conséquence, la cessation d'activité pure et simple de l'entreprise concernée.

Sécuriser ses données consiste à « respecter certaines règles de base, verrouiller son ordinateur, vérifier qu'une sauvegarde a fonctionné, utiliser des mots de passe forts et les changer régulièrement » rappelle encore Constance Camilleri. « La sécurité de tous doit être la somme des vigilances de chacun ».

Les mots de passe doivent être suffisamment robustes avec 8 à 15 caractères et changés tous les trois ou quatre mois. Ils ne doivent pas être stockés de manière à être accessibles à tous, encore moins communiqués à des tiers. Ils doivent aussi être uniques.

Les fichiers de sauvegarde doivent être isolés physiquement du reste des données et testées régulièrement pour en vérifier la qualité.

Idéalement, le cabinet d'expertise comptable adoptera une charte informatique qui limite aussi l'usage des supports externes tels que les clés USB et sensibilise ses collaborateurs.

Enfin, en cas d'attaque sur un ordinateur, « le premier réflexe à avoir est de vérifier d'où vient la faille » précise encore Dominique Perrier. « Si c'est un mail ou un fichier, il faut d'abord débrancher l'ordinateur infecté du réseau interne au cabinet et d'internet, surtout pas la prise de courant ».

« L'étape suivante consiste à communiquer avec l'équipe et appeler son informaticien lorsqu'il existe. La réponse à apporter dépendra alors de la nature de l'attaque ».

« Subir une cyberattaque n'est pas une honte. Ce qui importe, c'est de savoir rebondir, de montrer que l'entreprise est capable, compétente et sait gérer ce type de situation pour recréer la confiance » conclut Yves Verhoeven.