Sensibiliser ses pairs à l’importance de la cybersécurité

Cybersécurité • 20 juin 2023

Et si chaque profession devait maintenant se former pour faire face aux cyberattaques et protéger ses clients et partenaires ?

C'est le cas des experts-comptables. Tenus au secret professionnel ainsi qu'à une obligation de conseil, la protection des données de leurs clients est primordiale. À l'heure de la recrudescence des cyberattaques sur toutes les structures, les experts-comptables deviennent une porte d'entrée rêvée pour atteindre de nombreuses cibles.

Il est temps pour la profession de s'armer face à ces menaces. Charlotte Creachcadec, experte-comptable indépendante et formatrice en cybersécurité a pris le sujet en main pour aider ses pairs à mettre en place les bons réflexes.

Découvrez son interview complète ci-dessous 👇

Experts-comptables et cybersécurité

Protéger les données de ses clients

Entretien avec Charlotte Creachcadec, experte-comptable indépendante, membre du réseau Viseeon

Bonjour Charlotte, pouvez-vous vous présenter et présenter votre activité.

Je suis Charlotte Creachcadec, expert-comptable indépendante, membre du réseau Viseeon.

L’objectif de Viseeon est de permettre aux experts-comptables de garder la main sur leurs outils et leur garantir une meilleure interopérabilité entre les différents logiciels métiers. Pour cela, nous avons développé plusieurs outils à destination des experts-comptables comme un outil de datavisualisation, un intranet, un outil de gestion interne, etc…

En plus de cela, Viseeon c’est aussi et surtout un réseau. Ainsi, dès votre entrée dans la communauté vous êtes accompagné par un parrain ou une marraine et en 48h vous avez accès à tous les outils du réseau.

Je fais aussi de la formation en cybersécurité pour mes clients et mes confrères.

Le sujet de la cybersécurité semble effectivement faire partie de vos axes de travail, est-ce lié à une « stratégie » Viseeon ou plutôt une initiative individuelle ?

C’est une initiative personnelle liée à un contexte familial !

Je suis fille de militaire, femme de militaire, belle-fille de militaire dans le milieu des télécommunications et du réseau. J’ai donc été initiée à ces points d’attention informatique et c’est finalement une hygiène d’utilisation qui se répercute du perso au pro et vice-versa.

J’ai donc commencé à appliquer ces bonnes pratiques dans le milieu professionnel et j’ai constaté que mes collègues avaient les mêmes problématiques que moi.

J’ai également fait du droit avant de faire de la comptabilité et j’ai pendant longtemps travaillé sur les problématiques RGPD, ce qui a contribué à ma formation sur la sécurité informatique.

Par ailleurs, je me suis faite cambriolée à mon domicile il y a quelques années, cela m’a beaucoup touchée. Finalement, une cyberattaque c’est la même chose : un cambriolage de votre entreprise. Ce n’est pas tant l’aspect pécuniaire, ni l’aspect réputation, c’est surtout psychologiquement que c’est le plus dur. C’est une vraie agression : vous avez construit votre cabinet pendant 5, 10 ans, 20 ans et un jour quelqu’un arrive et se sert.

La cybersécurité, je l’assimile souvent à la maladie et aux accidents de la route : il y a les gens qui n’en ont jamais eu et les gens qui en ont déjà eu. Les premiers n’ont plus besoin d’être convaincus. C’est malheureux à dire mais c’est comme ça et souvent on est complètement en réaction.

Vous faites aussi de la formation auprès de vos clients sur l’hygiène IT, les bonnes pratiques c’est bien ça ?

Tout à fait. Je pense que les experts- comptables ont un vrai rôle à jouer, à mi-chemin entre le client et l’univers informatique avec des termes parfois peu intelligibles. Donc mon objectif c’est de faire ce lien, de créer une passerelle entre les deux et d’être l’intermédiaire qui va faire la vulgarisation.

Je consacre aussi du temps à la sensibilisation parce que les 3/4 du temps on retrouve quand même des erreurs humaines. Je travaille notamment en présentiel avec des supports interactifs (Quizz, vidéos, serious game etc...). Je recommande aussi aux employeurs d’inclure la réalisation de ces serious game dans les objectifs de l’année de leurs collaborateurs !

Ce que vous évoquiez sur “Être l’intermédiaire entre des prestataires et les clients”, ça fait pas mal écho à la notion que l’expert-comptable est un peu comme un médecin de famille.

C’est complètement ça !

On dit souvent que “Le chef d’entreprise répond à 3 personnes au téléphone : son banquier, son expert-comptable et sa maîtresse.”

Et comme on a la chance de faire partie des 3 il faut exploiter cela. Pour que la démarche fonctionne, il faut embarquer tout le monde, en commençant par le haut.

Quand le message vient de l’expert-comptable, il est un peu plus écouté, il a plus de poids que s’il vient de n’importe qui d’autre, surtout dans les petites structures qui n’ont pas de responsable IT. Les experts- comptables ont un vrai rôle à jouer à ce niveau.

Par ailleurs, face à notre obligation de conseil, il me semble impossible d’être complètement silencieux sur ces aspects vis-à-vis de nos clients.

Vous voulez dire qu’ils n'ont pas forcément tout le temps conscience de ces enjeux justement ?

Le problème de la cyber c’est que c’est dans la to do list du chef d’entreprise, mais rarement tout en haut. Jusqu’au jour où l'accident arrive.

Quand je réalise un prévisionnel, je mets une ligne “cyber” avec un budget dédié mais la réalité économique l’emporte bien souvent.

Finalement, la cyber est encore trop vu comme de l’assurance : cela ne génère pas de CA, de nouvelles opportunités, clients, c’est de l’argent perdu jusqu'à ce qu’un incident arrive.

Pensez-vous que le niveau d’exigence de vos clients augmente sur vos pratiques cyber ?

Si on parle des mots de passe par exemple, rien que le fait d’évoquer le sujet et de mettre en place un gestionnaire c’est un petit rien qui s’apparente à une révolution !

D’autant plus que cela amène des réflexions et des changements de pratiques sur :

- La manière de partager des mots de passe

- Savoir qui a accès à quoi

- Le fait de couper les accès lors du départ d’un collaborateur.

Je pense que les gens ont conscience du risque mais cela leur semble vaste, obscur et compliqué à mettre en place. Ils ne savent pas par où commencer.

Les gros cabinets communiquent sur leurs cyberattaques. Qu’en est-il des plus petits cabinets ?

En fait, avant, les experts-comptables et toutes les TPE et PME d’ailleurs, étaient persuadés que les hackers n’étaient pas intéressés par leurs données. Cela était en partie dû au fait qu’on ne communique que sur les grosses entités qui se font attaquer. Mais ce que les gens oublient c’est qu’il n’y a pas que des attaques ciblées.

En effet, il y a aussi des attaques de masse, et là, le cabinet comptable est une cible comme une autre.

Je pense que les gens commencent à comprendre qu’ils sont aussi une cible puisque justement c’est facile de venir se servir chez eux. Donc évidemment il y a plein de petits cabinets à qui cela arrive et c’est vite la catastrophe.

Dans un atelier que j’ai animé au congrès des experts-comptables, je posais justement la question suivante : “Si demain vous êtes loin du bureau et qu’un collaborateur vous appelle pour vous dire que tout est bloqué, qu’il y a une tête-de-mort sur les écrans. Vous faites quoi ?”

Les 3/4 de l’assemblée ne savaient pas du tout quoi faire.

Personnellement je leur partage ces deux réflexes en cas d’attaque :

- Première étape c’est de couper l’accès au réseau, wifi ou filaire, c’est-à-dire tout ce qui permet d’être connecté à Internet

- Ensuite, je les invite à aller sur cybermalveillance.gouv.fr pour décrire l’attaque et se faire rediriger vers les bons prestataires.

Rien que ça, ce sont déjà des réflexes clé.

Il y a une forte saisonnalité dans votre activité. Cela vous rend-il plus exposé aux risques cyber lors des périodes de clôture par exemple ?

Tout à fait. Les dates butoirs de déclaration d’impôts sont souvent entre le 3 et le 15 mai. Hacker un cabinet d’expertise le 3 mai, ça a tout de suite un impact énorme. Ce sont clairement des moment bénis pour les hackers et ils le savent.

D’autant plus que les données que possèdent les experts-comptables valent de l’or ! (RIB clients, données personnelles, copie de leurs pièces d’identité, carte vitale, données financières des entreprises...).

L’autre risque dont on parle moins ce sont les attaques par rebond. À l’image d’un collaborateur en entreprise, les cabinets d’expertise comptable sont une porte d’entrée vers tous les clients avec lesquels ils travaillent et c’est pour ça qu’il est essentiel de bien se protéger, pour eux et pour nous.

Il y a donc encore beaucoup de travail mais je pense que la profession est clairement sur la bonne voie !

Livre blanc

Les cabinets d’expertise comptable face aux enjeux Cyber

Saisir le risque, se protéger et sensibiliser ses collaborateurs, avec les retours de 3 cabinets.

Télécharger

Retour d'expérience

Circonscrire une cyberattaque en moins de 24h

Malik Himiche, RSSI du SIIM 94 vous raconte

Télécharger

LA CYBER MISSIVE

Tout savoir sur l'actualité cyber en France

1 fois par mois dans votre boîte mail 📩

Sensibiliser ses pairs à l’importance de la cybersécurité

Protéger les données de ses clients

Les cabinets d’expertise comptable face aux enjeux Cyber

Circonscrire une cyberattaque en moins de 24h

Tout savoir sur l'actualité cyber en France

Les derniers articles

Les cyberattaques contre le secteur public français en 2023

Entreprise : 7 mesures pour se conformer à la directive NIS2

Le connecteur SSH : nouvelle fonctionnalité LockPass à venir