Sécurité informatique pour un cabinet : checklist

Pourquoi la sécurité informatique est un enjeu critique pour les cabinets d’expertise comptable

Les cabinets d’expertise comptable manipulent quotidiennement des données sensibles : déclarations fiscales (art. 1739 du CGI), bulletins de paie (art. L. 3243-2 du Code du travail), comptes annuels (art. L. 232-1 du Code de commerce), ou encore informations bancaires de clients. Une faille de sécurité peut entraîner :

• Des sanctions légales : jusqu’à 4 % du chiffre d’affaires mondial (RGPD, art. 83) ou 5 ans d’emprisonnement pour violation du secret professionnel (art. 226-13 du Code pénal).
• Une perte de confiance client : 60 % des PME changent de cabinet après un incident de sécurité (source : Baromètre CSO 2023).
• Des coûts financiers élevés : le coût moyen d’une cyberattaque pour une TPE/PME est estimé à 50 000 € (ANSSI, Rapport 2022).

La souveraineté des données (loi n°2018-493 du 20 juin 2018) et l’obligation de meansure de sécurité renforcée (art. 32 du RGPD) imposent aux cabinets de mettre en place un plan de protection structuré. Voici une checklist opérationnelle, validée par les bonnes pratiques de l’ANSSI et de la CNIL, pour sécuriser votre infrastructure.

---

1. Sécuriser les accès : authentification forte et gestion des droits

A. Mettre en place une authentification multifacteur (MFA)

L’ANSSI recommande systématiquement la MFA pour tous les accès distants (guide Recommandations de sécurité pour le télétravail, 2021). Les solutions conformes incluent :

• Clés physiques (YubiKey, Titan) ou applications dédiées (Microsoft Authenticator, Google Authenticator).
• Norme FIDO2 (sans mot de passe) pour les environnements cloud.

⚠️ Obligation légale :

• L’art. 32 du RGPD impose des mesures techniques pour limiter les accès non autorisés.
• Le BOFiP (BOI-LETTRE-000030-20210610) rappelle que les experts-comptables doivent sécuriser les accès aux données fiscales.

B. Appliquer le principe du moindre privilège

• Segmenter les accès par rôle (collaborateur, expert, administrateur) via un Active Directory ou un IAM (Identity and Access Management).
• Revoker les accès inutiles : un ancien collaborateur doit être désactivé sous 24h (recommandation CNIL, Délibération n°2020-091).

📌 Checklist accès :

Action	Outil/Fréquence
Activer la MFA sur tous les comptes	Immédiat
Auditer les droits d’accès trimestriellement	Outils : Azure AD, Okta
Supprimer les comptes inactifs (>30 jours)	Script PowerShell ou automatisation

---

2. Protéger les postes de travail et les serveurs

A. Antivirus et EDR (Endpoint Detection and Response)

• Obligation légale : L’art. 32 du RGPD impose une protection contre les malwares.
• Solutions recommandées :
  • Antivirus : Bitdefender GravityZone, ESET Endpoint Security (certifiés par l’ANSSI).
  • EDR : CrowdStrike, SentinelOne pour détecter les attaques avancées (ransomware, APT).

🔹 Configuration minimale :

• Mises à jour automatiques des signatures virales.
• Analyse comportementale (détection des anomalies).

B. Chiffrement des données

• Chiffrement des disques : BitLocker (Windows) ou FileVault (macOS) avec clé de récupération sécurisée.
• Chiffrement des emails : S/MIME ou PGP pour les échanges sensibles (art. L. 103 du Code des postes et communications électroniques).
• Chiffrement des sauvegardes : AES-256 minimum (recommandation ANSSI, Guide de bon usage de la cryptographie, 2021).

⚠️ Sanctions en cas de non-chiffrement :

• Jusqu’à 300 000 € d’amende pour négligence (art. 83 du RGPD).
• Responsabilité pénale en cas de fuite de données (art. 226-17 du Code pénal).

---

3. Sauvegardes : la règle 3-2-1 pour une résilience totale

Une sauvegarde défaillante est la première cause de perte de données après une cyberattaque (source : Rapport Coveware 2023). La méthode 3-2-1 est obligatoire :

Règle	Explication	Outils conformes
3 copies	1 originale + 2 sauvegardes	Veeam, Acronis
2 supports différents	Disque dur + cloud (ou bande)	Backblaze B2, AWS S3 (chiffré)
1 sauvegarde hors site	Protégée contre incendies/inondations	Datacenter certifié ISO 27001

🔹 Fréquence minimale :

• Données critiques (comptabilité, paie) : quotidienne.
• Test de restauration : mensuel (simuler une attaque par ransomware).

⚠️ Obligation légale :

• L’art. L. 123-14 du Code de commerce impose la conservation des documents comptables pendant 10 ans.
• Le BOFiP (BOI-LETTRE-000025-20200212) précise que les sauvegardes doivent être intègres et accessibles.

---

4. Former les collaborateurs : le maillon faible de la cybersécurité

90 % des cyberattaques commencent par une erreur humaine (source : IBM X-Force Threat Intelligence Index 2023). La formation est obligatoire :

A. Sensibilisation aux attaques courantes

• Phishing : Simulations régulières avec des outils comme KnowBe4 ou Mimecast.
• Deepfake vocal : Vérifier systématiquement les demandes de virement par un second canal (appel téléphonique vérifié).
• Faux ordres de virement (FOVI) : Protocole de validation à double signature (art. L. 133-16 du Code monétaire et financier).

B. Procédures écrites et audits

• Charte informatique : Document obligatoire (art. L. 1121-1 du Code du travail) précisant :
  • Interdiction d’utiliser des clés USB non chiffrées.
  • Utilisation exclusive des outils approuvés (pas de Shadow IT).
• Audit annuel : Vérifier la conformité avec un prestataire certifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information).

📌 Exemple de programme de formation :

Thème	Fréquence	Support
Détection des emails frauduleux	Trimestrielle	Quiz interactif (ex : Cyberini)
Gestion des mots de passe	Semestrielle	Guide CNIL
Réaction en cas d’incident	Annuelle	Simulation d’attaque

---

5. Sécuriser les échanges avec les clients et les tiers

A. Portails clients sécurisés

• Obligation de confidentialité (art. 226-13 du Code pénal) :
  • Utiliser des plateformes souveraines (ex : Konfid, DocuWare) avec chiffrement de bout en bout.
  • Éviter les emails non chiffrés pour les pièces sensibles (avis de la CNIL, Délibération n°2019-055).

B. Contrats avec les sous-traitants

• Clauses RGPD obligatoires (art. 28 du RGPD) :
  • Désignation d’un DPO si le sous-traitant traite des données à grande échelle.
  • Audit de sécurité annuel des hébergeurs (ex : OVH, Scaleway).
• Exemple de clause type :

  “Le sous-traitant s’engage à mettre en œuvre des mesures techniques et organisationnelles conformes à l’art. 32 du RGPD, incluant le chiffrement des données et des sauvegardes géo-redondantes.”

---

6. Plan de reprise d’activité (PRA) et réponse aux incidents

A. Élaborer un PRA documenté

• Obligation légale : L’art. 33 du RGPD impose de notifier les violations sous 72h.
• Contenu minimal du PRA :
  1. Identification des données critiques (comptabilité, paie, déclarations fiscales).
  2. Procédures de restauration (ordre de priorité).
  3. Contacts urgents (ANSSI, CNIL, assureur cyber).

B. Souscrire une assurance cyber

• Couverture minimale recommandée :
  • Frais de restauration (expertise, récupération de données).
  • Responsabilité civile (dommages aux clients).
  • Ransomware (négociation et paiement si légalement autorisé).
• Coût moyen : 1 500 à 5 000 €/an pour un cabinet de 10-50 collaborateurs (source : Fédération Française de l’Assurance, 2023).

---

Conclusion : une sécurité proactive pour un cabinet résilient

La cybersécurité n’est pas une option, mais une obligation légale et stratégique pour les cabinets d’expertise comptable. Les mesures clés à retenir :

1. Authentification forte (MFA) + gestion stricte des accès.
2. Antivirus/EDR + chiffrement systématique.
3. Sauvegardes 3-2-1 testées régulièrement.
4. Formation continue des collaborateurs.
5. Portails clients souverains et contrats RGPD-conformes.
6. PRA documenté et assurance cyber.

🚀 Automatisez vos vérifications de sécurité avec Konfid :

• Audit continu des accès et des sauvegardes.
• Détection des anomalies (comportements suspects, tentatives de phishing).
• Conformité RGPD et ANSSI intégrée.

Découvrez Konfid ou réservez une démo personnalisée pour sécuriser votre cabinet en 30 minutes.