Bonnes pratiques cybersécurité entre la chaise et le clavier

Les risques cyber font partie du quotidien des entreprises comme des cabinets d’expertise comptable. La multiplication des attaques et des formes possibles exige de s’en préoccuper d’un point de vue technique. Mais, vos collaborateurs, ceux qui sont justement assis devant le clavier informatique, jouent un rôle essentiel dans cette lutte contre les hackers et les cybermenaces.

Sans leur collaboration active et leur vigilance en mode réflexe, tout votre plan de prévention risque de s’écrouler. Nous avons réuni ici les meilleures pratiques de cybersécurité sur le plan des RH, comme le préconisent de nombreux organismes publics ou des spécialistes cyber privés.

Bonnes pratiques en cybersécurité : une nécessité face aux cybermenaces en cabinet comptable

Vous pensez qu’un système d’authentification forte comme celui que pratiquent les banques suffit à vous protéger dans le cabinet ? Les hackers de plus en plus inventifs ont démultiplié les types de cyberattaque en cabinet comptable. Un plan global de sécurisation de votre structure s'impose, tout comme dans les entreprises dans lesquelles vous intervenez.

Une cybercriminalité multiforme qui s’intéresse à la data des experts-comptables

La cybercriminalité provoque des ravages partout dans le monde. Même les petits cabinets d’expertise comptable peuvent faire l’objet de tentatives d’intrusion. Ce qui intéresse les pirates informatiques, ce sont les données que vous gérez, et en particulier celles des entreprises clientes.

Espions d’affaires, cybercriminels opportunistes, ransomwares, attaque par rebond, etc., les techniques se multiplient. Quant à vos collaborateurs, ce sont tout simplement des humains… Ceci fait d’eux des cibles de choix bien fragiles. Par exemple, ils peuvent subir de la manipulation humaine appelée aussi social engineering.

Deux axes pour déployer de bonnes pratiques dans la lutte contre les risques cyber

Un plan de maîtrise du risque numérique vise à sécuriser votre cabinet. Il aide à structurer la démarche et à déployer des actions concrètes de sécurisation des processus et des accès. Il comporte deux axes principaux :

• Les mesures humaines, soit de bonnes pratiques de cybersécurité, à inculquer dans les habitudes de travail.
• Les mesures techniques pour protéger vos systèmes informatiques, sécuriser les accès et les données.

Cet article se consacre exclusivement au premier volet de ce plan. Pour le second, consultez la page du blog qui détaille les solutions techniques pour éviter le piratage chez l’expert-comptable.

Pourquoi la protection contre les cyberattaques commence-t-elle entre la chaise et le clavier ?

Cette expression vieille comme le monde de l’informatique reste d’actualité. Elle serait attribuée à Klaus Klages : « la plupart des problèmes informatiques se trouvent entre le clavier et la chaise ».

Le facteur humain, la faille à réduire, quelles que soient les mesures de sécurisation technique

Ainsi, c’est souvent l’utilisateur qui constitue l’origine d’un problème informatique. «PEBCAK» est un acronyme humoristique bien connu des informaticiens. Il correspond à «Problem Exists Between Chair and Keyboard», ce qui constitue une traduction anglaise des propos de Klaus Klages.

Eh bien, pour la cybercriminalité dans les entreprises, c’est exactement pareil. Vos collaborateurs restent faillibles, car, comme nous le savons tous, « l’erreur est humaine ».

La formation régulière et la communication permanente, des clés de succès face aux attaques informatiques

Votre plan de lutte contre les risques cyber inclut obligatoirement des mesures humaines, à commencer par de la communication permanente. Les bonnes pratiques en matière de cybersécurité demandent à être répétées, rediffusées, rabâchées, etc., jusqu’à devenir des réflexes quotidiens. 

En outre, les types de menaces informatiques ne cessent d’évoluer. Donc, la prévention exige de rester en veille permanente sur le plan des attaques potentielles et de la diffusion des modes de protection aux salariés. Consultez par exemple l’information en ligne publiée régulièrement par la CNIL (au sujet du RGPD notamment) ou par les sites officiels du gouvernement en matière de cybersécurité ou cybermalveillance.

Maintenez la vigilance des équipes par de la formation périodique sur ces points dans votre entreprise. C’est d’autant plus important qu’ils se situent en première ligne pour réaliser aussi l’information des clients, sur la propre sécurité informatique de leurs données.

6 bonnes pratiques humaines à mettre en œuvre dans votre cabinet

Voici des idées simples et très utiles pour renforcer la sécurité informatique et cyber dans vos cabinets, sans mettre en place d’outils ou de logiciels. Ce sont des informations à diffuser aux collaborateurs et de l’éducation aux bonnes pratiques. La lutte contre les cyberattaques commence par les ressources humaines, souvent le maillon faible.

#1 - Éviter de laisser ses équipements informatiques accessibles et sans surveillance, notamment chez les clients

Les systèmes d'authentification sur des outils informatiques servent tant en entreprise qu’en cabinet. Les bonnes pratiques de cybersécurité s’appliquent également quand vos collaborateurs se trouvent physiquement chez les clients.

Verrouiller systématiquement la session en cas d’absence, même pour quelques minutes, doit devenir un réflexe. Tout comme, dans un endroit public, un train, un avion, un bus, veillez à travailler en toute sécurité et confidentialité. Utilisez notamment un filtre anti-espion, appelé aussi filtre anti-piratage visuel.

Enfin, ne quittez pas les locaux de votre client pour le déjeuner en laissant les ordinateurs portables accessibles. Mettez-les en lieu sûr, ou fermez la porte de la salle de réunion à clé. D’ailleurs, cela vaut pour les notes manuscrites et les documents confidentiels utilisés dans le cadre de la mission.

#2 - Adopter une attitude sécurisée pour la gestion des mails entrants

Le vol de données en entreprise et en cabinet commence parfois par la réception d’un message dans sa boîte mail. C’est justement là que se caractérise l’erreur fréquente de celui qui se trouve entre la chaise et le clavier. 

Ce n’est pas faute de le dire encore et encore, mais de nombreuses cyberattaques de grande ampleur ont débuté de cette manière. Ces informations et alertes circulent régulièrement dans les entreprises. Pourtant, le collaborateur qui clique sur un lien ou une pièce jointe, sans procéder aux contrôles minimaux, cela arrive tous les jours !

Dressez une liste de consignes que chacun peut afficher sous forme de post-it sur le coin de son écran :

• Vérifier l’adresse mail précise de l’émetteur du message, et pas seulement son apparence, surtout avant d’ouvrir une pièce jointe.
• En cas de doute pour un lien cliquable, passez la souris dessus pour voir l’adresse exacte du lien et l’analyser ;
• Si une de vos connaissances vous écrit dans un format inhabituel, par exemple, en vous vouvoyant alors que vous vous tutoyez, restez méfiant. Ceci vaut aussi pour un contact téléphonique, avec le système de la fraude au président.

#3 - Prendre garde aux réseaux WIFI publics ou inconnus, notamment lors de déplacements ou vacances

L’enjeu d’une cybersécurité de qualité en cabinet concerne aussi tous les endroits où le collaborateur est confronté à des accès internet publics ou inconnus. Travailler sans le Web aujourd’hui devient compliqué, voire impossible. C’est le cas des experts-comptables, dans le cabinet, chez les clients, ou n’importe où, avec les logiciels accessibles par un simple lien internet.

Certains réseaux sont à éviter pour travailler sur la comptabilité d’un client. Ce sont les réseaux WIFI publics ou inconnus. Au pire, lors d’un déplacement professionnel, utilisez votre connexion privée accessible avec l’abonnement du smartphone. Pensez au partage de connexion entre téléphone et PC de façon sécurisée avec un mot de passe personnel.

Mieux vaut aussi utiliser un réseau privé virtuel (VPN) que de passer par le WIFI public. C’est encore plus important pour des opérations à risque : paiements par carte bancaire, déclarations de TVA ou d’impôt, analyses de données confidentielles, etc.

#4 - Restreindre les accès informatiques aux données et fonctionnalités strictement nécessaires et s’y tenir

Les consignes gouvernementales en matière de cybersécurité évoquent le fait « d’accorder le juste niveau de privilèges ». C’est en effet important de cloisonner les accès individuels pour chacun de vos collaborateurs. Les mots de passe ne se partagent pas et ne s’écrivent pas sur un post-it, même s’il faut le marteler souvent. Cette éducation des salariés commence dès l’entrée dans le cabinet.

En outre, chaque poste doit faire l’objet d’une stricte définition des besoins et des droits associés, ainsi que d’une gestion en continu. Les processus d’onboarding à l’embauche et d’outboarding au départ constituent des points de vigilance essentiels.

La sécurité des accès informatiques concerne donc la gestion des ressources humaines. Mettez en place aussi :

• un contrôle périodique des pratiques ;
• une analyse de l’évolution des tâches ;
• l’identification des nouveaux besoins informatiques.

#5 - Se comporter sur le Web dans l’entreprise comme dans sa vie privée

Vos collaborateurs savent les risques que peut leur faire courir le Web dans leur vie privée. Leurs bonnes pratiques personnelles qu’ils utilisent, à la maison ou sur leur smartphone, doivent aussi s’appliquer au travail.

Par exemple, incluez dans votre check-list de consignes en faveur de la cybersécurité les aspects suivants :

• complexifier ses mots de passe autant que possible (avec une longueur de 12 signes au minimum, des minuscules, majuscules, chiffres et caractères spéciaux) ;
• éviter de diffuser des informations sensibles ou personnelles sur des sites web insuffisamment sécurisés ou à des personnes inconnues ;
• vérifier les sites sur lesquels effectuer des achats et leurs modalités de sécurisation des paiements.

#6 - Séparer strictement l’usage informatique professionnel et l’usage privé

Mieux vaut éviter d’utiliser des ordinateurs d’entreprise pour un usage privé. Ainsi, les collaborateurs ne mettent pas le cabinet en situation de danger cyber, du fait d’un piratage de données personnelles, par exemple.

À ce titre, le site web cybermalveillance.gouv propose notamment des astuces pour séparer les usages pro-perso. En voici quelques-unes, en résumé :

• mots de passe différents pour les services professionnels et personnels ;
• cloisonnement strict de la messagerie pro et perso ;
• respecter une utilisation responsable d’internet dans le cadre du travail ;
• empêcher les téléchargements d'applications ou de logiciels par les collaborateurs ; 
• séparer les outils de stockage cloud pour les besoins privés et pour l’activité professionnelle.

Obtenir l’adhésion des collaborateurs sur l’application de mesures de cybersécurité au sein du cabinet

L’aspect humain de la prévention contre les risques cyber nous semble essentiel. Les machines, bien paramétrées, n’effectuent pas d’erreurs. Les relations entre les hommes présentent par définition une fragilité, une faille dans laquelle s’engouffrent les pirates informatiques.

Communiquer et fédérer autour de la politique cyber du cabinet

Pour réussir votre plan de lutte cyber, vous devez impérativement obtenir l’adhésion de tous. Pas un collaborateur ne doit manquer à cet appel. La communication, la formation et l’éducation aux bonnes pratiques font partie du projet de sécurisation du cabinet.

Expliquez notamment :

• le contexte mondial des risques cyber et les impacts potentiels à l'échelle du cabinet et donc de ses clients ;
• les enjeux d’une sécurisation informatique optimale pour tous, tant lors du déploiement qu’en phase de surveillance et de maintien ;
• le rôle fondamental de chaque collaborateur dans cette lutte contre les attaques, par son attitude vigilante, ses alertes et le respect des consignes ;
• les moyens techniques déployés par le cabinet pour éviter la cyberattaque ;
• la formation prévue pour chaque collaborateur aux outils et bonnes pratiques.

Mesurer l’engagement des collaborateurs et recueillir les idées et avis

La cybersécurité c’est aujourd’hui, demain et tous les jours. La vigilance ne peut pas se permettre de faiblir. Aussi, en tant qu’expert-comptable, il vous appartient de surveiller l’engagement de vos ressources humaines dans cette lutte. Par exemple, réalisez périodiquement des questionnaires autour de la cybersécurité. Ils peuvent vous aider à détecter des signaux faibles, comme le fait de baisser la garde ou de se démotiver.

Surveiller, auditer et améliorer en continu la sécurité informatique face à une cybercriminalité inventive

Dans la même lignée, pour maintenir la pression sur les enjeux cyber, rien de mieux que de contrôler régulièrement vos processus en la matière. Un audit périodique sur le respect des bonnes pratiques aide à mesurer la conformité aux procédures fixées. C’est aussi l’occasion de renforcer ou d’actualiser vos processus, face à un domaine de risques particulièrement inventif et évolutif. Tout comme le système de pare-feu de votre cabinet, vos procédures cyber doivent s’adapter en permanence. 

Vous n’avez pas encore démarré une réflexion globale pour mettre en place un tel plan de couverture des risques informatiques ? Toutes ces bonnes pratiques de cybersécurité, côté ressources humaines, doivent vous y aider. Le second volet concerne les mesures techniques à déployer, notamment en matière de serveur et d’hébergement. AGIRIS vous propose sa solution de cloud privé, SaaS 360, en complément d’ISACOMPTA et ISAGI notamment.