9 questions de sécurité à poser à son éditeur de logiciel pour expert-comptable

6 min

La sécurité des données et de leur accès est cruciale pour les cabinets d’expertise-comptable. Les avantages du SaaS en la matière sont réels, mais la vigilance doit demeurer la règle. Voici les 9 questions qu’il faut absolument poser aux éditeurs de vos outils métier.

La sécurité des données, pilier du mode SaaS pour les experts-comptables

La quasi-totalité des éditeurs de logiciels proposent désormais leurs solutions en mode SaaS¹. Le mode on-premise (avec des licences d’utilisation perpétuelles) disparait progressivement. Cette mutation présente des avantages à la fois pour les éditeurs (auxquels le modèle garantit des revenus récurrents) et pour leurs clients. Le Saas leur apporte praticité (mises à jour indolores, intégration en continu des changements réglementaires, sauvegardes automatisées), et souplesse (nombre d’utilisateurs, périmètre métier…), pour un coût immédiatement lisible.

Mais l’un des avantages décisifs, souvent mis en avant, concerne la sécurité. Accès et sécurisation des données est en effet vitale pour le modèle SaaS. Pour les garantir, les grands éditeurs sont équipés des meilleures technologies de cybersécurité, veillent à demeurer toujours à l’état de l’art, et y consacrent des moyens importants en budget et en personnel. Une TPE, une PME, un expert-comptable, ne dispose pas de ces ressources. Quand on sait qu’une entreprise sur deux a été victime d’au moins une cyberattaque en 2023², on comprend qu’un cabinet normalement constitué préfère déléguer la sécurité des données à des spécialistes.

La sécurité à 100% n’existera jamais :

La vigilance des utilisateurs restent le point principal de vulnérabilité,
Les éditeurs de logiciels sont susceptibles d’héberger les données de leurs clients chez des tiers (OVH, Microsoft, Amazon, ou des prestataires plus petits), lesquels peuvent faire l’objet de cyberattaques mettant les dossiers en péril, sans que l’éditeur en soit forcément responsable,
Les cybercriminels sont très imaginatifs dès lors qu’ils veulent trouver les failles et contourner les protections.

Il est crucial pour un expert-comptable de porter une attention toute particulière à la sécurité lorsqu’il choisit l’éditeur de ses outils métiers. Voici 9 questions à lui poser. Soyez intransigeant sur ses réponses !

9 questions de sécurité à poser à votre éditeur de logiciel

1. Où sont hébergées les données ?

Selon la règlementation européenne RGPD (Règlement général pour la protection des données), en vigueur depuis 2018, un éditeur de logiciels doit s’engager à héberger les données en Europe et ne pas transférer de données personnelles vers des pays qui ne sont pas reconnus par le droit de l’Union européenne.

2. Les données sont-elles chiffrées pour mieux les protéger ?

Le vol de données constitue la première motivation des cyberattaques, dans un tiers des cas selon le Cesin. Ces données peuvent être utilisées à des fins de renseignement économique, mais surtout elles se retrouvent vendues ou mises à disposition sur des plates-formes obscures où les hackers échangent leurs butins. Pour éviter une exploitation malveillante, les informations doivent être chiffrées, avec des technologies de cryptage adaptées.

Les cabinets aussi peuvent être attaqués par la cybercriminalité ! Lisez le témoignage de Yannic Allouche du cabinet Novalliance.

3. A quelle fréquence les données sont-elles sauvegardées ?

La multiplication des cyberattaques et des ransomwares rend vitale la sauvegarde régulière des données des clients des cabinets comptables. On a vu l’importance de la sauvegarde avec la cyberattaque dont a été victime, en janvier 2024, l’hébergeur Coaxis³, qui a eu pour conséquence une indisponibilité de l’accès de ses clients, en particulier des cabinets d’expertise-comptable, à leurs données. Les sauvegardes en place ont finalement permis de récupérer l’usage des données hébergées.

Il est important d’avoir 3 niveaux de sauvegarde de vos données pour pouvoir remonter suffisamment dans le temps si besoin.

Par exemple pour Cegid Loop elles se font ainsi :

– Sauvegarde Quotidienne : chaque nuit et conservée 7 jours calendaires,

– Sauvegarde Hebdomadaire : chaque samedi ou dimanche et conservée 5 semaines,

– Sauvegarde Mensuelle : 1 fois par mois et conservée 2 mois

Idéalement, ces sauvegardes doivent être enregistrées sur deux lieux différents pour parés à tous aléas (catastrophe naturelle, attaque physique …).

4. Garantissez-vous des niveaux de services pour que mon application soit toujours disponible pour mes utilisateurs ?

Un cabinet d’expertise-comptable qui souscrit à une application en mode SaaS s’attend à ce que celle-ci soit disponible en permanence. Ce n’est évidemment pas possible pour un éditeur de logiciels de garantir une disponibilité à 100 %, parce qu’il est lui-même dépendant de son ou de ses hébergeurs, de la qualité d’Internet, ainsi que de contraintes de maintenance. Mais il doit s’engager. Ainsi par exemple Cegid s’engage, pour Cegid Loop, à fournir un service dont le taux de disponibilité⁴ est d’au moins 99 %.

5. Comment faites-vous pour tracer l’usage de l’application ?

La traçabilité fait partie des quatre besoins fondamentaux en matière de cybersécurité (avec la disponibilité, l’intégrité et la confidentialité). Un éditeur de logiciels doit donc être capable d’expliquer qui fait quoi, quand, depuis quel accès, bref : de générer une piste d’audit.

Cette piste est essentielle pour retracer le parcours d’un pirate qui aurait réussi à s’introduire dans une application, par exemple en usurpant l’identité d’un utilisateur autorisé. Pour trouver les responsables peut-être, et en tous cas pour comprendre où sont les failles qu’il faut combler d’urgence pour éviter que l’incident ne se reproduise.

6. Quelles technologies de sécurité utilisez-vous ?

La diversité et la qualité des solutions de protection dont dispose l’éditeur de logiciels en SaaS sont révélatrice de son engagement en faveur de la sécurité des données de ses clients. Il existe de nombreuses solutions de sécurité, les plus répandues étant les pare-feu, l’authentification forte, la sécurisation forte des accès distants, la gestion des logs (connexions), le filtrage d’URL (pour éviter qu’un tiers malveillant usurpe un nom de domaine), les scanners de vulnérabilité et de protection contre les dénis de services, le chiffrement des données, etc.

Ce n’est certes pas à l’expert-comptable de comprendre le fonctionnement de toutes ces technologies. Mais si un éditeur répond évasivement ou n’est pas capable d’écrire noir sur blanc son engagement technologique en la matière, ça n’est pas bon signe.

7. Disposez-vous d’un plan de reprise d’activités ?

La sauvegarde est nécessaire mais pas suffisante. Un éditeur de logiciels doit disposer d’un plan de reprise d’activités, cohérent et testé pour garantir un redémarrage le plus rapide possible après une attaque ou un incident. Cela inclut les processus de gestion crise (communication avec les clients, définition des responsabilités), les assurances, les sites de secours, les ressources nécessaires et mobilisables, en particulier au niveau technique, pour rétablir les infrastructures.

8. Contrôlez-vous les accès à l’application avec une authentification renforcée ?

On connaît la paresse naturelle des utilisateurs à choisir des mots de passe facile à retenir pour eux… mais aussi pour les pirates ! L’éditeur de logiciels doit obliger les utilisateurs à élaborer des mots de passe combinant des lettres, des chiffres, des caractères spéciaux. L’éditeur peut également prévoir une authentification à deux facteurs (comme pour les applications bancaires, avec un code spécifique, pour valider des opérations sensibles (transfert de fonds ou de documents confidentiels, mise à jour de RIB, par exemple).

9. Disposez-vous d’un responsable de la protection des données personnelles ?

Un éditeur de logiciels ne doit pas mettre en œuvre des traitements illicites en retraitant les données personnelles que son client lui a confié. Par ailleurs, il est indispensable que l’information soit conservée, auditable et transmissible au client. Les données personnelles collectées doivent être strictement nécessaires au traitement, et bien sûr sécurisées, par exemple avec des solutions de chiffrement.

Un délégué à la protection des données personnelles (DPO) doit être désigné et facilement joignable. C’est la garantie que l’éditeur s’engage à répondre aux demandes d’information et aux vérifications effectuées par les autorités de contrôle ou leurs représentants, notamment en cas de suspicion de violation des dispositions du RGPD, d’injonction de mise en conformité ou de demandes d’exercices des droits de la part des personnes. Vérifiez que votre éditeur assume ses responsabilités en matière de protection des données personnelles.

Selon l’adage bien connu, la confiance n’exclut pas le contrôle : ce principe s’applique aussi aux relations entre les experts-comptables et les éditeurs de leurs logiciels. Pour conserver la sérénité propice à la performance des cabinets d’expertise-comptable au service de leurs propres clients !

__________________
¹Software as a Service
² Baromètre de la cyberécurité des entreprises, Club des Experts de la Sécurité de l’Information et du Numérique, janvier 2024. https://cesin.fr/articles-slug/?slug=2060-9%C3%A8me%20%C3%A9dition%20du%20barom%C3%A8tre%20annuel%20du%20CESIN
³ https://www.coaxis.com/incident-de-securite/

Comment construire et valoriser son patrimoine de données ?

Enjeux, conditions d’exploitation de la donnée, prérequis techniques, les facteurs clés de succès… et les pièges à éviter.

Je télécharge

Experts comptable