Vous pouvez vous protéger contre l'usurpation d'identité en protégeant votre numéro de Sécurité sociale et d'autres documents sensibles, en examinant régulièrement vos rapports de solvabilité, en
Les professionnels de la finance et de la comptabilité manipulent la plupart des données les plus sensibles au sein d’une organisation, notamment les données commerciales et les données du personnel.
C’est l’une des principales raisons pour lesquelles les cybermenaces présentent un risque important pour les équipes financières et comptables, surtout pour les petits cabinets comptables qui sont directement responsables de leur sécurité. Dans ce blog, nous examinerons quelques-uns des cyber-risques propres aux équipes financières et comptables (F&C) et le rôle que la sécurité de l’information peut jouer pour permettre aux équipes F&C et aux organisations dans l’ensemble de rester en sécurité.
Le rôle essentiel des équipes financières et comptables
Si la localisation et le secteur d’activité d’une organisation conditionnent la manière dont fonctionne son service financier et comptable, sa mission, qui consiste à gérer les informations financières et fiscales de l’entreprise, reste inchangée. Les services F&C travaillent avec de nombreuses parties prenantes externes et internes pour s’assurer que les dossiers financiers sont exacts, conformes et à jour.
Leur travail est essentiel à une planification des activités et à une prise de décision éclairées. Entre autres responsabilités, le service F&C tire parti des informations financières dont il dispose pour collaborer avec la direction, le conseil d’administration, les investisseurs et les autorités responsables de la réglementation, afin de soutenir les activités de l’entreprise telles que le financement, la conformité et les fusions et acquisitions. Les services F&C collaborent souvent avec les équipes internes, telles que celle du marketing ou des ressources humaines (RH), établissent les budgets des équipes internes, et surveillent le retour sur investissement pour s’assurer de la bonne allocation des ressources.
Les données traitées par les équipes financières et comptables
Pour mener à bien toutes leurs activités, les services F&C s’appuient sur des informations financières sensibles. Ces données peuvent inclure l’un des éléments suivants :
- Les numéros de comptes bancaires
- Les dates de naissance des employés (DOB), les numéros de sécurité sociale (SSN), les informations fiscales et les informations sur la paie
- Les noms des mandataires sociaux
- Les dossiers financiers et fiscaux de l’entreprise
- La propriété intellectuelle
- Les plans d’affaires
- Les certificats commerciaux
- Les audits de conformité
- Les données des clients
Les identifiants de connexion sensibles pour les équipes F&C
Étant donné que toutes les données financières sensibles susmentionnées reflètent la situation passée, actuelle et future d’une organisation et que ces informations sont régulièrement stockées dans un logiciel de comptabilité, ce dernier devient une cible de choix pour les cybercriminels. Ces informations sensibles peuvent provenir de diverses sources, notamment de clients, d’employés et de tiers, ce qui fait de l’accès sécurisé et authentifié un élément essentiel de la sécurité en entreprise.
Toutefois, en l’absence d’un moyen de stocker en toute sécurité et d’utiliser les identifiants de connexion, les équipes financières et comptables laissent leurs logiciels et leurs données sans protection. Le stockage des mots de passe dans des emplacements non sécurisés, tels que le gestionnaire de mots de passe intégré d’un navigateur, sur une feuille de calcul ou sur papier, expose les données financières et fiscales sensibles aux cyberattaques de type « bourrage d’identifiants » et « prise de contrôle de compte ». Et lorsque les membres d’une équipe doivent partager leurs identifiants, des méthodes non chiffrées telles que les e-mails, les SMS ou les messageries instantanées rendent les identifiants de connexion vulnérables à des violations.
Ces dernières années, les violations de systèmes comptables populaires ont exposé des données d’entreprise et des clients sur le Dark Web. Même les organisations qui s’associent à des cabinets comptables risquent de se faire voler leurs informations.
Plus de 80 % des violations étant dues à des identifiants de connexion faibles ou volés, les équipes informatiques doivent adopter une solution de gestion des mots de passe d’entreprise pour prendre en charge leur service F&C ainsi que le reste de l’organisation.
La menace interne (ou du sous-traitant)
Les équipes F&C sont habituées aux contrôles comptables internes, qui garantissent que seul le personnel autorisé a accès aux données sensibles et que les informations financières sont valides. Comme pour les contrôles comptables internes, les équipes F&C ont besoin d’un moyen de limiter l’accès au personnel autorisé. Si aucune protection n’est mise en place, des employés mécontents peuvent obtenir ou profiter de leur accès à des systèmes critiques pour nuire à l’organisation.
L’accès non autorisé des employés du fournisseur met également en danger les données financières. Lorsque des sous-traitants ou des fournisseurs disposent d’un accès illimité à des informations critiques, la protection des identifiants de connexion devient encore plus complexe.
La prise en compte du coût total des cyberattaques
Les acteurs malveillants peuvent provoquer des pertes financières énormes à la suite d’une violation, en ouvrant des comptes bancaires et des lignes de crédit frauduleuses et en vendant des données volées sur le Dark Web.
Selon le rapport conjoint d’IBM et du Ponemon Institute intitulé « Cost of a Data Breach 2022 » (Coût d’une violation de données en 2022), les organisations peuvent s’attendre à payer en moyenne 4,35 millions de dollars à la suite d’une violation. Pour certains secteurs, comme celui des soins de santé et des services financiers, le coût d’une violation de données est encore plus élevé.
Les attaques par ransomware, qui coûtent en moyenne 4,62 millions de dollars par incident, sans compter le paiement d’une rançon, sont encore plus coûteuses que les violations de données.
En 2023, le coût moyen d’une violation de données devrait dépasser la barre des 5 millions de dollars. Ce chiffre prend en compte les coûts de plus en plus élevés des pénalités et des litiges consécutifs à une violation de la réglementation. Le RGPD, le CCPA et d’autres lois similaires sur la protection des données prévoient de lourdes amendes en cas de violation ou de divulgation accidentelle des données.
Outre les coûts commerciaux et réglementaires directs, les dommages à la réputation et la perte d’activité viennent s’ajouter aux coûts d’une cyberattaque, qu’il s’agisse d’un ransomware ou d’une violation de données. Les coûts exacts sont difficiles à évaluer, mais les résultats parlent d’eux-mêmes. Dans les six mois suivant une cyberattaque, 60 % des petites et moyennes entreprises (PME) cessent leurs activités.
La séparation des tâches s’accompagne de contrôles d’accès basés sur les rôles
Il existe des similitudes entre l’obligation fiduciaire des comptables et la responsabilité des professionnels de la cyber sécurité de protéger les informations et les systèmes critiques. Cet état d’esprit commun trouve une résonance pratique dans les services chargés de la gouvernance, du risque et de la conformité (GRC) de nombreuses organisations.
Par exemple, la séparation des tâches (SOD) répartit les responsabilités essentielles en matière de finances et de comptabilité pour éviter des divergences d’intérêt et qu’un acteur n’ait une influence excessive sur un processus comptable.
Le contrôle d’accès basé sur les rôles (RBAC) du gestionnaire de mot de passe Keeper fournit aux organisations, particulièrement aux équipes financières ou comptables, les moyens de s’assurer que l’accès des utilisateurs est compatible avec la SOD.
Lorsqu’une équipe F&C ou GRC doit empêcher certains utilisateurs d’accéder à des informations, Keeper lui offre des fonctionnalités administratives pour restreindre les autorisations d’accès. La mise en œuvre des politiques RBAC définies dans Keeper, comme l’authentification multifacteur (MFA) ou la liste des adresses IP, garantit que seuls les utilisateurs vérifiés et autorisés sont en mesure d’accéder aux informations comptables critiques.
Les administrateurs informatiques, ainsi que les administrateurs de partage délégués pour les équipes individuelles, peuvent également adapter l’application des règles de connexion en fonction des responsabilités de l’équipe et des contributeurs individuels. Le RBAC s’applique également à l’accès des utilisateurs aux fichiers ou données sensibles, garantissant que seules les personnes qui ont besoin d’accéder à l’information soient autorisées à le faire.
Comment Keeper aide les équipes financières et comptables
RBAC est une fonctionnalité du gestionnaire de mot de passe Keeper que les équipes financières et comptables trouvent précieuse.
Même si le coût des tickets d’assistance pour les mots de passe est souvent un point sensible du budget informatique, le contrôleur peut compter sur Keeper pour aider efficacement son équipe informatique et améliorer la productivité du reste de l’organisation.
Les utilisateurs n’ont qu’à se souvenir d’un mot de passe, leur mot de passe maître. Une fois que les utilisateurs sont authentifiés par les politiques d’application, comme la MFA, Keeper s’occupe du reste.
- L’extension de navigateur KeeperFill® remplit automatiquement les identifiants de connexion sur n’importe quel appareil, ce qui permet de gagner en productivité sans toutefois compromettre la sécurité.
- Le partage de coffre à coffre permet aux équipes financières et comptables d’envoyer et de recevoir en toute sécurité les identifiants de connexion pour les logiciels essentiels, notamment les systèmes de paie, les outils de facturation et les logiciels de planification des ressources de l’entreprise (ERP).
- One-Time Share est un outil particulièrement populaire qui permet aux équipes financières et comptables de partager des archives chiffrées, même si le destinataire n’a pas Keeper.
- Le stockage sécurisé des fichiers utilise des méthodes de chiffrement Zero-Knowledge qui garantissent que seul l’utilisateur peut accéder aux fichiers de stockage et les déchiffrer. Les équipes financières et comptables utilisent cette fonctionnalité pour protéger et stocker les dossiers financiers, les documents fiscaux, les plans d’affaires importants, les relevés de comptes bancaires et d’autres documents sensibles.
- Les rapports de conformité rationalisent l’établissement de rapports de conformité avec HIPAA, Sarbanes-Oxley (SOX), PCI DSS et d’autres réglementations qui exigent la surveillance du contrôle d’accès et l’audit des événements. En combinaison avec le module ARAM (Advanced Reporting and Alerts Module), les administrateurs InfoSec et le personnel GRC peuvent suivre les activités suspectes des utilisateurs.
Essayez gratuitement le gestionnaire de mot de passe Keeper
Que vous soyez un professionnel de la finance et de la comptabilité à la recherche d’une solution de gestion des mots de passe simple et sécurisée pour votre entreprise ou un administrateur informatique évaluant les gestionnaires de mot de passe pour couvrir le service F&C, Keeper a des solutions pour protéger les mots de passe, les secrets et les informations critiques de votre organisation.
Nous nous ferons un plaisir de vous mettre en relation avec l’un de nos experts en cyber sécurité. Vous pouvez également essayer Keeper gratuitement pendant 14 jours.