Publié le 11/04/2024
Hameçonnage, rançongiciel, piratage de compte... Les experts-comptables sont confrontés à de nombreux risques numériques pouvant compromettre leurs données. Ces données étant par nature sensibles, il est essentiel d’en assurer la protection. Découvrez les solutions et bons comportements à adopter !
Avant tout, les experts-comptables sont tenus au respect du secret professionnel. Comme le dispose le code déontologique de la profession, ils ont une obligation de discrétion et ne peuvent donc pas transmettre librement les données financières et fiscales de leurs clients, y compris au sein même du cabinet.
En toute logique, les experts-comptables doivent aussi prendre les mesures nécessaires pour assurer la sécurité des informations, notamment dans l’optique d’empêcher leur diffusion involontaire (erreur d’envoi, piratage, etc.).
Cette obligation a été renforcée depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD). Conformément à l’article 32, les professionnels traitant des données à caractère personnel doivent notamment prendre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
L'installation d'un antivirus, sur chaque support (ordinateur, smartphone, etc.) ayant accès aux données fiscales et financières, est un prérequis indispensable. Son rôle : détecter et éliminer les virus informatiques.
Pour garantir son efficacité face aux risques d'intrusion, vous devez veiller à ce que vos collaborateurs mettent régulièrement à jour le logiciel antivirus. De plus, les fichiers provenant de l'extérieur du cabinet ne doivent être ouverts que si l'expéditeur est connu et uniquement après avoir été soumis à une analyse de l'antivirus.
Le pare-feu, ou firewall en anglais, est un système de sécurité informatique : il vise à limiter le trafic Internet entrant, sortant ou au sein du réseau privé du cabinet. Ce logiciel autorise ou bloque les paquets de données envoyés et reçus afin de garantir la sécurité du réseau.
En complément, vous pouvez l’associer à un serveur proxy. Ce système permet de mettre en place un serveur intermédiaire entre les utilisateurs et les pages web visitées, renforçant ainsi la confidentialité des échanges et des données.
Pour une sécurité maximale, tous les accès à distance doivent être réalisés par le biais d'un VPN, à savoir les connexions réalisées ailleurs qu’au sein du cabinet d’expertise comptable. Ce logiciel permet de créer un réseau privé virtuel : il masque l'adresse IP et chiffre les données de l'utilisateur pour les protéger.
Le chiffre-clé :
35 % des cyberattaques contre les entreprises ont eu pour conséquence le vol de données (1).
Dans l'idéal, toute connexion distancielle doit impliquer en complément une authentification forte de l'utilisateur. L'accès au VPN peut ainsi être conditionné à l'usage d'un mot de passe unique ou d'une carte à puce par exemple.
Bon à savoir : la Cnil (Commission nationale de l'informatique et des libertés), en charge de l'application du RGPD, recommande notamment que l'usage des interfaces d'administration – par définition plus sensibles – soit réalisée via un VPN.
Vous devez enfin vous équiper d'un logiciel de cryptographie, assurant une triple mission :
En la matière, la Cnil recommande différentes solutions :
En premier lieu, vous devez faire prendre conscience à vos collaborateurs des enjeux en matière de sécurité des données financières, fiscales et personnelles. Cela peut passer par différentes actions :
Vous devez également authentifier les différents utilisateurs afin de leur accorder les accès nécessaires. L'enjeu ? Limiter l'accès aux informations uniquement aux personnes compétentes.
Pour une meilleure gestion des accès, plusieurs pratiques sont essentielles :
Votre cabinet doit prévoir une sauvegarde régulière des données afin de limiter l'impact de leur modification ou de leur disparition. Dans l'idéal, vous devez prévoir une copie hors ligne (sur un disque dur par exemple) et/ou sur différents sites d'exploitation. La copie doit idéalement être protégée selon le même niveau de sécurité que les données stockées sur les serveurs (chiffrement, etc.).
Pour limiter les risques, vous avez aussi l’obligation d’archiver ou de supprimer les données qui ne présentent plus d’intérêt pour l’activité.
En plus de vous conseiller en amont pour renforcer la sécurité des données de votre cabinet, l'assurance Generali Protection Numérique vous accorde une protection 3-en-1 en cas de cyberattaque.
Vous pouvez notamment être indemnisé pour :
(1) Source : 8e édition du baromètre annuel du CESIN : Enquête exclusive sur la cybersécurité des entreprises françaises - CESIN - 2023