Cyberattaque en cabinet comptable : exemples les plus courants

La cybercriminalité explose avec le développement des technologies numériques. Les tentatives d’intrusions, de fraudes et de malversations concernent aussi les experts-comptables. C’est même pour certains hackers, des cibles très intéressantes. Et pour cause ! Les cabinets disposent de la data des entreprises, cet or noir si convoité désormais.

Nous lançons une série de trois publications sur les risques cyber dans votre profession. Ce premier volet vise à vous faire découvrir le concept de cyberattaque en cabinet comptable, sur la base d’exemples. C’est le premier pas indispensable avant d’examiner les solutions à mettre en place pour se protéger.

Cyberattaque en cabinet comptable : les enjeux en 2025

Les clients du cabinet font confiance à leur expert-comptable pour adopter des solutions informatiques qui respectent la sécurité et garantissent la continuité de l’activité. Les menaces ou attaques du système d’information (SI) des cabinets, comme dans toute entreprise, peuvent mettre l’exploitation en péril, du moins suspendre les services. Or, les enquêtes et les statistiques montrent une progression constante des pratiques malveillantes. Les enjeux commerciaux et stratégiques sont donc considérables pour la profession comptable qui se doit de protéger ses systèmes d’information.

Les risques cyber : un phénomène qui ne cesse de croître dans le monde

Le groupe mondial d’assurances anglais Hiscox a publié en octobre 2024 son rapport annuel sur la gestion des cyberrisques. Hiscox a réalisé une enquête sur la démarche de cyberrésilience, en vue de lutter contre ces pratiques malveillantes. 1 000 personnes en entreprise dans le monde, dont des dirigeants pour la moitié, ont répondu aux questions.

Voici quelques chiffres issus de cette étude. Ils résument bien les enjeux :

• 62 % des entreprises françaises ont constaté une progression des cyberattaques dans leur organisation au cours de l’année écoulée ;
• 61 % des dirigeants en France pensent qu’une cyberattaque qui vise la réputation de l’entreprise constitue un préjudice majeur ;
• 1 répondant sur 3 dans le monde estime que le niveau de compétences trop bas en cybersécurité affaiblit les mesures mises en place pour gérer les risques.
• 47 % des répondants au niveau mondial considèrent que l’entreprise éprouve des difficultés pour attirer de nouveaux clients, après les cyberattaques rencontrées au cours de l’année passée.

Comprendre les exemples de cyberattaques régulières qui visent l’expertise comptable

Même le petit cabinet indépendant n’est pas à l’abri de menaces fortes sur sa sécurité. Il détient une quantité d’informations importante et qui fait de lui une cible intéressante pour une cyberattaque.

Pour relever le défi cyber qui attend tous les cabinets, structures professionnelles particulièrement exposées, commencez par vous documenter sur la nature des risques encourus. Illustrer le processus de cyberattaque en cabinet vous aidera à bâtir ensuite des systèmes de protection plus robustes, sur le plan des techniques comme des ressources humaines.

Exemple d’une cyberattaque de grande ampleur vécue par les experts-comptables : le cas COAXIS

Voici un cas bien connu par la profession comptable : la cyberattaque qui a touché plus de 1 200 cabinets comptables en décembre 2023, avec l'hébergeur COAXIS.

Cet hébergeur n’a pas eu à subir de pertes de données clients. Mais, les cabinets ont souffert de l’indisponibilité temporaire des données et du gel de leur activité. Tous ces professionnels ont perdu provisoirement leurs accès à plusieurs logiciels de production comptable ainsi qu’à leurs emails. Pour certaines structures, les perturbations ont entraîné des difficultés à respecter les échéances sociales et fiscales pendant de nombreux mois.

Cet exemple de cyberattaque menée par le groupe LockBit, des pirates informatiques en action depuis 2019, correspond à un cas de ransomware. En français, vous rencontrez aussi les termes de rançongiciel ou de logiciel rançonneur. C’est un outil malveillant pour réaliser de l’extorsion de données, avec blocage des accès. Ce type de virus vise à toucher une rançon afin de restaurer les accès au SI.

C’est cette cyberattaque qui a incité le CNOEC à déployer des mesures plus fortes sur le plan de la cybersécurité. Ainsi, il a adhéré au GIP ACYMA (Groupement d’intérêt public pour l'Action contre la cybermalveillance).

Qui sont les cybercriminels qui attaquent les cabinets comptables ?

C’est essentiel de développer des systèmes de protection forts pour vos cabinets. La première étape du chemin à accomplir réside dans la compréhension des types de pirates informatiques.

Les espions d’affaires, des hackers qui adorent les experts-comptables… et leurs clients

 Ce type de malveillance ressemble à l’espionnage industriel via l’informatique. Ce sont des services de renseignements en action pour la guerre économique. Clairement, vu la quantité de données détenue par les cabinets d’expertise comptable, la tentation existe chez ces pirates du Web.

Ces espions d’affaires visent à récupérer la data de certains clients pour la commercialiser, ou à obtenir des moyens d’attaquer ensuite ces entreprises. Ils cherchent à accéder aux résultats financiers, aux listes de fournisseurs, de clients, aux process internes, voire à des informations stratégiques. Tout ce qui peut apporter un avantage compétitif pour une autre entreprise les intéresse. Parce que c’est monnayable !

Les États malveillants qui jouent au James Bond avec la sécurité sur le Web

Cette catégorie de cybercriminels provient des États eux-mêmes ou d’organismes qui constituent des bras armés pour les attaques informatiques qu’ils commanditent. Il peut s’agir de récupérer des informations, d’étudier de l'évasion fiscale, ou de surveiller des entreprises sensibles.

Voici un exemple tout chaud en France. Le ministère des Affaires étrangères vient de condamner officiellement les services d’espionnage d’un pays étranger (APT 28). Il se base sur un rapport de l’Anssi. Il attribue à cette organisation la responsabilité d’une vaste opération de cyberespionnage, dans le secteur public comme privé.

Comme le dit Guillaume Vincent, product Marketing Manager chez Agiris dans la vidéo consultable ci-dessous : « James Bond n’est pas loin ! »

Les cybercriminels opportunistes, des pirates informatiques qui font des affaires financières

Ces pirates voyagent dans le cyberespace, à la recherche d’affaires à réaliser, avec des gains d’argent rapides à la clé. Une attaque opportuniste ne cible pas une organisation ou une entreprise précise. Elle vise une diffusion maximale d’une menace pour le maximum de gains.

La protection des structures, entreprises et cabinets de petite taille est classiquement plus faible. Les pirates les visent par opportunité. Notamment, les collaborateurs sont particulièrement en situation fragile, du fait de leur relative naïveté en matière de cyberrisques.

Comme le dit l’adage, « le problème se trouve entre la chaise et le clavier ».

Quels sont les exemples de cyberattaques les plus fréquentes en expertise comptable et pourquoi ?

Après les auteurs des malveillances, voici les formes que peuvent prendre ces cyberattaques dans une entreprise, et aussi dans votre cabinet.

Le social engineering ou la manipulation humaine de vos collaborateurs

Cette technique consiste à lancer une attaque à travers la tromperie ou la manipulation d’un utilisateur du SI.

Le cybercriminel joue avec le stress, la gentillesse ou l’erreur de vigilance de vos collaborateurs. Voici des techniques qui peuvent survenir dans un cabinet :

• Il peut venir physiquement chez vous et déposer subrepticement une banale clé USB à l’accueil.
• Il peut envoyer des messages inquiétants d’alerte à la sécurité informatique avec un lien cliquable.
• Ce pirate informatique peut se faire passer pour une personne d’autorité, un banquier, un avocat, voire le dirigeant.

Ce dernier cas correspond à la fraude au président. Cette technique de phishing particulière porte le nom de spearfishing ou hameçonnage ciblé. Elle fonctionne souvent très bien. L’ANSSI la définit comme une méthode de piratage qui « repose généralement sur une usurpation de l’identité de l’expéditeur. Elle procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée ».

C’est d’autant plus facile de faire obtenir l’ouverture d’une pièce jointe corrompue, quand c’est soi-disant une personne proche du collaborateur, donc de confiance, qui envoie le mail.

Le ransomware, soit le blocage des données avec demande de rançon

Appelée aussi rançongiciel, cette technique d’attaque cyber correspond à ce que nous avons décrit pour les clients de COAXIS fin 2023. Les utilisateurs perdent l’accès au SI ou à une application, tant que la rançon n’est pas payée. Souvent, les pirates exigent un règlement en cryptomonnaies.

D’ailleurs, rien ne garantit d’obtenir le code ou la clé de débridage après le versement de la rançon. S’ajoutent, en outre, au risque de divulgation des informations, les soucis liés au RGPD, sans compter des dégâts pour la réputation du cabinet.

Sachez que cette technique malveillante a pris une telle ampleur, qu’elle constitue désormais une vraie industrie sur le Dark Web. C’est ce qu’on appelle le RaaS, pour Ransomware as a Service ! Les clients paient des abonnements pour un service de rançon informatique vendu par des pirates.

L’infection infostealer, une attaque discrète, mais très efficace pour dérober le maximum d’informations sensibles

Ce pirate informatique se fait très discret, par définition. L’infostealer est un pirate qui réalise le vol de données en entreprise. Ce logiciel malveillant parvient à extraire le maximum d’éléments, sans attirer l’attention sur lui. Il ne procède pas par des blocages du système d’information et n’exige pas de rançon.

Un infostealer collecte les identifiants, les mots de passe, les adresses mail, l’historique des navigateurs, les coordonnées bancaires, des données personnelles, etc. Finalement, cette cyberattaque en cabinet comptable peut se révéler la plus dangereuse, parce que personne ne voit le processus se déployer. Puis, ce pirate disparaît sans laisser de traces apparentes de son activité dans votre système d’information.

L’attaque par rebond, un péril pour la cybersécurité du cabinet afin d’atteindre ses clients

Dans une telle cyberattaque d’un cabinet d’expertise comptable, le hacker ne s’intéresse pas à la structure, mais à ses clients. Le pirate informatique vise les entreprises dans lesquelles intervient l’expert et pour lesquelles il stocke de nombreuses données.

Comme le voleur qui entre d’abord par la fenêtre du garage laissée entrouverte, ce cybercriminel choisit d’attaquer votre système d’information à vous d’abord. Puis, il rebondit chez votre client. En effet, votre cabinet présente parfois une protection inférieure à celle des plus grandes entreprises de votre portefeuille.

Vous pouvez rencontrer aussi le terme d’attaque supply chain ou attaque de la chaîne d’approvisionnement. Elle consiste à entrer dans des logiciels tiers d’une entreprise, par exemple ceux que l’expert-comptable met à disposition de ses clients. Pour les plus grandes entreprises, c’est souvent un point faible, ou, comme dit l’Usine Digitale, un vrai « talon d’Achille ».

Et le comble, pour un cabinet comptable, ce type de fraude par rebond peut comporter un volet social. Vous disposez ainsi généralement des identifiants et mots de passe divers de vos propres clients, afin de réaliser certaines démarches ou opérations. Si l’attaque par rebond récupère ces données clients, elle peut ensuite servir à préparer une fraude bancaire ou au président. Ceci revient à des manipulations humaines dans lesquelles la responsabilité de l’expert-comptable peut être mise en cause.

La cybercriminalité, un fléau aux multiples visages pour les experts-comptables et leurs clients

En tant qu’expert-comptable, votre responsabilité numérique est forte. Le RGPD en fait partie, mais la lutte contre la cybercriminalité aussi. Un pirate informatique qui fragilise la sécurité de vos données atteint immédiatement potentiellement tous vos clients.

La transformation digitale se déploie inexorablement sans possibilité de retour en arrière. Le moment est venu d’adopter des mesures pour les sauvegardes de données ainsi que pour la sécurisation des accès. C’est ce que nous vous offrons notamment pour l'hébergement de vos données, avec une solution de cloud privé, notre SaaS 360.

Les prochains articles détailleront les dispositions techniques à mettre en place pour la lutte contre le piratage chez l’expert-comptable, ainsi que la manière de limiter les vulnérabilités humaines. Nous vous proposons d’ores et déjà de télécharger notre kit de sensibilisation afin de former vos collaborateurs !