Cybersécurité d'un cabinet comptable : les principaux risques à couvrir

Les cabinets d'expertise comptable sont des cibles de choix pour les cybercriminels. Ils concentrent les données financières, fiscales et sociales de dizaines voire de centaines de clients : bulletins de paie, déclarations fiscales, coordonnées bancaires (RIB), bilans, contrats. Une intrusion dans le système d'information d'un cabinet donne accès à un trésor de données exploitables pour la fraude, l'usurpation d'identité ou le chantage. Pourtant, de nombreux cabinets, notamment les structures de moins de 20 collaborateurs, n'ont pas de politique de cybersécurité formalisée.

Les risques cyber spécifiques aux cabinets comptables

L'usurpation de RIB fournisseur

C'est le risque numéro un. L'attaquant intercepte ou falsifie un e-mail contenant un RIB et le remplace par le sien. Le cabinet, en traitant un virement pour le compte d'un client, envoie l'argent au cybercriminel. Les montants détournés peuvent atteindre plusieurs dizaines de milliers d'euros. La responsabilité du cabinet peut être engagée si les procédures de vérification sont insuffisantes. Parade : vérifier tout changement de RIB par téléphone sur un numéro connu, jamais sur le numéro indiqué dans l'e-mail suspect.

Le phishing ciblé (spear phishing)

Les experts-comptables reçoivent quotidiennement des e-mails de la DGFiP, de l'URSSAF, de l'INPI, des banques et des fournisseurs de logiciels comptables. Les cybercriminels usurpent ces identités pour envoyer des e-mails contenant des liens malveillants ou des pièces jointes piégées. Un faux e-mail de « mise à jour de votre espace professionnel impots.gouv.fr » est particulièrement crédible dans un cabinet comptable. Les collaborateurs sont exposés à un volume élevé d'e-mails, ce qui augmente le risque de clic inattentif.

La fuite de données clients

Un cabinet comptable traite des données personnelles au sens du RGPD : noms, adresses, numéros de sécurité sociale, salaires, coordonnées bancaires. Une fuite de données expose le cabinet à des sanctions CNIL (jusqu'à 4 % du CA) et à une perte de confiance irréparable auprès de sa clientèle. Les fuites proviennent autant d'attaques externes que d'erreurs internes : e-mail envoyé au mauvais client, fichier partagé sans restriction, ancien collaborateur conservant ses accès.

Le ransomware en période de clôture

Les cybercriminels savent que les cabinets comptables ont des périodes critiques : clôtures annuelles, déclarations de TVA, établissement des bulletins de paie. Un ransomware qui frappe en janvier (période de clôture) ou en début de mois (période de paie) met le cabinet sous une pression maximale. L'incapacité de produire les bulletins de paie ou les déclarations fiscales dans les délais légaux entraîne des pénalités pour les clients. Cette pression pousse certains cabinets à payer la rançon, ce qui encourage les attaquants à les cibler davantage.

Les obligations réglementaires du cabinet

Le cabinet comptable est responsable de traitement au sens du RGPD pour les données de ses clients. Il doit tenir un registre des traitements, désigner un délai de conservation pour chaque type de données, sécuriser les transferts de données avec les clients (coffre-fort numérique, plateforme sécurisée), notifier la CNIL dans les 72 heures en cas de violation de données, et informer les clients concernés si le risque est élevé. L'Ordre des experts-comptables impose également des obligations déontologiques de confidentialité et de secret professionnel qui renforcent ces exigences. Depuis 2025, la norme anti-blanchiment impose aussi des procédures renforcées de vérification d'identité qui nécessitent un environnement numérique sécurisé.

Les 8 mesures prioritaires pour un cabinet comptable

1. MFA obligatoire sur tous les outils

Messagerie, logiciel de production comptable (Cegid, ACD, Sage), coffre-fort numérique, portail client, accès aux plateformes fiscales : activez le MFA partout. C'est la mesure la plus efficace pour empêcher l'accès non autorisé aux données sensibles.

2. Utiliser un coffre-fort numérique pour les échanges clients

Arrêtez d'envoyer des bulletins de paie, des RIB et des déclarations fiscales par e-mail non chiffré. Utilisez un coffre-fort numérique ou une plateforme d'échange sécurisée. De nombreux logiciels de production comptable intègrent cette fonctionnalité (portail client Cegid, MyCompanyFiles, Digiposte). Le coffre-fort numérique sécurise l'échange et trace les accès.

3. Procédure de vérification des RIB

Mettez en place une procédure formalisée : tout nouveau RIB ou tout changement de RIB doit être vérifié par un appel téléphonique au fournisseur ou au client sur un numéro connu (répertoire existant, pas le numéro figurant dans l'e-mail). Ajoutez un délai de 24 à 48 heures avant le premier virement vers un nouveau RIB. Formez tous les collaborateurs à cette procédure et affichez-la dans l'espace de travail.

4. Sauvegardes renforcées avec test de restauration

La perte des données de production comptable peut être catastrophique. Appliquez la règle 3-2-1 avec une attention particulière à l'isolation de la sauvegarde hors ligne (disque déconnecté ou sauvegarde immuable dans le cloud). Testez la restauration chaque mois en période de clôture. Votre éditeur de logiciel comptable propose souvent un module de sauvegarde intégré : activez-le en complément de votre sauvegarde générale.

5. Chiffrement des données sensibles

Chiffrez les disques durs de tous les postes (BitLocker, FileVault) et les clés USB utilisées pour transporter des données. Utilisez le chiffrement des e-mails pour les communications sensibles (S/MIME ou la fonction de chiffrement de Microsoft 365). Assurez-vous que les données stockées dans le cloud sont chiffrées au repos et en transit.

6. Gestion rigoureuse des accès et des départs

Chaque collaborateur ne doit avoir accès qu'aux dossiers clients dont il a la charge. Utilisez les contrôles d'accès de votre logiciel de production pour limiter les droits. Lors du départ d'un collaborateur (stagiaire, CDD, CDI), désactivez ses accès le jour même : messagerie, logiciel comptable, portail client, VPN. Le turnover élevé des stagiaires en cabinet rend ce point particulièrement critique.

7. Sensibilisation spécifique au métier

Formez vos collaborateurs aux menaces spécifiques au métier : faux e-mails DGFiP, usurpation de RIB, fausse demande de virement d'un client. Réalisez des simulations de phishing avec des scénarios adaptés au contexte comptable. Partagez régulièrement les alertes de la profession (Ordre des experts-comptables, Conseil supérieur) sur les tentatives de fraude en cours.

8. Plan de continuité d'activité

Que faites-vous si vos systèmes sont inaccessibles pendant 3 jours en période de clôture ? Documentez un plan B : un poste de travail de secours, l'accès aux sauvegardes, les procédures dégradées pour produire les bulletins de paie et les déclarations urgentes. Identifiez un prestataire informatique capable d'intervenir en urgence. Souscrivez une assurance cyber qui couvre les pertes d'exploitation.

Budget cybersécurité pour un cabinet de 10 collaborateurs

Pour un cabinet de 10 collaborateurs, le budget annuel de cybersécurité se situe entre 3 000 et 8 000 €. Gestionnaire de mots de passe : 600 à 960 €/an (5 à 8 €/mois par utilisateur). Sauvegarde cloud professionnelle : 600 à 1 200 €/an. Outil de sensibilisation avec simulations de phishing : 240 à 600 €/an. Antivirus professionnel ou EDR : 600 à 1 200 €/an. Audit de sécurité annuel : 1 500 à 3 000 €. Les mesures gratuites (MFA, mises à jour, chiffrement, SPF/DKIM/DMARC, procédures de vérification de RIB) ne nécessitent aucun investissement financier, seulement du temps. Rapporté au risque (un seul virement détourné peut dépasser 20 000 €), cet investissement est largement justifié.