Cybermenaces et cabinets d'expertise comptable

Article écrit par (47 articles)
Publié le
Modifié le 14/06/2017
5 789 lectures

En juin dernier, à l'occasion du colloque « Criminalité informatique et financière », Myriam Quéméner, conseillère au Ministère de l'Intérieur, nous a fait part de son expérience en matière de lutte contre les cybermenaces.

Elle nous rappelle les principales règles à respecter pour protéger ses cabinets et ses clients.

Myriam Quéméner, magistrat, docteur en droit, est expert en matière de lutte contre la cybercriminalité pour le Conseil de l'Europe, la chancellerie et l'École nationale de la Magistrature. Elle participe à de nombreux travaux interministériels et parlementaires. Elle occupe depuis septembre 2015 le poste de conseillère juridique à la mission lutte contre les cybermenaces au Ministère de l'Intérieur.

Interview



Selon un rapport interministériel sur la cybercriminalité, il apparaissait déjà en 2014 que 180 000 entreprises disaient avoir été victimes d'intrusion dans leur système d'information, de phishing, de vol en ligne d'argent ou d'informations, d'altération de leur site Internet ou d'infection de leurs machines par un virus ou un programme hostile. Il était également précisé que seules 2 % de ces infractions avaient donné lieu à des dépôts de plainte.
Où en sommes-nous aujourd'hui ?

Internet et les réseaux numériques constituent un phénomène double, à la fois sources de profits et de richesses, mais aussi de dérives comme la cybercriminalité. Celle-ci se manifeste non seulement par des infractions strictement informatiques, comme les piratages et les cyberattaques des systèmes informatiques, mais aussi par des escroqueries, vols de données, abus de confiance, où l'informatique facilite le passage à l'acte dans la commission d'infractions classiques.

La délinquance numérique ne cesse de s'amplifier, comme en atteste une étude récente publiée par Pricewaterhouse Coopers qui révèle que le nombre de cyberattaques en 2015 a augmenté de 51 % en France et a fait, depuis quelques années déjà, son entrée dans les prétoires avec un nombre croissant de procédures liées à des cyberattaques.

Aujourd'hui, les cybermenaces se sont-elles stabilisées ou ont-elles empiré ?

Comme dans tous les autres pays, les cybermenaces s'accroissent avec le développement des équipements des ménages et le difficile rattrapage des entreprises en matière de cybersécurité. Il importe d'assurer sa propre cyberdéfense. Si la maturité en cybersécurité progresse, elle reste encore trop faible et devrait devenir un réflexe, une sorte de seconde nature, car la France est visée par 51 % d'accroissement des attaques, contre 38 % dans les autres pays.

Dans ce contexte, une manifestation consacrée à la criminalité financière et informatique en direction des cabinets d'expertise comptable, co-organisée par l'OEC Paris IDF et la Préfecture de Police de Paris, en la personne d'Anne Souvira, chargée de mission « Cybercriminalité » auprès du Préfet de Police de Paris, s'est déroulée le 24 juin dernier au Tribunal de Commerce de Paris et a rencontré un vif succès.
Comment l'expliquez-vous ?

La question des cybermenaces préoccupe l'ensemble des acteurs économiques, et en particulier les professions du chiffre et du droit, car ils sont détenteurs de données personnelles d'entreprises et de particuliers. Les risques ne sont pas virtuels mais bien réels.

Ces données représentent le patrimoine informationnel d'entreprises et sont convoitées par les cyberdélinquants. Les experts-comptables, et c'est légitime, ont donc besoin d'informations et d'échanges avec les acteurs institutionnels qui luttent contre ces phénomènes.

Des cabinets d'expertise comptable sont aujourd'hui victimes d'attaques crapuleuses de la part de délinquants numériques. Les témoignages que nous avons reçus font état de blocages intégraux des données détenues par les professionnels du chiffre, et de demandes de rançon adossées à ces man½uvres.
Comment réagir dans ces cas-là ?

À mon sens, il ne faut pas verser la rançon et déposer plainte le plus vite possible, afin de préserver les éléments de preuves d'infractions.

Payer mène au surenchérissement de la rançon et à l'imitation des cybercriminels.

Des sauvegardes des données correctes sur des serveurs distincts de ceux de travail et la formation des personnels restent un minimum et la meilleure des défenses. La cybersécurité est en quelque sorte l'anticipation des risques numériques, qui nécessite une véritable stratégie d'ensemble associant tous les acteurs, aussi bien publics que privés.

Quels sont les autres risques qui menacent plus particulièrement les sociétés d'expertise comptable ?

Comme toutes les entreprises , les vols de données, l'usurpation d'identité y compris en ligne, la revente de données sensibles qui appartiennent à des entreprises, et naturellement toujours la fraude au président ou le faux ordre de virement extorqué avec ruse.

Quelles peuvent être les conséquences de telles attaques pour les cabinets d'expertise comptable ?

Les incidences sont graves, puisque les atteintes visent les systèmes informatiques, les centres nerveux de leurs activités qui peuvent être ralenties ou carrément bloquées. Elles peuvent aussi entraîner une perte de confiance des clients, ce qui est également sérieux en termes d'image pour ces cabinets. Il s'agit véritablement d'une atteinte à l'e-réputation.

Quelles sont les mesures immédiates à prendre en cas d'attaque, notamment en matière de préservation des traces et indices ?

Il est nécessaire en effet, de figer la scène de crime en rassemblant le maximum d'éléments qui permettra de mener à bien une enquête. Il est préconisé de ne pas tenter de régler le problème de façon artisanale.

Quels sont les services habilités à recevoir les plaintes et à les traiter à Paris et en Île-de-France ?

Sur Paris et la petite couronne, comme partout en France, s'applique le principe du guichet unique de proximité. Les commissariats doivent recevoir les plaintes et l'enquête est attribuée par le procureur de la République compétent, en fonction de la complexité des faits et de l'enquête.

Avant d'être victime de tels délits, est-il possible de les éviter partiellement ou totalement et si oui, de quelle manière ?

Il est possible de renforcer la sécurité des réseaux de ses structures en ayant recours à des solutions de sécurité de qualité, adaptées à l'activité. Il faut faire des audits et des évaluations de ces dispositifs de façon régulière, notamment au regard de l'arrivée du règlement européen sur la protection des données personnelles.

Par ailleurs, l'élaboration d'une charte informatique ou d'un règlement intérieur pour les salariés est pertinente, car il ne faut pas négliger les incidents et les risques pouvant venir de l'intérieur.

La mise en place de mesures de protection et de prévention est-elle onéreuse ?

Je ne connais pas précisément les coûts, mais ce que je peux dire, au vu du montant exorbitant des préjudices, c'est qu'il est préférable d'investir dans la cybersécurité logicielle et de formation.

Quels sont les avantages mais aussi les risques du Cloud Computing ?

Il est très important d'être vigilant au moment de l'élaboration des contrats, afin de prévoir le rapatriement des données et d'en connaître la localisation. En cas de difficulté et de rupture de ce dernier par exemple, il importe de ne pas se retrouver confronté à avoir des données dont on est responsable, éparpillées dans la nature.

Quelle est la responsabilité de l'expert-comptable en cas de perte ou de détournement des données de ses clients, car il apparaît que certains de ceux-ci mettent actuellement en cause la responsabilité du professionnel ?

La responsabilité civile de l'expert-comptable pourrait être engagée, en cas de faute devra être partagée en fonction du contrat avec le sous-traitant, d'où l'importance que celui-ci revêt.

Existe-t-il une assurance de type « cyber protection », permettant de se prémunir contre ces dommages ?

Plusieurs compagnies d'assurance commencent à développer des offres de cyberassurance en intégrant parallèlement des formations de personnel à la cybersécurité, mais rien ne vaut une stratégie d'anticipation des risques numériques.

En matière de conseil vis-à-vis de ses clients, l'expert-comptable a-t-il un rôle à jouer en matière de prévention des cybermenaces ?

Bien-sûr, les experts-comptables ont un rôle de conseil et de prévention auprès de leurs clients, mais ils doivent d'abord commencer par protéger les données qu'ils traitent.

Quelles nouveautés va apporter le règlement européen sur la protection des données personnelles, notamment au niveau des professionnels de la comptabilité ?

Par exemple, l'article 30 oblige le responsable du traitement et le sous traitant à mettre en oeuvre les mesures appropriées pour assurer la sécurité du traitement.

Je pense que les experts-comptables vont être traités comme n'importe quelle société. Le règlement vise par exemple le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales. À cette fin, il charge la commission d'évaluer le niveau de protection assuré par un territoire ou un secteur de traitement dans un pays tiers.

Qu'en est-il de la sécurité et de la protection des smartphones et tablettes ?
Ces outils sont-ils, eux aussi, exposés à des attaques, et à quel niveau ?

Comme les ordinateurs, ces matériels doivent être mis à jour dans leur systèmes d'exploitation et leurs diverses applications, car 80 % des applications téléchargées sont elles-mêmes compromises... alors même qu'elles proviennent des magasins Apple ou Android. Aussi, les anti-virus sont donc indispensables.

L'Ordre est confronté à d'innombrables délinquants qui interviennent illégalement dans le domaine de la comptabilité à-travers leurs sites Internet.
Comment peut-on juridiquement et pratiquement les combattre afin de faire disparaître ces plateformes ?

Il est important de déposer plainte auprès du procureur de la République.

La situation est similaire avec les escrocs qui développent des sites de trading haute fréquence. L'AMF a développé récemment des contacts avec le parquet de Paris et la Fédération bancaire française pour renforcer la lutte contre ce fléau. C'est une piste pertinente pour lutter contre les faux experts-comptables.

Et lorsque ces sites sont implantés à l'étranger, mais que les clients sont français ?

Le domicile de la victime ou son siège social sont des critères de compétence territoriale et les juridictions françaises sont donc territorialement compétentes, car c'est le public français qui est visé par ces sites...

Article publié dans la revue Le Francilien - numéro 93 (téléchargez la revue).

Publication sur Compta Online en partenariat avec le Conseil Régional de l'Ordre des experts-comptables de Paris Ile-de-France.