cybersécurité et ia

Dépositaires de données financières sensibles, les experts-comptables constituent des cibles privilégiées pour les cybercriminels. Phishing, fraude au virement, compromission de messagerie, comprendre ces nouvelles menaces et adopter des pratiques de sécurité adaptées devient un impératif pour les cabinets.

Pourquoi les cabinets comptables sont-ils dans la ligne de mire des cyberattaques ?

Les cabinets d’expertise comptable sont des cibles privilégiées pour les cybercriminels en raison des flux financiers et des informations sensibles qu’ils manipulent pour leurs clients. Les experts-comptables disposent en effet d’un accès direct à des documents stratégiques, notamment des coordonnées bancaires, ce qui en fait une cible attractive pour certaines attaques informatiques.

Un cas fréquent est le phishing en période fiscale. Un collaborateur du cabinet reçoit par exemple une fausse notification prétendument envoyée par la DGFiP (Direction Générale des Finances Publiques) demandant une mise à jour de coordonnées bancaires pour un remboursement de TVA. Ces messages ciblent directement les boîtes mails professionnelles et cherchent à exploiter la confiance accordée aux communications administratives.

Durant les clôtures annuelles, les cybercriminels utilisent également une forme de phishing ciblé appelée spear phishing. L’attaquant usurpe l’identité d’un fournisseur ou d’un partenaire et demande la modification de coordonnées bancaires ou l’exécution d’un Faux Ordre de Virement (FOVI).

Comprendre ces méthodes permet aux experts-comptables d’anticiper ces manipulations et de réduire les failles de sécurité susceptibles de conduire à une fraude financière.

Cybersécurité : les 3 fondamentaux pour protéger son cabinet

La protection des cabinets d’expertise comptable repose d’abord sur la sécurisation des échanges et sur l’instauration de bonnes pratiques d’hygiène informatique.

Sortir les données sensibles des boîtes mails

expert-comptable-boite-mail

Les boîtes de messagerie ne doivent pas être utilisées pour transmettre des informations sensibles telles que des coordonnées bancaires ou des documents financiers critiques.

L’adoption d’un portail collaboratif sécurisé, comme un SharePoint par exemple, permet de centraliser les échanges avec les entreprises clientes et de garantir un transfert chiffré des documents.

Cette organisation limite fortement les risques liés aux compromissions de boîtes mails, qui constituent aujourd’hui un vecteur fréquent d’attaques informatiques.

D’après une étude de l’assureur Hiscox, 35 % des entreprises indiquent que le piratage de la messagerie professionnelle est le premier point d’entrée des hackers. (1)

Un mot de passe ne vous protège pas

gestionnaire-de-mot-de-passe

La gestion des accès constitue un autre pilier de la sécurité. L’utilisation de gestionnaires de mots de passe et la généralisation de l’authentification multifacteur (MFA) permettent de réduire considérablement les risques de vol d’identifiants.

Dans cette logique, l’application du principe du moindre privilège est également recommandée : chaque collaborateur du cabinet ne doit accéder qu’aux informations strictement nécessaires à ses missions.

Cette approche limite les conséquences d’une compromission de compte et réduit les failles de sécurité exploitables par les cybercriminels. Et si certains collaborateurs sont en télétravail, l’utilisation d’un VPN professionnel doit être systématique pour garantir l’intégrité des échanges avec le cabinet.

On sauvegarde… et on teste la sauvegarde

sauvegarde-en-ligne

La sauvegarde régulière des données permet de renforcer la résistance du cabinet face aux intrusions et aux perturbations potentielles du système d’information. Mais la procédure de récupération des données en cas de problème doit être claire. Il est important de faire des tests régulièrement, en essayant de récupérer des documents sauvegardés, d’une part, pour s’assurer que la sauvegarde fonctionne, d’autre part, pour être en mesure de réagir très rapidement en cas de besoin.

Une réglementation qui engage la responsabilité du cabinet

Objets comptables bien identifiés

Le cadre déontologique et réglementaire impose aux experts-comptables une vigilance constante face aux risques de fraude et de cybercriminalité. En matière de lutte contre le blanchiment et le financement du terrorisme, l’expert-comptable doit notamment vérifier l’identité de ses clients et identifier leurs bénéficiaires effectifs à l’aide de sources fiables, telles que les registres officiels du commerce et des sociétés, les documents d’identité transmis par les dirigeants, les bases publiques d’entreprises ou encore les informations issues d’organismes administratifs.

Cette obligation s’inscrit dans une logique de connaissance approfondie des données des entreprises suivies par le cabinet. Elle vise à prévenir l’utilisation des cabinets comme vecteurs de cybercriminalité ou comme relais involontaire d’opérations frauduleuses.

Des RIB sous haute surveillance

Toute faille de sécurité ou absence de procédure interne peut engager la responsabilité civile professionnelle (RCP) du cabinet, notamment en cas de négligence dans la protection des fonds ou des informations financières. Face à des menaces de plus en plus sophistiquées, les experts-comptables doivent donc intégrer la gestion du risque numérique dans leurs pratiques professionnelles et renforcer leurs dispositifs de contrôle interne, c’est-à-dire mettre en place des procédures de vérification systématiques pour les opérations sensibles.

Cela peut inclure la validation à plusieurs niveaux des demandes de virement, la vérification indépendante des changements de coordonnées bancaires, la traçabilité des accès aux dossiers clients ou encore des protocoles formalisés pour les échanges d’informations financières.

Ces mesures visent à limiter l’exposition à une fraude financière et à réduire les risques d’erreur ou de manipulation.

Culture de la vigilance : le rempart humain face aux menaces

Les dispositifs techniques ne suffisent pas à eux seuls à protéger les cabinets d’expertise comptable. Ils doivent être complétés par des processus internes rigoureux et par un véritable travail de sensibilisation au risque numérique. Les collaborateurs constituent en effet la première ligne de défense face aux tentatives d’usurpations d’identité, aux techniques de phishing ou aux tentatives d’intrusion visant les échanges financiers avec les entreprises clientes.

Appel ? Contre-appel !

La mesure la plus efficace reste le contre-appel systématique.

Toute demande de modification de coordonnées bancaires doit être confirmée oralement à l’aide d’un numéro de téléphone déjà connu et vérifié dans les dossiers du cabinet.

Ce contrôle simple permet de neutraliser un grand nombre de fraudes, notamment celles reposant sur sur un Faux Ordre de Virement (FOVI) ou sur la fraude au président. Cette dernière est une escroquerie dans laquelle un fraudeur se fait passer pour un dirigeant de l’entreprise afin de demander à un salarié, souvent dans l’urgence et sous couvert de confidentialité, d’effectuer un virement vers un compte frauduleux.

Face à l’imprévu, développer ses réflexes

En parallèle, les cabinets ont intérêt à organiser régulièrement des exercices de sensibilisation et des simulations de phishing. Ces tests permettent aux équipes d’identifier plus facilement certains signaux d’alerte, comme un message inhabituellement urgent, une demande de paiement imprévue ou une incohérence dans les coordonnées d’un interlocuteur.

Enfin, chaque cabinet devrait disposer d’une fiche réflexe clairement identifiée.

Celle-ci doit préciser les actions immédiates à engager en cas de suspicion de fraude ou de cyberattaque réussie, notamment le contact de la cellule cyber de la banque, les procédures de blocage des paiements et l’accès au portail d’assistance Cybermalveillance.gouv.fr.

Quelles sont les sanctions possibles pour un expert-comptable en cas de cyberattaque ?

Une cyberattaque ne conduit pas automatiquement à une sanction pour un expert-comptable. Toutefois, si l’incident révèle une négligence dans la sécurisation des systèmes ou la gestion des informations financières, la responsabilité du cabinet peut être engagée.

  • Sur le plan civil, la responsabilité civile professionnelle peut être mise en cause si un client subit un préjudice financier lié à un défaut de protection ou à l’absence de procédure.
  • Sur le plan disciplinaire, l’Ordre des experts-comptables peut intervenir en cas de manquement aux obligations professionnelles.
  • Enfin, en cas de violation de données personnelles, le cabinet doit respecter les obligations du RGPD. Une absence de notification ou des mesures de sécurité insuffisantes peuvent entraîner des sanctions administratives de la CNIL.

Un expert-comptable peut-il se former à la cybersécurité ?

Oui. Les experts-comptables peuvent accéder à plusieurs dispositifs de formation dédiés à la cybersécurité. L’Ordre des experts-comptables propose notamment des modules de sensibilisation aux risques numériques (2), autour de la fraude au virement, du phishing ou de la protection des données financières.

Ces formations permettent de comprendre les principales techniques utilisées par les cybercriminels et d’adopter des pratiques de sécurité adaptées au fonctionnement d’un cabinet.

Par ailleurs, des organismes spécialisés proposent des formations courtes pour les professions financières, couvrant la gestion des accès, la sécurisation des échanges ou la réaction à un incident. Certaines incluent également des exercices pratiques, comme des simulations de phishing, afin d’entraîner les équipes à identifier les tentatives de fraude et renforcer la culture de sécurité des cabinets.

Ce qu’il faut retenir

  • Les données de votre cabinet sont des cibles de choix pour les pirates et une négligence numérique peut engager votre responsabilité.
  • Sécurisez les accès et le partage d’informations : plateforme collaborative sécurisée, authentification multifacteur et VPN.
  • Préparez-vous à l’imprévu : testez régulièrement vos sauvegardes et préparez une fiche réflexe pour réagir immédiatement et sans paniquer en cas d’attaque.
  • Instaurez une culture du doute : le contre-appel systématique reste l’arme ultime contre le phishing et la fraude au virement.

Sources :
(1) « Rapport Hiscox 2023 sur la gestion des cyber-risques » : https://www.hiscox.fr/courtage/sites/courtage/files/documents/Rapport_Hiscox_sur_la_gestion_des_cyber-risques_2023.pdf
(2) « Prévenir et gérer les cyberattaques : le guide pratique pour les cabinets » : https://www.oec-paris.fr/wp-content/uploads/2024/04/IMP_DEPLIANT_CYBERSECURITE_V5.pdf

Sur le même thème

Sécurité numérique : les notaires face à de nouvelles menaces. Médecins libéraux : comment assurer la cybersécurité des données de santé ? EDR vs antivirus : quelle protection pour les indépendants ? Pentest : penser comme un hacker pour protéger votre entreprise Cybersécurité : comment votre opérateur télécom peut vous accompagner ? Cyberattaque: comprendre les coûts pour une PME