Experts-comptables : le guide pour protéger vos données sensibles en 2024

Experts-comptables : le guide pour protéger vos données sensibles en 2024

Hameçonnage, rançongiciel, piratage de compte... Les experts-comptables sont confrontés à de nombreux risques numériques pouvant compromettre leurs données. Ces données étant par nature sensibles, il est essentiel d’en assurer la protection. Découvrez les solutions et bons comportements à adopter !

Protection des données : quelles obligations pour l’expert-comptable ?

Avant tout, les experts-comptables sont tenus au respect du secret professionnel. Comme le dispose le code déontologique de la profession, ils ont une obligation de discrétion et ne peuvent donc pas transmettre librement les données financières et fiscales de leurs clients, y compris au sein même du cabinet.

En toute logique, les experts-comptables doivent aussi prendre les mesures nécessaires pour assurer la sécurité des informations, notamment dans l’optique d’empêcher leur diffusion involontaire (erreur d’envoi, piratage, etc.).

Cette obligation a été renforcée depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD). Conformément à l’article 32, les professionnels traitant des données à caractère personnel doivent notamment prendre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Quelles solutions pour assurer la sécurité des données fiscales ?

1. Installer un antivirus

L'installation d'un antivirus, sur chaque support (ordinateur, smartphone, etc.) ayant accès aux données fiscales et financières, est un prérequis indispensable. Son rôle : détecter et éliminer les virus informatiques.

Pour garantir son efficacité face aux risques d'intrusion, vous devez veiller à ce que vos collaborateurs mettent régulièrement à jour le logiciel antivirus. De plus, les fichiers provenant de l'extérieur du cabinet ne doivent être ouverts que si l'expéditeur est connu et uniquement après avoir été soumis à une analyse de l'antivirus.

2. Mettre en place un firewall

Le pare-feu, ou firewall en anglais, est un système de sécurité informatique : il vise à limiter le trafic Internet entrant, sortant ou au sein du réseau privé du cabinet. Ce logiciel autorise ou bloque les paquets de données envoyés et reçus afin de garantir la sécurité du réseau.

En complément, vous pouvez l’associer à un serveur proxy. Ce système permet de mettre en place un serveur intermédiaire entre les utilisateurs et les pages web visitées, renforçant ainsi la confidentialité des échanges et des données.

3. Utiliser un VPN

Pour une sécurité maximale, tous les accès à distance doivent être réalisés par le biais d'un VPN, à savoir les connexions réalisées ailleurs qu’au sein du cabinet d’expertise comptable. Ce logiciel permet de créer un réseau privé virtuel : il masque l'adresse IP et chiffre les données de l'utilisateur pour les protéger.

Le chiffre-clé : 

35 % des cyberattaques contre les entreprises ont eu pour conséquence le vol de données (1).

Dans l'idéal, toute connexion distancielle doit impliquer en complément une authentification forte de l'utilisateur. L'accès au VPN peut ainsi être conditionné à l'usage d'un mot de passe unique ou d'une carte à puce par exemple.

Bon à savoir : la Cnil (Commission nationale de l'informatique et des libertés), en charge de l'application du RGPD, recommande notamment que l'usage des interfaces d'administration – par définition plus sensibles – soit réalisée via un VPN.

4. Opter pour une solution de cryptographie

Vous devez enfin vous équiper d'un logiciel de cryptographie, assurant une triple mission :

• assurer l'intégrité des données grâce aux fonctions dites de « hachage » ;
• garantir l'authenticité des données grâce à la signature ;
• préserver la confidentialité grâce au chiffrement.

En la matière, la Cnil recommande différentes solutions :

• les solutions de cryptographie certifiées par l'Anssi (Agence nationale de la sécurité des systèmes d'information) ;
• le logiciel VeraCrypt pour protéger les documents sensibles avec un « secret » ;
• le logiciel GNU Privacy Guard associant une protection par signature et chiffrement.

Protection des données : quels bons comportements adopter ?

1. Sensibiliser les utilisateurs

En premier lieu, vous devez faire prendre conscience à vos collaborateurs des enjeux en matière de sécurité des données financières, fiscales et personnelles. Cela peut passer par différentes actions :

• organiser des formations ;
• rédiger une charte informatique ;
• faire signer un engagement de confidentialité aux personnes ayant accès aux données les plus sensibles ;
• interdire les comptes partagés ;
• rendre obligatoire la modification régulière des mots de passe.

 2. Gérer les habilitations

Vous devez également authentifier les différents utilisateurs afin de leur accorder les accès nécessaires. L'enjeu ? Limiter l'accès aux informations uniquement aux personnes compétentes.

Pour une meilleure gestion des accès, plusieurs pratiques sont essentielles :

• délimiter les informations et les tâches dans le système ;
• faire valider toute demande d'habilitation par un responsable ;
• actualiser les habilitations, notamment en cas de changement de poste d'un collaborateur.

3. Sauvegarder et supprimer les données

Votre cabinet doit prévoir une sauvegarde régulière des données afin de limiter l'impact de leur modification ou de leur disparition. Dans l'idéal, vous devez prévoir une copie hors ligne (sur un disque dur par exemple) et/ou sur différents sites d'exploitation. La copie doit idéalement être protégée selon le même niveau de sécurité que les données stockées sur les serveurs (chiffrement, etc.).

Pour limiter les risques, vous avez aussi l’obligation d’archiver ou de supprimer les données qui ne présentent plus d’intérêt pour l’activité.

4. Souscrire une assurance cyber

En plus de vous conseiller en amont pour renforcer la sécurité des données de votre cabinet, l'assurance Generali Protection Numérique vous accorde une protection 3-en-1 en cas de cyberattaque.

Vous pouvez notamment être indemnisé pour :

• les dommages et pertes liés à l’attaque informatique ;
• les conséquences de la cyberattaque sur votre activité ;
• les frais engendrés en cas de fraude informatique ou d'usurpation d'identité.

(1) Source : 8e édition du baromètre annuel du CESIN : Enquête exclusive sur la cybersécurité des entreprises françaises - CESIN - 2023