Presque une TPE-PME sur quatre a déjà fait l'objet d'une cyberattaque. La cybersécurité est devenue une priorité pour les entreprises et particulièrement pour les cabinets d'expertise comptable devant garantir la sécurité des données de leurs clients telles que leurs informations financières, fiscales et sociales. Ces données sont convoitées par les hackers, qui peuvent les utiliser pour commettre des fraudes, vols d'identité ou autres actes de cybercriminalité.
Les principales menaces
Si les cyberattaques sont nombreuses et variées, voici une liste des plus répandues :
Les attaques par rançongiciel aussi appelées "phishing" consistent à crypter les données du cabinet et à exiger une rançon en échange de leur décryptage. Ces attaques ont connu une véritable explosion ces dernières années et figurent aujourd'hui parmi les premières menaces pour les entreprises avec des conséquences pouvant être dramatiques pour l'activité voire même pour la survie de l'entreprise.
Les attaques par hameçonnage visent à tromper les utilisateurs du cabinet en les incitant à cliquer sur un lien ou à télécharger une pièce jointe infectée.
Les intrusions dans les systèmes informatiques peuvent permettre aux pirates informatiques de voler des données ou de perturber le fonctionnement du cabinet.
Les fuites de données sensibles du cabinet peuvent être exposées à la suite d'une erreur humaine ou d'une défaillance technique.
Si ces différentes cyberattaques peuvent aboutir notamment à des pertes financières importantes, s'en suit également une perte de réputation des cabinets visés, les conduisant à perdre de nombreux clients. Les cabinets comptables doivent donc aujourd'hui redoubler de vigilance face à ces risques et mettre en place une véritable politique de sécurité informatique afin de garantir leur propre sécurité et celle des données de leurs clients.
Des mesures de protection efficaces
Afin de mieux se protéger, les cabinets doivent effectuer la mise en place d'une politique de cybersécurité définissant les règles et procédures à suivre pour protéger leurs données confidentielles (patchs de sécurité des systèmes d'exploitation, patchs applicatifs et de sécurité fournis par les éditeurs de logiciels métier, etc...). Les logiciels et les systèmes informatiques du cabinet doivent être régulièrement mis à jour afin de corriger les éventuelles vulnérabilités de sécurité et ainsi de mettre en place des outils tels que des antivirus, pare-feu (le paramétrer a refuser toutes connexions entrantes) et les systèmes de détection d'intrusion.
La sécurité étant l'affaire de tous, les cabinets se doivent d'inculquer une véritable culture de la sécurité à tous ses collaborateurs afin de les sensibiliser à la cybersécurité au bureau mais également en télétravail. L'utilisation de mots de passe robustes ou la vigilance avant de cliquer sur un lien reçu par mail ou encore scanner toute clé usb avant son utilisation font partie des bonnes pratiques à appliquer au quotidien.
Une dernière mesure importante est d'adopter une gestion rigoureuse des droits d'accès aux différents outils et aux données de l'entreprise, limitée au strict nécessaire, particulièrement lorsqu'il s'agit des dossiers clients du cabinet.
Les opérateurs de services Cloud / Saas
La croissance forte des services cloud, avec leurs hauts niveaux de sécurité, exige une vraie politique de bonnes pratiques au sein du cabinet pour assurer une sécurité optimale. Leurs avantages se résument en 5 points :
La sécurité physique des infrastructures : des datacenters comportant des milliers de serveurs dont l'accès hyper sécurisé propose un niveau de disponibilité exceptionnel de leurs services (jusqu'à 99,99% pour un datacenter labellisé Tier 4)
La sécurité des serveurs et des réseaux : il s'agit de disposer d'une barrière impénétrable entre le monde extérieur et les équipements internes du datacenter (serveurs, systèmes de stockage, applications et bases de données, etc...)
La gestion sécurisée des identités et des accès aux plateformes logicielles : c'est un des points essentiels de la sécurité touchant spécifiquement aux droits et capacités d'accès des utilisateurs habilités à se connecter à un service cloud quel qu'il soit
La sécurité des applications et des plateformes : on regroupe ici l'ensemble des systèmes de sécurité applicatifs inhérents aux éditeurs de solutions logicielles, comme EIC, ou aux éditeurs de systèmes d'exploitation (Microsoft pour Windows, etc...).
La sécurité des données comme les bases de données, sauvegardes etc... si nombreuses au sein d'une entreprise.
La solution logicielle de déclaration des revenus DR, développée sur des technologies Web, s'inscrit parfaitement dans cette exigence de sécurité attendue par les experts comptables pour leur permettre de gérer leurs nombreux dossiers fiscaux en toute sérénité.
La sécurisation des données au sein du cabinet
La mise en œuvre du RGPD (Règlement général sur la protection des données) depuis mai 2018 a accéléré la prise de conscience des risques liés à la sécurité informatique par les entreprises et en premier lieu l'exigence de protection des données personnelles. Sur le plan légal et selon le type de mission réalisé pour son client, le cabinet se positionne comme responsable des données, co-traitant ou même sous-traitant (notamment en matière de paie).
Rappelons à toutes fins utiles une des obligations du RGPD : toute entreprise victime d'une violation de données est légalement dans l'obligation de notifier le sinistre à la CNIL dans les 72 h ainsi qu'à toutes autres parties victimes si l'incident constitue un risque élevé (violation de mot de passe, de données personnelles sensibles, etc...).
L'importance aujourd'hui de la sécurité ne peut plus être sous-estimée. Les défis sont certes nombreux, mais avec une sensibilisation adéquate et des outils adaptés, chaque collaborateur peut devenir un maillon fort de votre chaine de sécurité.
Liens utiles :
Le site web du Club des Experts de la sécurité informatique française (CLUSIF) : https://clusif.fr/
Le site web de l'association Cybermalveillance : https://www.cybermalveillance.gouv.fr/
