- Accueil
- Cybersécurité
- Sensibiliser ses pairs à l’importance de la cybersécurité
Sensibiliser ses pairs à l’importance de la cybersécurité
Cybersécurité • 20 juin 2023
Et si chaque profession devait maintenant se former pour faire face aux cyberattaques et protéger ses clients et partenaires ?
C'est le cas des experts-comptables. Tenus au secret professionnel ainsi qu'à une obligation de conseil, la protection des données de leurs clients est primordiale. À l'heure de la recrudescence des cyberattaques sur toutes les structures, les experts-comptables deviennent une porte d'entrée rêvée pour atteindre de nombreuses cibles.
Il est temps pour la profession de s'armer face à ces menaces. Charlotte Creachcadec, experte-comptable indépendante et formatrice en cybersécurité a pris le sujet en main pour aider ses pairs à mettre en place les bons réflexes.
Découvrez son interview complète ci-dessous 👇
Experts-comptables et cybersécurité
Protéger les données de ses clients
Bonjour Charlotte, pouvez-vous vous présenter et présenter votre activité.
Je suis Charlotte Creachcadec, expert-comptable indépendante, membre du réseau Viseeon.
L’objectif de Viseeon est de permettre aux experts-comptables de garder la main sur leurs outils et leur garantir une meilleure interopérabilité entre les différents logiciels métiers. Pour cela, nous avons développé plusieurs outils à destination des experts-comptables comme un outil de datavisualisation, un intranet, un outil de gestion interne, etc…
En plus de cela, Viseeon c’est aussi et surtout un réseau. Ainsi, dès votre entrée dans la communauté vous êtes accompagné par un parrain ou une marraine et en 48h vous avez accès à tous les outils du réseau.
Je fais aussi de la formation en cybersécurité pour mes clients et mes confrères.
Le sujet de la cybersécurité semble effectivement faire partie de vos axes de travail, est-ce lié à une « stratégie » Viseeon ou plutôt une initiative individuelle ?
C’est une initiative personnelle liée à un contexte familial !
Je suis fille de militaire, femme de militaire, belle-fille de militaire dans le milieu des télécommunications et du réseau. J’ai donc été initiée à ces points d’attention informatique et c’est finalement une hygiène d’utilisation qui se répercute du perso au pro et vice-versa.
J’ai donc commencé à appliquer ces bonnes pratiques dans le milieu professionnel et j’ai constaté que mes collègues avaient les mêmes problématiques que moi.
J’ai également fait du droit avant de faire de la comptabilité et j’ai pendant longtemps travaillé sur les problématiques RGPD, ce qui a contribué à ma formation sur la sécurité informatique.
Par ailleurs, je me suis faite cambriolée à mon domicile il y a quelques années, cela m’a beaucoup touchée. Finalement, une cyberattaque c’est la même chose : un cambriolage de votre entreprise. Ce n’est pas tant l’aspect pécuniaire, ni l’aspect réputation, c’est surtout psychologiquement que c’est le plus dur. C’est une vraie agression : vous avez construit votre cabinet pendant 5, 10 ans, 20 ans et un jour quelqu’un arrive et se sert.
La cybersécurité, je l’assimile souvent à la maladie et aux accidents de la route : il y a les gens qui n’en ont jamais eu et les gens qui en ont déjà eu. Les premiers n’ont plus besoin d’être convaincus. C’est malheureux à dire mais c’est comme ça et souvent on est complètement en réaction.
Vous faites aussi de la formation auprès de vos clients sur l’hygiène IT, les bonnes pratiques c’est bien ça ?
Tout à fait. Je pense que les experts- comptables ont un vrai rôle à jouer, à mi-chemin entre le client et l’univers informatique avec des termes parfois peu intelligibles. Donc mon objectif c’est de faire ce lien, de créer une passerelle entre les deux et d’être l’intermédiaire qui va faire la vulgarisation.
Je consacre aussi du temps à la sensibilisation parce que les 3/4 du temps on retrouve quand même des erreurs humaines. Je travaille notamment en présentiel avec des supports interactifs (Quizz, vidéos, serious game etc...). Je recommande aussi aux employeurs d’inclure la réalisation de ces serious game dans les objectifs de l’année de leurs collaborateurs !
Ce que vous évoquiez sur “Être l’intermédiaire entre des prestataires et les clients”, ça fait pas mal écho à la notion que l’expert-comptable est un peu comme un médecin de famille.
C’est complètement ça !
On dit souvent que “Le chef d’entreprise répond à 3 personnes au téléphone : son banquier, son expert-comptable et sa maîtresse.”
Et comme on a la chance de faire partie des 3 il faut exploiter cela. Pour que la démarche fonctionne, il faut embarquer tout le monde, en commençant par le haut.
Quand le message vient de l’expert-comptable, il est un peu plus écouté, il a plus de poids que s’il vient de n’importe qui d’autre, surtout dans les petites structures qui n’ont pas de responsable IT. Les experts- comptables ont un vrai rôle à jouer à ce niveau.
Par ailleurs, face à notre obligation de conseil, il me semble impossible d’être complètement silencieux sur ces aspects vis-à-vis de nos clients.
Vous voulez dire qu’ils n'ont pas forcément tout le temps conscience de ces enjeux justement ?
Le problème de la cyber c’est que c’est dans la to do list du chef d’entreprise, mais rarement tout en haut. Jusqu’au jour où l'accident arrive.
Quand je réalise un prévisionnel, je mets une ligne “cyber” avec un budget dédié mais la réalité économique l’emporte bien souvent.
Finalement, la cyber est encore trop vu comme de l’assurance : cela ne génère pas de CA, de nouvelles opportunités, clients, c’est de l’argent perdu jusqu'à ce qu’un incident arrive.
Pensez-vous que le niveau d’exigence de vos clients augmente sur vos pratiques cyber ?
Si on parle des mots de passe par exemple, rien que le fait d’évoquer le sujet et de mettre en place un gestionnaire c’est un petit rien qui s’apparente à une révolution !
D’autant plus que cela amène des réflexions et des changements de pratiques sur :
- La manière de partager des mots de passe
- Savoir qui a accès à quoi
- Le fait de couper les accès lors du départ d’un collaborateur.
Je pense que les gens ont conscience du risque mais cela leur semble vaste, obscur et compliqué à mettre en place. Ils ne savent pas par où commencer.
Les gros cabinets communiquent sur leurs cyberattaques. Qu’en est-il des plus petits cabinets ?
En fait, avant, les experts-comptables et toutes les TPE et PME d’ailleurs, étaient persuadés que les hackers n’étaient pas intéressés par leurs données. Cela était en partie dû au fait qu’on ne communique que sur les grosses entités qui se font attaquer. Mais ce que les gens oublient c’est qu’il n’y a pas que des attaques ciblées.
En effet, il y a aussi des attaques de masse, et là, le cabinet comptable est une cible comme une autre.
Je pense que les gens commencent à comprendre qu’ils sont aussi une cible puisque justement c’est facile de venir se servir chez eux. Donc évidemment il y a plein de petits cabinets à qui cela arrive et c’est vite la catastrophe.
Dans un atelier que j’ai animé au congrès des experts-comptables, je posais justement la question suivante : “Si demain vous êtes loin du bureau et qu’un collaborateur vous appelle pour vous dire que tout est bloqué, qu’il y a une tête-de-mort sur les écrans. Vous faites quoi ?”
Les 3/4 de l’assemblée ne savaient pas du tout quoi faire.
Personnellement je leur partage ces deux réflexes en cas d’attaque :
- Première étape c’est de couper l’accès au réseau, wifi ou filaire, c’est-à-dire tout ce qui permet d’être connecté à Internet
- Ensuite, je les invite à aller sur cybermalveillance.gouv.fr pour décrire l’attaque et se faire rediriger vers les bons prestataires.
Rien que ça, ce sont déjà des réflexes clé.
Il y a une forte saisonnalité dans votre activité. Cela vous rend-il plus exposé aux risques cyber lors des périodes de clôture par exemple ?
Tout à fait. Les dates butoirs de déclaration d’impôts sont souvent entre le 3 et le 15 mai. Hacker un cabinet d’expertise le 3 mai, ça a tout de suite un impact énorme. Ce sont clairement des moment bénis pour les hackers et ils le savent.
D’autant plus que les données que possèdent les experts-comptables valent de l’or ! (RIB clients, données personnelles, copie de leurs pièces d’identité, carte vitale, données financières des entreprises...).
L’autre risque dont on parle moins ce sont les attaques par rebond. À l’image d’un collaborateur en entreprise, les cabinets d’expertise comptable sont une porte d’entrée vers tous les clients avec lesquels ils travaillent et c’est pour ça qu’il est essentiel de bien se protéger, pour eux et pour nous.
Il y a donc encore beaucoup de travail mais je pense que la profession est clairement sur la bonne voie !
À lire aussi
Articles recommandés pour booster votre cybersécurité
Cybersécurité
Solution cyber : 3 étapes pour embarquer tout le monde !
Coffre-fort de mots de passe
Expert-comptable : 5 atouts du gestionnaire de mots de passe
Cybersécurité
Comprendre le Zero Knowledge Proof (ZKP) (+cas d'usage)
Livre blanc
Les cabinets d’expertise comptable face aux enjeux Cyber
Saisir le risque, se protéger et sensibiliser ses collaborateurs, avec les retours de 3 cabinets.Sommaire
Sensibiliser ses pairs à l’importance de la cybersécurité