L'entreprise de services numériques (ESN) Coaxis gère les données sensibles de nombreux clients, dont des cabinets d'expertise comptable. Elle a été victime, entre le 7 et 8 décembre dernier, d'une attaque par rançongiciel affectant une partie de ses services.
Que s'est-il passé entre le 7 et le 8 décembre 2023 ?
Coaxis a été victime d'une cyberattaque et plus précisément d'un ransomware, ou rançongiciel. C'est un type de malware ou de virus qui restreint l'accès à un ordinateur ou à ses fichiers et exige de la victime qu'elle paie une rançon pour restaurer cet accès.
À la suite de cette attaque, Coaxis a donc observé une indisponibilité d'une partie de ses systèmes.
Interview pour Compta Online de Joseph Veigas, directeur général de Coaxis
Quels impacts potentiels pour les cabinets d'expertise comptable ?
Depuis le 8 décembre 2023, les cabinets d'expertise comptable, utilisateurs de la solution ACD (et dans une moindre mesure ceux de la solution RCA), n'ont plus accès aux données de leurs clients hébergées en SAAS chez Coaxis, ainsi qu'à leurs emails.
Cet incident pourrait notamment entraîner des retards concernant les déclarations de TVA et pour les déclarations sociales nominatives (DSN) du mois de décembre, ainsi que des difficultés pour échanger avec les clients.
Le CNOEC a alerté les services de l'URSSAF sur les très nombreuses difficultés que cette cyberattaque, en pleine période déclarative, était susceptible d'engendrer en matière de transmission des DSN.
Au regard de l'ampleur de la crise et comme annoncé le 13 décembre 2023 par Hubert Tondeur, l'URSSAF a bien voulu accepter la demande de clémence de l'Ordre à l'égard des employeurs dont les DSN seront transmises après l'échéance du 15 décembre 2023, par leurs experts-comptables.
Ainsi, les sanctions normalement applicables seront annulées.
Le CNOEC a également saisi le Directeur général des finances publiques, Jérôme Fournel, qui a confirmé la tolérance de ses services en matière de déclarations fiscales.
Dans un mail à la profession du 14 décembre, l'OEC Paris IDF précise que : « même retardées, les déclarations devront être effectuées selon les process normaux. Aucune transmission de déclaration selon d'autres modes (papier, messagerie...) ne sera acceptée ».
Début 2024, certains cabinets d'expertise comptable n'avaient toujours pas récupéré l'accès à leurs outils.
Face à cette situation, le hashtag #CNOEC a sensibilisé l'administration fiscale, les URSSAF et la MSA à ces complications, soulignant la nécessité de prolonger les mesures de bienveillance pour les déclarations périodiques et les clôtures au 30 septembre.
Selon une infographie de l'URSSAF PACA, pour les professionnels qui n'ont pas pu effectuer les déclarations et paiements pour l'échéance du 15 décembre 2023, l'organisme précise qu'il n'appliquera pas de pénalités ni de majorations dans la limite du terme toléré fixé au 12 janvier 2024.
Si toutefois, des difficultés persistaient au-delà du 12 janvier 2024, les professionnels sont invités à informer l'URSSAF PACA sur le site dédié aux experts-comptables https://execo.urssaf.fr/ , motif « Autre situation bloquante / urgente / complexe » et à communiquer la liste des comptes concernés en attestant qu'ils sont toujours impactés par cette problématique.
Dans une lettre à la profession du 15 avril 2024, Virginie Roitman, Présidente de l'OEC Paris Île-de-France et Anne Laure Lagadec, Commissaire du Gouvernement auprès du Conseil régional de l'Ordre des experts-comptables d'Ile de France, font le point concernant les retards dans les déclarations fiscales occasionnés par la cyberattaque subie par Coaxis en décembre dernier.
L'administration fiscale a été informée et a reçu la liste des cabinets d'expertise comptable impactés. Malgré les retards causés, les déclarations doivent suivre les procédures standard, et aucune alternative comme le papier ou la messagerie électronique n'est acceptée.
Les entreprises et cabinets affectés qui ne peuvent pas déposer leurs déclarations de résultats de fin d'année à temps peuvent demander un délai supplémentaire auprès de leur service des impôts des entreprises (SIE), avec chaque cas évalué individuellement.
Les services fiscaux sont encouragés à être indulgents concernant les pénalités, et cette bienveillance a été étendue aux déclarations de prélèvement à la source pour les clients touchés.
Les actions menées par Coaxis
Par un communiqué officiel en date du 9 décembre, la société Coaxis a indiqué avoir isolé son système afin de préserver les données de ses clients et avoir lancé une analyse des sauvegardes par des experts.
La direction de Coaxis a immédiatement porté plainte. L'enquête est diligentée par le centre de lutte contre les criminalités numériques (C3N).
Après la mise en place de mesures de contrôle renforcées, des réouvertures d'accès ont commencé à être effectuées dès le 11 décembre.
Les équipes de Coaxis mettent tout en ½uvre afin de parvenir à une réouverture complète de leurs services à compter de la semaine du 18 décembre.
Par un communiqué officiel du 14 décembre, Coaxis annonce que l'ensemble des machines compromises suite à la cyberattaque ont été restaurées.
Une remise en route plus importante et croissante devrait avoir lieu dans les prochains jours. Ces réouvertures seront accompagnées de préconisations spécifiques et notamment d'un changement des identifiants de connexion.
Par un communiqué officiel du 17 décembre 2023, Coaxis a annoncé que les services avaient été établis pour certains clients ACD (2 000 abonnés AOD) et d'autres réouvertures étaient en cours. Les clients ACD on Demand devaient recevoir de nouveaux identifiants, fournis par le support client d'ACD.
L'entreprise s'attendait à reconnecter plus de 2 500 utilisateurs rapidement.
La réouverture suit un ordre technique défini par la direction technique d'ACD, basé sur la disponibilité de l'infrastructure. Coaxis a également formé une équipe pour aider ses clients directs avec de nouveaux identifiants.
Les mises à jour sur la réouverture et la résolution de l'attaque seront publiées sur le site www.coaxis.com.
Le 29 décembre 2023, via son compte Linkedin, Joseph Veigas, Directeur général de Coaxis, faisait un nouveau point sur la situation :
L'Ordre accompagne les cabinets impactés
Dans un communiqué du 11 décembre, le CNOEC délivre quelques points essentiels pour ces cabinets :
- Communication directe : contactez directement Coaxis via votre conseiller commercial ou leur cellule dédiée pour des informations spécifiques à votre cabinet.
- Obligations en cas de vol de données : Coaxis doit vous informer personnellement dans les 72 heures après l'incident. Sans confirmation de données compromises, aucune déclaration ou information client n'est nécessaire.
- Délais de déclaration fiscale/sociale : en cas de retard dû à la cyberattaque, obtenez une attestation de non-disponibilité de Coaxis pour l'administration concernée.
- Communication avec clients et équipes : privilégiez la communication directe (mails ou appels) pour informer de l'indisponibilité du service. Évitez les réseaux sociaux.
- Alternatives de communication en cas d'indisponibilité mail : utilisez des outils d'emailing conformes au RGPD pour les communications de masse. Envisagez des mails alternatifs ou des plateformes comme Slack ou Teams pour la communication interne.
Concernant la marche à suivre pour un dépôt de plainte, les services de gendarmerie ont communiqué une adresse mail unique : support-ac3n-bordeaux@gendarmerie.interieur.gouv.fr
Cette démarche est totalement indépendante de la déclaration CNIL que les cabinets doivent réaliser en cas de violation de données.
Dans un communiqué du 14 décembre, Coaxis confirme que la confidentialité des données de ses clients a été préservée. Seules les données d'exploitation liées à l'infrastructure de Coaxis ont pu être dérobées.
L'Ordre invite les experts-comptables ayant souscrit au contrat d'assurance groupe à consulter le vade-mecum de VERSPIEREN/MMA afin de faire leur déclaration de sinistre.
Bien que Verspieren n'exige pas qu'un dépôt de plainte soit effectif pour procéder à une déclaration de sinistre, l'Ordre incite vivement les experts-comptables concernés à porter plainte.
En cas de mise en responsabilité par un client, les cabinets sont encouragés à déclarer le sinistre. L'Ordre rappelle qu'ils ne sont pas responsables et que leur assurance interviendra pour établir la chaîne de responsabilité.
Pour guider les cabinets concernés s'agissant de ce qu'ils doivent faire (plainte, assurance, responsabilité, etc...), le CNOEC proposait un webinaire, le jeudi 14 décembre à 17h, en présence du lieutenant-colonel Sophie Lambert, Cheffe du département de la gestion de crise cyber - DGCC COMCYBERGEND, Commandement de la Gendarmerie dans le cyberespace et de Boris Sauvage, vice-président du CNOEC.
Le replay est disponible sur le site privé de l'Ordre.
Enfin, l'Ordre invite également l'ensemble des membres de la profession à prendre connaissance du Guide sur la cybersécurité à destination des experts-comptables mis à jour pour le 78e Congrès de l'Ordre.
À compter du 15 décembre, une cellule de crise « Cyber » est créée au sein du CNOEC pour aider les cabinets affectés.
Les cabinets sont invités à suivre quatre actions clés :
- déclarer le sinistre à leur assurance ;
- contacter le CNOEC pour centraliser les plaintes via l'adresse cybersecurite.cnoec@experts-comptables.org (en précisant : n°SIREN du cabinet, nom du cabinet, nom de la personne référente au sein du cabinet, téléphone portable, en précisant le cas échéant la date d'envoi de la lettre plainte) ;
- demander le chômage partiel si nécessaire (auprès de la DREETS locale) ;
- communiquer avec leurs clients sur les risques potentiels.
Des informations supplémentaires sont disponibles sur le site privé de l'Ordre.
Afin de ne pas rester seul et par solidarité ou pour réfléchir aux solutions pour l'avenir, les experts-comptables sont invités par l'Ordre à intégrer un groupe WhatsApp dédié.
Le CNOEC est également mobilisé pour offrir un soutien face à la détresse psychologique aiguë des membres de l'Ordre. En partenariat avec APESA FRANCE, une mise en relation confidentielle et rapide avec un psychologue est disponible. Les professionnels concernés ou inquiets pour un collègue peuvent contacter cybersecurite.cnoec@experts-comptables.org, en mentionnant « soutien psychologique » dans l'objet et en fournissant un numéro de téléphone pour être recontactés.
Concernant la mise en place de l'activité partielle, la commission sociale du syndicat ECF apporte également des réponses aux cabinets impactés via un Flash Social.
L'OEC Paris IDF organise une réunion informative le mardi 16 janvier, de 9h à 10h30, dans le cadre d'un petit déjeuner au 50. Avec la participation d'Hubert Tondeur et Florian Cloquemin, ingénieur informatique, spécialiste de l'hébergement des infrastructures, cet événement sera l'occasion d'apprendre les mesures essentielles à prendre en cas de cyberattaque.
Les participants pourront découvrir les pratiques recommandées et les solutions pour protéger leurs données et outils de travail.
La CNCC accompagne aussi les commissaires aux comptes impactés
Par un communiqué du 15 décembre, la CNCC informe les CAC impactés et assurés par le contrat groupe Cyber Assurance souscrit par la CNCC auprès de MMA.
Les démarches à effectuer (avec les différents contacts), les garanties au contrat et leurs montants sont précisés.
Maxime Navarrete
Responsable de l'actualité professionnelle de Compta Online, média communautaire 100% digital destiné aux professions du Chiffre depuis 2003.
Après 8 ans en tant qu'éditeur juridique puis rédacteur en chef de Lexis 360 experts-comptables chez LexisNexis, je rejoins l'équipe Compta Online en octobre 2021.
Suivez moi sur Twitter et sur Linkedin.