Rapport d'information du Sénat sur la cybersécurité : quel rôle pour les commissaires aux comptes ?

Quelle est votre réaction suite à la publication de ce rapport ?

Ma toute première réaction a été une grande fierté pour la profession. Ce rapport, remis au Sénat, positionne très clairement les commissaires aux comptes pour ce qu'ils sont : des acteurs de la prévention, des sentinelles au service de l'économie face au risque cyber. 

Concrètement, à quel point les TPE/PME sont-elles exposées face à ce risque ?

La crise covid a mis en exergue certains types d'attaques, comme celles visant les hôpitaux, et le grand public a pris conscience de la réalité de cette menace. C'est une bonne chose, car personne n'est épargné par ce risque. Des particuliers à l'administration, en passant par le monde politique ou les chefs d'entreprise, tout le monde est exposé. C'est d'ailleurs un risque protéiforme, car la menace est portée par des acteurs différents, avec des motivations diverses. 

Le rapport propose d'établir un diagnostic annuel de cybersécurité des entreprises, et mentionne Cyberaudit. Cet outil pourrait-il répondre à ce besoin ?

Je le crois. Cyberaudit, qui s'adresse aux commissaires aux comptes de TPE/PME, est basé sur un questionnaire, à remplir au cours d'un échange avec les dirigeants de l'entreprise. Il permet de mesurer l'exposition de l'entité au risque cyber et sa maturité face à ce risque, c'est-à-dire sa capacité à prendre des actions concrètes pour y faire face. En croisant ces deux résultats, on peut situer l'entreprise et alerter le dirigeant sur une exposition au risque trop élevée.

On co-construit ensuite des scénarios de menace adaptés à l'entité, à partir de 5 scénarios génériques présents dans l'outil. Le commissaire aux comptes peut enfin chiffrer le risque, transformant une menace technologique parfois abstraite en perte financière potentielle, beaucoup plus concrète. 

Les commissaires aux comptes ont-ils la légitimité nécessaire sur ce sujet, alors qu'il existe des acteurs beaucoup plus spécialisés ?

La cybersécurité est bien sûr une question de technologie, mais c'est d'abord une question de gouvernance, d'organisation d'entreprise. Les commissaires aux comptes sont au c½ur de l'entreprise, et à ce titre, ont toute la légitimité nécessaire. Il ne s'agit pas ici de prendre la place des consultants informatiques, mais d'apporter un regard différent, indépendant, davantage axé sur l'organisation, et incluant une évaluation des préjudices économiques. C'est là notre valeur ajoutée. L'analyse des risques est tout simplement l'ADN de notre profession.

Les commissaires aux comptes disposent-ils des compétences nécessaires pour effectuer cette mission ? 

Bien sûr, l'objectif n'est pas de faire des commissaires aux comptes des informaticiens. Notre rôle est de pointer du doigt des risques, de les chiffrer, et d'afficher des marges de progression. Le dirigeant a ensuite toute latitude pour s'adresser à des spécialistes de la cybersécurité afin de réduire son exposition au risque. En tant que commissaires aux comptes, nous sommes d'abord là pour déclencher une prise de conscience. 

La création d'une certification, par exemple, vous semble-t-elle nécessaire ?

La spécialisation est importante, mais elle n'est pas forcément synonyme de certification. C'est pourquoi Cyberaudit a été lancé avec une offre de formation, pour permettre aux confrères d'utiliser cette solution, mais aussi d'aller un peu plus loin en matière de cybersécurité.

D'ailleurs, il n'est pas forcément nécessaire que ce soit le commissaire aux comptes lui-même qui prenne en charge le sujet de la cybersécurité au sein du cabinet. Il peut tout à fait identifier un collaborateur en interne avec une appétence particulière pour ce sujet ou, disposant tout simplement de compétences spécifiques.

Le diagnostic annuel de cybersécurité a-t-il selon vous des chances de voir le jour ?

C'est tout sauf une vue de l'esprit. A l'étranger, les professionnels du chiffre émettent de plus en plus souvent des cotations d'entreprises pour exprimer leur exposition au risque cyber. Certaines agences de notation commencent même à intégrer cette notion dans leur évaluation des sociétés cotées.

En France, nous pourrions créer un référentiel souple et adapté aux petites entreprises, à l'aide de l'ANSSI par exemple. Cela pourrait prendre la forme d'un « cyberscore » qui valoriserait les entreprises, qui ayant pris conscience de leurs faiblesses, travaillent pour les réduire. Le risque cyber est un des premiers périls qui pèsent sur une entreprise, il est temps de s'y intéresser.

Le rapport reconnaît que « le rôle des deux professions [experts-comptables et commissaires aux comptes] n'est pas simple à distinguer en matière de cybersécurité ». Partagez-vous ce constat ?

Ce n'est pas à nous de répartir les rôles entre nos deux professions, c'est au client. La réponse doit venir du marché, tout simplement. Certaines entreprises, qui n'ont pas de commissaire aux comptes, verront en leur expert-comptable un interlocuteur privilégié pour parler de cybersécurité. D'autres se tourneront naturellement vers le commissaire aux comptes.

Mais dans tous les cas, commissaires aux comptes et experts-comptables ne sont pas en compétition dans ce domaine, mais complémentaires. Les premiers fondent leur approche sur l'analyse des risques, les seconds davantage sur le conseil.