L’expert-comptable et ses clients face aux menaces de la cybercriminalité

Sommaire

1. Des attaques trop souvent efficaces

2. Comment l’expert-comptable peut protéger ses clients de la cybercriminalité

39% des PME françaises et 14% des TPE ont été victimes d’une cyberattaque en 2023, selon une étude de l’Apave et de la Fédération Française de la Cybersécurité¹. Mais si la cybercriminalité touche toutes les entreprises, les TPE/PME ne disposent pas toujours des moyens (humains, financiers, technologiques) pour y faire face.

1. Des attaques trop souvent efficaces

Huit cyberattaques sur dix concernent trois types de fraudes :

• Les ransomwares (ou cryptologiciels) : un pirate encode les données de l’entreprise et exige une rançon pour y redonner accès (sans garantie de les revoir, ni qu’elles ne seront pas revendues ailleurs),
• Le phishing (pour collecter des identifiants et des mots de passe),
• Le déni de service (blocage d’un ordinateur ou d’un site Web par afflux massif de connexions).

Un exemple simple, classique et toujours efficace, concerne les coordonnées bancaires. Un pirate accède frauduleusement à une messagerie, y repère les mots-clés « RIB » ou « facture », et contacte un client sous l’identité de l’entreprise pour l’informer d’un changement de coordonnées bancaires. Le client le prend en compte et effectue le paiement de la facture vers le compte bancaire… du pirate. L’entreprise victime ne s’en aperçoit qu’au moment de relancer le règlement… et que son client lui prouve que la facture a déjà été payée ! Mais c’est trop tard.

A la clé : beaucoup de stress… et des litiges si le client dupé rechigne à payer deux fois, arguant du fait que c’est la responsabilité de son fournisseur de protéger ses systèmes informatiques.

2. Comment l’expert-comptable peut protéger ses clients de la cybercriminalité

Tout montre que cette situation va durer, et pourtant les dirigeants de TPE/PME ne semblent pas prendre la menace très au sérieux : selon l’enquête Apave, un tiers des entreprises victimes d’une cyberattaque n’ont pas mis en place de nouvelles mesures pour mieux se protéger ! Peut-être parce que beaucoup ne savent ni par où commencer ni comment s’y prendre ? Dans ce domaine aussi, ils doivent pouvoir compter sur leur expert-comptable (et leur CAC, le cas échéant), « tiers de confiance inégalé auprès des entreprises », comme le rappelle Aurélien Vernet, directeur d’études au cabinet Xerfi².

Les professionnels du chiffre disposent de quatre domaines pour aider leurs clients à mieux se protéger : la sensibilisation, l’exemple, l’identification des points faibles, et la recommandation d’actions.

1. Sensibiliser les dirigeants et leurs équipes à la cybersécurité

Beaucoup de dirigeants d’entreprises persistent à penser que la sécurité est avant tout une affaire de techniciens alors que, dans la réalité, c’est l’humain qui reste la porte d’entrée des attaques réussies, dans presque huit cas sur dix³.

La sensibilisation porte d’une part, sur les conséquences concrètes des cyberattaques :

• L’indisponibilité des systèmes (les collaborateurs ne peuvent plus travailler, y compris avec leur expert-comptable, l’entreprise ne peut plus facturer…),
• Les pertes financières directes ou indirectes (réelles dans 100 % des cyberattaques),
• Le vol de données (sur les produits et services, la politique commerciale, les clients, les collaborateurs, les partenaires…).

Elle doit rappeler aussi leurs impacts potentiellement catastrophiques : le rapport publié en 2021 par le Sénat sur la cybersécurité des entreprises rappelait que 50 à 80% des PME ayant eu tout leur système d’information bloqué plusieurs semaines à la suite d’un piratage informatique (généralement un rançongiciel), auraient fait faillite dans les six à douze mois⁵.

La sensibilisation doit concerner les bonnes pratiques à adopter par tous : elles sont nombreuses, bien connues et largement diffusées, par exemple sur le site Web de l’Ordre des Experts-comptables⁶, qui a également publié un guide pratique de la cybersécurité⁷ pour accompagner les entreprises. On ne les rappellera pas ici. Le cabinet pourra par exemple organiser une réunion ou un webinar, et fournir des kits individuels de prévention.

2. Auditer pour découvrir les vulnérabilités aux cyberattaques

L’audit sécurité permet de mettre en exergue les points faibles de l’entreprise. Au-delà des aspects techniques, qui nécessitent des compétences pointues, un audit simplifié, basé sur un questionnaire, permet d’améliorer d’identifier les axes d’amélioration (élaboration d’une charte informatique, procédures de sauvegarde des données, installation d’antivirus sur les postes de travail….). Les audits informatiques plus poussés font partie des missions des commissaires aux comptes. Il existe des guides et des fiches pratiques, par exemple ceux publiés par la Chambre Régionale des Commissaires aux Comptes de Paris⁸.

3. Montrer l’exemple et protéger son cabinet contre les cyberattaques

Si la médiatisation des cyberattaques est utile pour mieux sensibiliser, montrer l’exemple est encore plus efficace, comme dans beaucoup d’autres domaines ! La sécurité des systèmes d’information des experts-comptables doit absolument être à l’état de l’art, même si le risque zéro n’existe pas. Elle repose sur les quatre principes fondamentaux et indissociables de la cybersécurité :

• Assurer la disponibilité des systèmes,
• Garantir l’intégrité des données,
• Protéger la confidentialité des échanges et des documents,
• et Certifier la traçabilité des transactions.

L’usage du Cloud est venu consolider la sécurité du cabinet. On peut avoir confiance dans des prestataires Cloud dont le cœur de métier est de prévenir et de détecter les intrusions en un temps record, et dont les investissements dans les solutions SIEM (Security Information and Event Management) et les systèmes de détection de virus et malwares sont aujourd’hui sans équivalent. Les sauvegardes sont automatiques. Enfin, dernier facteur de sécurité pour le cabinet : il s’acquitte par défaut des obligations de la RGPD.

Pour autant il subsistera toujours des applications utilisées en local, des messageries, etc. qui constitueront des accès potentiels à des pirates, et autant de vulnérabilités.

4. Mettre à disposition des outils de sécurité

Au-delà de la sensibilisation et de l’audit, les experts-comptables peuvent proposer des solutions de cybersécurité à leurs clients, par exemple :

• Sauvegarde en ligne,
• Hébergement de données,
• Signature électronique,
• Coffre-fort numérique,
• voire une cyber-assurance,

Enfin, les applications tierces, directement connectées sur l’outil métier, devront absolument offrir les mêmes standards de sécurité que celui-ci. C’est le cas de tous les services additionnels issus de l’écosystème Cegid Loop, par exemple.

A l’heure où la dématérialisation se généralise et à l’aube de la facture électronique, il est vital de verrouiller son système d’information. Le nombre des cyberattaques va continuer à augmenter, leur précision et leur astuce ne manqueront pas de s’améliorer grâce à l’usage de l’IA… : il n’y a pas d’alternative au renforcement de la sécurité informatique.

Les experts-comptables ne vont évidemment pas se transformer en experts techniques. Mais tout en restant dans leurs rôles de conseil, d’audit et d’accompagnement, ils ont la capacité de faire faire à leurs clients des progrès sensibles pour mieux se protéger. Un grand pas vers la sérénité numérique de tous !

Sources :

• ¹ Enquête de maturité en cybersécurité des TPE/PME françaises 2023, https://www.ffcybersecurite.org/
• ² https://www.xerfi.com/presentationetude/Enquete-sur-les-nouvelles-realites-de-la-relation-client-dans-l-expertise-comptable_22SAE76
• ³ Data Breach Investigations Report, 2023, Verizon. https://www.verizon.com/business/fr-fr/resources/reports/dbir/
• ⁴ « Le rôle du Commissaire aux Comptes face aux risques de cyberattaques », https://www.youtube.com/watch?v=st87SNc1fqU
• ⁵ https://www.senat.fr/rap/r20-678/r20-6782.html. Un exemple de faillite suite à une cyberattaque : https://www.lefigaro.fr/flash-eco/bas-rhin-clestra-place-en-redressement-judiciaire-20220801. Voir également le cas de l’entreprise Lise Charmel : https://www.capital.fr/entreprises-marches/le-groupe-de-lingerie-lise-charmel-en-redressement-judiciaire-apres-une-cyberattaque-1363831
• ⁶ https://www.experts-comptables.fr/sites/default/files/assets/files/11-commandements-cyber.pdf
• ⁷ Le guide de la cybersécurité pour les experts comptables. http://www.boutique-experts-comptables.com/guide-cybersecurite-experts-comptables-c2x2719124800
• ⁸ « Recueil de tests d’audit de données » et « Guide d’audit des processus », Chambre régionale des commissaires aux comptes de Paris, 2020. https://www.crcc-paris.fr/commissaires-aux-comptes/mes-ressources/