L’incident illustre une réalité souvent sous-estimée : les cabinets d’expertise comptable sont des cibles privilégiées pour les cybercriminels, non pas seulement pour les données qu’ils détiennent, mais parce qu’ils constituent un point d’entrée potentiel vers leurs clients.
La confiance que ces derniers leur accordent, en leur transmettant données bancaires, bulletins de salaire, déclarations fiscales, doit être protégée à la hauteur de ce qu’elle représente.
Une stratégie en trois axes : outils, gouvernance et sensibilisation
La réponse du cabinet est structurée et méthodique. Elle s’articule autour de 3 piliers complémentaires, déployés de manière cohérente :
1. Investir dans des solutions de sécurisation
Le cabinet décide de s’équiper de plusieurs outils pour sécuriser l’entreprise :
Un gestionnaire de mots de passe certifié par l’Anssi est déployé pour l’ensemble des collaborateurs. Il permet à chaque salarié de stocker de façon sécurisée ses mots de passe, soit dans son espace personnel soit dans un espace partagé pour les accès communs. Seuls l’administrateur et la direction peuvent consulter les mots de passe. Les salariés peuvent les utiliser sans les lire, ce qui supprime le risque de transmission ou de divulgation involontaire.
En parallèle, le cabinet impose la double authentification obligatoire pour accéder aux comptes emails ou de signature électronique.
La gestion des accès est aussi intégralement revue avec une attribution des droits calée sur le portefeuille clients géré par chaque salarié.
Les pièces-jointes font l’objet d’une analyse systématique et tous les fichiers suspects sont automatiquement bloquée.
Des pare-feux sont installés sur tous les sites pour contrôler le trafic entrant et sortant, et bloquent par défaut les connexions depuis l’étranger.
2. Formaliser une gouvernance interne
La politique de cybersécurité ne se limite pas aux outils : elle implique de mettre à plat l’organisation. Le cabinet s’apprête à mettre à jour sa charte informatique et son règlement intérieur, pour y intégrer des règles de sécurité plus strictes et un cadre d’usage de l’intelligence artificielle pour prévenir tout risque de fuite d’informations sensibles.
Le déploiement d’un système de gestion des Identités et des Accès (IAM) permettra aussi à terme une gestion centralisée des utilisateurs et des postes, avec des stratégies de sécurité uniformes.
3. Sensibiliser et former les équipes et les clients
Troisième pilier, indispensable à la réussite d’une stratégie cyber : la sensibilisation et la formation. 90 % des cyberattaques trouvent leur origine dans une erreur humaine ! C’est pourquoi il est impératif de ne pas négliger la sensibilisation pour se prémunir contre les menaces en ligne.
Le cabinet a organisé des sessions régulières auprès des collaborateurs sur les risques numériques (phishing, ingénierie sociale, fuites de données) et les bonnes pratiques à adopter.
Il a aussi décidé de sensibiliser ses clients, via l’envoi régulier de mailings dédiés à la cybersécurité et aux gestes essentiels pour sécuriser leur propre environnement informatique.
Des résultats concrets et mesurables dès les premiers mois
Les effets de la démarche sont déjà quantifiables. Plus de 7 000 mots de passe ont été importés et centralisés dans le gestionnaire de mot de passe sécurisé. La totalité des 80 collaborateurs est désormais équipée et formée à son utilisation.
.
