Cybersécurité : un enjeu fort pour les Expert Comptables

5 min de lecture
29.07.2022

La cybersécurité est devenue une priorité pour les entreprises et particulièrement pour les cabinets d'expertise comptable qui doivent garantir la sécurité des données de leurs clients. La croissance forte des services Cloud tels que ceux déployés par EIC, avec leurs hauts niveaux de sécurité, exige également une vraie politique de bonnes pratiques au sein du cabinet comptable pour assurer une sécurité optimale.

Les cabinets face à l'explosion de la cybercriminalité

eic-cybersecurite

Les cybercriminels ne prennent pas de repos ! En 2021, selon l'ANSSI (Agence nationale de la sécurité des systèmes d'information), 69% des cyberattaques ont visé les entreprises. Sur cette seule année, selon certains experts en cybercriminalité, plus de 35 milliards de mots de passe et adresses email auraient été piratés ou perdus !

Les pratiques de "phishing" et les attaques par "ransomware" ont connu une explosion ces dernières années et figurent aujourd'hui parmi les premières menaces pour les entreprises avec des conséquences qui peuvent être dramatiques pour l'activité voire même pour la survie de l'entreprise.

La nature même de l'activité des cabinets comptables les conduit à traiter des données confidentielles et sensibles pour leurs clients (données comptables, sociales, personnelles, fiscales et patrimoniales) très appréciées des pirates informatiques ce qui les exposent, peut-être plus que d'autres, aux cyberattaques.

La cybercriminalité est désormais parfaitement organisée au sein de réseaux structurés qui cherchent à exploiter les moindres failles connues pour tout simplement gagner le maximum d'argent.

Les cabinets comptables doivent donc aujourd'hui redoubler de vigilance face à ces risques et mettre en place une vraie politique de sécurité informatique pour garantir leur propre sécurité et celle des données de leurs clients.

La sécurisation des données au sein du cabinet

La sécurité informatique a longtemps été négligée dans les entreprises même si les risques liés à la cybersécurité sont aujourd'hui beaucoup mieux pris en compte. Toutefois, rares sont les clients qui auditent ou qui épluchent scrupuleusement la politique de sécurité de leur futur prestataire ou de leur cabinet comptable avant de valider la lettre de mission qui leur est proposée. Le client a naturellement confiance en son prestataire ou son cabinet comptable pour lui confier ses données car c'est un expert des chiffres qui applique indubitablement toute la sécurité requise pour ses clients.

La mise en œuvre du RGPD depuis mai 2018 a accéléré la prise de conscience des risques liés à la sécurité informatique par les entreprises et en premier lieu l'exigence de protection des données personnelles. Au plan légal, selon le type de mission réalisée pour son client, le cabinet se positionne comme responsable des données, co-traitant ou même sous-traitant (en matière de paie notamment).

Rappelons à toutes fins utiles une des obligations du RGPD :Toute entreprise victime d'une violation de données est légalement obligée de notifier le sinistre à la CNIL dans les 72 h ainsi qu'à toutes les personnes victimes (clients) si l'incident constitue un risque élevé (violation de mot de passe, de données personnelles sensibles, etc...).

La sécurisation du système d'information et des données gérées par les cabinets comptables doivent constituer une priorité pour leurs dirigeants. Les vulnérabilités sont nombreuses : manque de vigilance humaine face à une attaque par phishing, défaut d'application des mises à jour de sécurité fournies par les éditeurs partenaires du cabinet, mots de passe trop simples ou compromis, etc...

L'adhésion de plus en plus forte des entreprises aux services "cloud" (logiciels en Saas, applications full Web en cloud, etc...) peut laisser penser que ces solutions technologiques protègent intégralement l'entreprise de toutes les cybermenaces mais ç'est un leurre ! Ca n'est que partiellement vrai car seule une politique globale de sécurité s'avère vraiment efficace à l'échelle de l'entreprise.

Quelles sécurités apportent les opérateurs de services Cloud / Saas ?

eic-securite-operateurs-cloud-saas

Sans rentrer dans un inventaire exhaustif des avantages que procurent les applications cloud en terme de sécurité, on peut les regrouper sous les 5 blocs suivants :

  • La sécurité physique des infrastructures : on parle là des datacenters, ces bâtiments comportant des milliers de serveurs dont l'accès est très sécurisé et qui proposent un niveau de disponibilité exceptionnel de leurs services (jusqu'à 99,99% pour un datacenter labellisé Tier 4)
  • La sécurité des serveurs et des réseaux : Il s'agit de disposer d'une barrière impénétrable entre le monde extérieur et les équipements internes du datacenter (serveurs, systèmes de stockage, applications et bases de données, etc...)
  • La gestion sécurisée des identités et des accès aux plateformes logicielles : C'est un des points essentiels de la sécurité qui touche spécifiquement aux droits et capacités d'accès des utilisateurs habilités à se connecter à un service cloud quel qu'il soit
  • La sécurité des applications et des plateformes : On regroupe ici l'ensemble des systèmes de sécurité applicatifs inhérents aux éditeurs de solutions logicielles, comme EIC, ou aux éditeurs de systèmes d'exploitation (Microsoft pour Windows, etc...).
  • La sécurité des données : Cet aspect de la sécurité est au cœur de la préoccupation des entreprises et des citoyens au travers du RGPD. On touche ici spécifiquement à la gestion sécurisée des bases de données, des sauvegardes et autres fichiers de données, si nombreux, au sein d'une entreprise.

La solution logicielle de déclaration des revenus DR, développée sur des technologies Web, s'inscrit parfaitement dans cette exigence de sécurité attendue par les experts comptables pour leur permettre de gérer leurs nombreux dossiers fiscaux en toute sérénité.

Des partenaires technologiques forts accompagnent EIC

EIC s'appuie sur 2 partenaires importants pour héberger et maintenir les services Cloud de ses clients :

  • logo Microsoft Azure pour l'hébergement de l'infrastructure technique Cloud des solutions EIC proposées à ses clients
  • logo Opérateur Hexanet qui assure l'hébergement en France de l'ensemble des services internes EIC

Les services Cloud EIC apportent donc un haut niveau de sécurité à ses clients mais cette sécurité ne pourra être optimale que si le cabinet et ses collaborateurs, eux-mêmes, adoptent aussi de bonnes pratiques de sécurité au sein de l'entreprise.

Trois bonnes pratiques de sécurité à adopter au sein du cabinet

Au-delà de la qualité et du niveau de sécurité apportés par les infrastructures techniques et les applications utilisées au sein du cabinet, quelques règles simples peuvent éviter un incident de sécurité préjudiciable pour le cabinet et ses clients :

  1. La sécurité est l'affaire de tous, c'est pourquoi l'entreprise se doit d'inculquer une véritable culture de la sécurité à tous ses collaborateurs afin de les sensibiliser à la cybersécurité au bureau mais également en télétravail à la maison. L'utilisation de mots de passe robustes, la vigilance avant de cliquer sur un lien reçu par mail, etc... font partie des bonnes pratiques simples à appliquer au quotidien.

  2. L'entreprise doit s'assurer impérativement de maintenir son système d'information parfaitement à jour pour garantir le meilleur niveau de sécurité possible (patchs de sécurité des systèmes d'exploitation, patchs applicatifs et de sécurité fournis par les éditeurs de logiciels métier, etc...)

  3. Adopter une gestion rigoureuse des droits d'accès aux différents outils et aux données de l'entreprise, limitée au strict nécessaire particulièrement lorsqu'il s'agit des dossiers des client du cabinet.

eic-decouvrir-cloud