Cybersécurité : un enjeu pour les experts-comptables

A priori, la cybersécurité et la comptabilité ne sont pas des domaines liés. Pourtant, avec l’essor de la digitalisation, les professionnels utilisent de plus en plus de logiciels différents : production comptable, GED, bientôt des plateformes dédiées pour la facturation électronique… C’est donc de nombreuses données confidentielles qui sont échangées au quotidien au sein de votre cabinet. Comme vous le savez sûrement, celles-ci peuvent faire l'objet de convoitises et être la cible d’attaques. Cependant, il suffit de mettre en place quelques bonnes pratiques et de choisir les bons outils pour éviter la majorité. Voici quelques conseils pour naviguer en eaux sûres. ⚓

Cybersécurité : les risques principaux

La cybersécurité devient un enjeu important pour la profession. C’est ainsi que ce thème a fait l’objet de plusieurs interventions au Congrès des experts-comptables ou encore à l’Université d’été. 

Définition d’une cyberattaque

Comme son nom l’indique, une cyberattaque est une action malveillante qui a pour but de voler des données sensibles ou d’empêcher un système de fonctionner normalement. Elle passe par des systèmes informatiques comme des réseaux ou des sites par exemple. Un simple mail peut constituer une cyberattaque, car il vise à soutirer des données à son destinataire. 🏴‍☠️

Les différents types de cyberattaque

En raison de la pluralité des moyens d’infiltration, il existe différents types de cyberattaques.

• Le phishing (ou hameçonnage) concerne les mails ou les SMS. Cela consiste à envoyer un message frauduleux pour soutirer des informations personnelles ou bancaires. Dans le cadre d’un cabinet ou d’une entreprise, cela peut être un mail envoyé à vos clients ou à vos collaborateurs qui contient une pièce jointe ou un lien vers une plateforme qui installe un logiciel espion. Parfois il s’agit tout simplement d’un formulaire qui demande des informations personnelles ou bancaires. Comme le site prend l’apparence d’une institution connue en adoptant son design, son logo ou encore sa structure, il n’est pas rare de s’y laisser prendre.
• Les rançongiciels s’infiltrent au sein d’un équipement ou système d’information pour en bloquer l’accès afin d’obtenir une rançon contre son rétablissement.
• Le piratage des systèmes informatiques est rendu possible si les mots de passe sont accessibles et quelqu’un s’introduit physiquement au sein de votre cabinet par exemple. Là, il suffit de se connecter sur les machines de vos collaborateurs pour s’introduire dans les logiciels utilisés et avoir accès aux informations voulues.

Depuis la généralisation du télétravail, ce type d’attaque a augmenté. Les cabinets d’expertise comptable constituent une cible privilégiée puisqu’ils échangent de nombreuses informations financières qui peuvent être revendues cher. 😧

Comment se protéger des cyberattaques en tant qu’expert-comptable ?

Les cyberattaques ne sont cependant pas une fatalité. Si vous utilisez les bons outils pour les prévenir ou même dans votre usage quotidien, vous pouvez réduire les risques. De même, des pratiques simples à mettre en place avec vos collaborateurs limitent les piratages informatiques.

Des solutions techniques

L’une des premières solutions à mettre en place pour limiter les cyberattaques est de vous doter de logiciels spécifiques. L’un d’entre eux, le pare-feu, a pour fonction de filtrer le trafic entrant et sortant sur le réseau informatique de votre cabinet.

La mise à jour régulière des logiciels permet de corriger les failles de sécurité identifiées dans les systèmes informatiques. En effet, les cybercriminels tirent souvent parti de ces vulnérabilités pour pénétrer des réseaux insuffisamment sécurisés.

Se doter des bons outils comme une GED

Choisir les bons outils au préalable permet de limiter certains risques. En effet, certains logiciels se basent sur des normes de sécurité très exigeantes. Ainsi, les utiliser revient à renforcer la sécurité de certains process.

C’est le cas d’une GED (gestion électronique de documents) comme celle de Welyb qui permet de centraliser les documents échangés entre vos clients et vous au sein d’une plateforme partagée. 💻

Limiter les envois de mails

Une GED permet ainsi de limiter les envois de mails puisque les documents sont échangés en direct sur la plateforme. Les mails constituent en effet une porte d’entrée de choix pour le phishing. Les limiter peut donc avoir un effet positif sur la sécurité de vos process. 

Des protocoles sécurisés 

Les communications entre le client et le serveur, de l’application mobile ou de l’application Chrome pour ordinateur, sont protégées par le protocole HTTPS, à l’aide d’un certificat SSL délivré par Let’s Encrypt.

Le stockage des fichiers est également chiffré, ce qui assure ainsi une protection complète et un chiffrement des données hébergées de bout en bout. ⚙️

Un historique pour la traçabilité

Une GED assure la traçabilité des documents : elle propose un historique des différentes versions et une possibilité de les restaurer à un état antérieur par exemple. Ainsi, si vos documents ont été compromis, il est possible de revenir en arrière. Cela concerne aussi des situations moins graves comme de simples erreurs de manipulation par exemple !

La gestion des utilisateurs

La GED de Welyb propose une gestion des utilisateurs très poussée pour limiter la consultation aux seules personnes autorisées. 

👉Je demande une démo gratuite

Des backup disponibles

En cas d’attaque qui engendrerait la suppression involontaire de vos dossiers, la GED de Welyb propose des “backup”. Ce système permet de sauvegarder régulièrement vos données et de les récupérer en cas d’acte malveillant. Dans la mesure où il s’agit d’un cas extrême, cette opération ne peut être réalisée qu’à titre exceptionnel.

Une plateforme conforme au RGPD

La plateforme est conforme au Règlement Général sur la Protection des Données (RGPD). Elle dispose d’un Délégué à la Protection des Données (DPO) déclaré auprès de la CNIL. Vous pouvez être mis en relation avec lui sur simple demande adressée à l’équipe Support depuis la plateforme.

La sensibilisation des équipes

La cybersécurité implique aussi de s’appuyer sur des pratiques organisationnelles qui passent par vos équipes. Vous devez d’abord sensibiliser l’ensemble de vos collaborateurs aux risques liés aux cyberattaques. Des sessions de formation régulières, axées sur la détection des e-mails frauduleux (phishing) et sur les bons réflexes à adopter face à des liens ou pièces jointes suspects suffisent à limiter la plupart des incidents. 🧑‍🏫

Mettre en place une politique rigoureuse de gestion des mots de passe est également très important puisque c’est l’un des moyens les plus simples de pénétrer dans les logiciels de vos collaborateurs. De préférence, les mots de passe doivent être longs, complexes - avec des caractères spéciaux et des majuscules par exemple - et renouvelés régulièrement. Un gestionnaire de mots de passe simplifie cette démarche et renforce le niveau de sécurité global. En effet, garder les mots de passe dans un carnet ou sur un post-it est une pratique plutôt risquée.

Des audits internes, effectués de temps en temps par des prestataires spécialisés, vous aident à repérer d’éventuelles failles dans le système informatique du cabinet. Ces contrôles permettent non seulement de corriger les vulnérabilités avant qu’elles ne soient exploitées, mais aussi de vérifier l’efficacité des mesures de protection déjà mises en place.