Guide de cybersécurité pour les experts-comptables
5 conseils pour maximiser la sécurité et minimiser les risques
L'expression « Mieux vaut prévenir que guérir » est parfaitement adapté à la sécurité dans le domaine comptable. Il vous suffit de demander aux professionnels de la sécurité de Deloitte Touche Tohmatsu Ltd., qui se remettent encore d'une attaque survenue fin septembre dont l'envergure n'est toujours pas connue. Les hackers ayant pris pour cible Deloitte ont pu accéder au cloud Microsoft Entra ID (Azure) de la firme car ce compte était protégé uniquement par un mot de passe unique et trop faible, sans système d'authentification à deux facteurs en place.
Quelques mesures simples que les comptables peuvent prendre pour maximiser leur cybersécurité
Les systèmes informatiques comptables regorgent d'informations convoitées par les pirates informatiques. Heureusement, la grande majorité des attaques peuvent être évitées avec la mise en place de quelques mesures simples. Suivez ce guide pour découvrir comment un gestionnaire de mots de passe et un coffre-fort numérique sécurisé peuvent éviter des violations de données similaires. Vos clients vous en seront reconnaissants.
1 Mettre en place des politiques de mots de passe strictes
Bien que la plupart des logiciels comptables sont conçus pour avoir une sécurité suffisante, contrôler l'accès sécurisé à ces systèmes est la responsabilité des utilisateurs et devient ainsi le maillon le plus faible de la sécurité globale d'un cabinet. Il est capital que tout système contenant des données confidentielles soit protégé par un mot de passe complexe. Un gestionnaire de mots de passe, tel que le gestionnaire de mots de passe et coffre-fort numérique de Keeper, leader du marché, peut automatiquement créer des mots de passe aléatoires de haute sécurité, pratiquement impossibles à pirater.
Un gestionnaire de mots de passe permet aussi aux administrateurs d'attribuer un mot de passe complexe à un collaborateur sans que celui-ci ne puisse voir les caractères qui le composent. Le collaborateur peut se connecter à des services web sans jamais être tenté d'écrire le mot de passe quelque part ou de le partager avec d'autres collaborateurs. De plus, si un collaborateur quitte l'entreprise, il vous suffit de supprimer ou modifier l'archive du mot de passe.
2 Améliorer la sécurité de vos documents
Comme dans la plupart des secteurs, les cabinets comptables utilisent désormais des documents dématérialisés pour plus d'efficacité et de praticité. La différence est que les comptables travaillent avec des données client hautement sensibles. Il arrive souvent que des documents contenant des données confidentielles soient téléchargés et stockés localement en tant que simples fichiers texte non protégés. Ils sont aussi partagés en interne et avec des clients par e-mail, un moyen de partage très peu sécurisé. Toutes ces habitudes combinées exposent les données sensibles à un très grand risque de piratage.
Partager des fichiers à l'intérieur d'un coffre-fort chiffré de Keeper est une méthode de partage bien plus sécurisée. Pour partager des données en interne ou avec un client externe, placez le fichier dans le coffre-fort numérique sécurisé et vous pouvez partager l'archive chiffrée avec n'importe quel utilisateur de Keeper utilisant un compte gratuit.
3 Étendre les mesures de sécurité aux appareils appartenant à vos collaborateurs
Avec l'émergence des politiques d'utilisation des équipements personnels en milieu professionnel et l'infiltration des smartphones et tablettes dans les entreprises, les cabinets comptables doivent s'assurer qu'un téléphone mobile personnel utilisé par un collaborateur ne compromet pas leur cybersécurité. Les appareils personnels de vos collaborateurs sont très pratiques, mais sans certaines précautions de sécurité, ils peuvent devenir une dangereuse ouverture sur les données de vos clients. Ce problème ne cesse de s'amplifier, comme l'illustre le rapport sur l'état de la cybersécurité des PME en 2018 du Ponemon Institute : 50 % des données d'une petite entreprise sont accessibles sur un smartphone.
Un cabinet comptable ne devrait jamais héberger ou accéder à des données sensibles sur un appareil mobile sans protection par authentification à deux facteurs. Pour des raisons pratiques, beaucoup de gens utilisent un simple code PIN, un schéma ou une protection biométrique. Des recherches ont démontré que les codes PIN et les schémas peuvent être devinés avec une simple observation humaine ou vidéo et que même les systèmes de reconnaissance faciale ou d'empreinte digitale ne garantissent pas une protection infaillible. Au minimum, une combinaison des deux est nécessaire pour assurer la protection suffisante d'un appareil mobile. Keeper DNA® a été développé en tant qu'authentification à deux facteurs améliorée pour apporter le niveau de sécurité nécessaire aux appareils mobiles et est intégré à toutes les applications mobiles Keeper.
Informations supplémentaires sur l'utilisation du gestionnaire de mots de passe et coffre-fort numérique sécurisé Keeper
- Démarrez un essai gratuit du gestionnaire de mots de passe et coffre-fort numérique sécurisé Keeper professionnel
- Le futur de la technologie comptable, des solutions de cybersécurité innovantes : SlideShare
- Rapport de recherche exclusif : l'état de la cybersécurité des PME en 2018
- Découvrez comment Keeper a déjà aidé des cabinets comptables : étude de cas
4 Améliorer la sécurité de vos documents
Les e-mails représentent un point faible majeur. Comme nous l'avons mentionné précédemment, les comptables ne devraient jamais envoyer à des clients des documents par e-mail, mais devraient utiliser pour cela un coffre-fort sécurisé et chiffré. Il est également capital de s'assurer que vos collaborateurs se méfient des tentatives d'hameçonnage, et en particulier du harponnage, qui ciblent des individus spécifiques. Les comptables sont des cibles de choix car les données avec lesquelles ils travaillent sont d'une grande valeur. Certains pirates avisés sont si doués qu'il peut être impossible de détecter leurs e-mails frauduleux. Apprenez à vos collègues à examiner avec soin les adresses e-mail des expéditeurs et à ne jamais cliquer sur un lien sans être certain de sa destination.
En stockant tous les identifiants de vos collaborateurs dans un gestionnaire de mots de passe, ceux-ci seront moins enclins à se laisser prendre par une tentative d'hameçonnage. Ils auront l'habitude de se connecter uniquement via un URL et des mots de passe masqués. S'ils ne connaissent pas les caractères composant un mot de passe, ils ne peuvent pas les saisir dans un e-mail ou site d'hameçonnage.
5 Faire du télétravail, intelligemment
Le télétravail a récemment énormément progressé, dans tous les secteurs. Qu'il travaille de chez lui, soit en déplacement professionnel ou consulte ses e-mails en voyage, un collaborateur doit pouvoir travailler où qu'il se trouve. Bien que la possibilité de pouvoir travailler n'importe où offre une grande flexibilité, elle augmente également les risques de violation de données.
Les comptables ne devraient jamais utiliser de réseaux Wi-Fi publics pour consulter ou échanger des données sensibles. Les hackers peuvent facilement exploiter les flux de données publics et intercepter des données échangées en texte brut. Si vous comptez utiliser un ordinateur public, investissez dans un logiciel VPN pour un chiffrement de bout en bout ou assurez-vous que toutes les données échangées restent dans le coffre-fort chiffré.
Quelles sont les données utilisées par les comptables professionnels visées par les hackers ?
Les comptables ont une place à part dans la communauté des hackers, car ils travaillent avec des données rapportant très gros sur le dark web des données volées. Ils sont donc des cibles privilégiées par les cybercriminels en tout genre. Ils sont aussi particulièrement exposés aux dommages causés par une attaque. Leurs clients leur accordent une grande confiance en leur communiquant des données extrêmement confidentielles. La violation de telles données peut être terriblement néfaste pour la réputation d'un cabinet comptable.
Les systèmes informatiques des comptables regorgent de données convoitées par les hackers, telles que :
Identifiants personnels des clients
Les cybercriminels peuvent utiliser ces informations pour profiter d'une multitude d'opportunités de fraude et d'usurpation d'identité. Ils peuvent par exemple faire des demandes de cartes de crédit sous de fausses identités et compromettre des comptes bancaires et d'assurance médicale au moyen de manœuvres d'ingénierie sociale. Une fois qu'un hacker détient un identifiant personnel, il se rapproche dangereusement de son objectif : perturber le quotidien de vos clients.
Adresse, numéro de téléphone et date de naissance
Ce sont les champs standards d'un formulaire 1040 et le reste des informations dont a besoin un hacker pour créer des comptes de crédit fictifs et pirater des comptes existants.
Nom du conjoint et des enfants, employeur et revenu annuel
Également utiles en cas d'usurpation d'identité, le nom du conjoint et l'adresse postale peuvent être utilisés pour surmonter des obstacles de sécurité, tels que des questions d'identification. Avec les autres informations confidentielles mentionnées ci-dessus, les hackers peuvent potentiellement ne pas éveiller la méfiance des conseillers client et accéder à des comptes bancaires.
Dossiers médicaux
Les formulaires 1099-HC et les factures médicales recèlent d'informations que les hackers peuvent utiliser à des fins de fraude à l'assurance ou à la prescription. De fait, les dossiers médicaux atteignent actuellement les prix les plus élevés sur le marché des échanges de données volées.
Informations sur l'employeur
Les criminels ayant accès à des numéros d'identification d'employés, aux informations sur les salaires et aux contacts du service comptabilité d'une entreprise peuvent déposer des notes de frais, factures et demandes de remboursement frauduleuses.
Documents bancaires et fiscaux
Les documents fiscaux de fin d'année que les clients fournissent à leurs comptables incluent généralement des numéros de compte. Les particuliers partagent également régulièrement des reçus contenant des coordonnées de carte bancaire. Toutes ces informations peuvent être utilisées à des fins de fraude par chèque et carte de crédit, ou pour accéder à des comptes via des manœuvres d'ingénierie sociale.
Adresses e-mail
Avec un compte bancaire et une adresse e-mail, un hacker peut détourner des comptes bancaires et de bourse en ligne par le biais d'une simple procédure de « mot de passe oublié ». Une adresse électronique peut également être usurpée, ce qui permet aux cybercriminels d'envoyer des messages d'apparence réaliste et semblant provenir d'un expéditeur légitime.