Piratage expert-comptable : mesures techniques pour le prévenir

Les cabinets d’expertise comptable sont bien loin d’être à l’abri des cyberattaques. Ce sont même des proies de choix. Se prémunir contre le piratage de l’expert-comptable devient donc incontournable. Après avoir traité les mesures humaines dans un article précédent, nous abordons cette fois les dispositifs techniques.

Si le vocabulaire de la cybersécurité vous est inconnu, après cette lecture, vous serez incollable sur les outils de protection à déployer. Pour acquérir les bons réflexes, pensez à tous les moyens de sécuriser votre maison, des fondations au système d’alarme ou de coffre-fort, sans oublier la porte d'entrée notamment.

Le piratage des experts-comptables, un risque cyber multiforme et en développement

La profession des experts-comptables s’expose doublement si elle ne déploie pas un plan cyber costaud. D’une part, elle est, de métier, tenue à la confidentialité des données, y compris au regard du RGPD. Les cabinets détiennent des informations intéressantes, parfois sensibles et stratégiques, sur les entreprises en portefeuille.

D’autre part, les attaques cyber des cabinets se développent en permanence, tout comme en entreprise, et dans un monde de plus en plus numérique. Elles prennent des formes très variées et les pirates ne cessent de se réinventer.

Commencez par découvrir les types de hackers et d’attaques. Apprenez les termes comme espions d’affaires, cybercriminels opportunistes, social engineering, ransomware, infection infostealer, attaque par rebond, etc. Nous les avons détaillés dans un article sur les exemples de cyberattaque en cabinet comptable.

Tout l’enjeu de la lutte contre cette cybercriminalité consiste à renforcer en permanence les processus de sécurisation, plus vite que les hackers développent de nouveaux modes d’intrusion.

Les fondations de la lutte contre la cybercriminalité

Les mesures techniques, à compléter par de bonnes pratiques de cybersécurité  sur le plan humain, commencent par les fondations. Dans votre maison, vous ne pouvez vivre en sécurité, sans ces bases saines.

Des datacenters avec une redondance N+1

Ce concept de redondance signifie que plusieurs datacenters existent pour garantir la continuité du service et la disponibilité des données. Un système de redondance N+1 comprend un équipement de base appelé « N » et un autre similaire, dit de secours.

Contrôle des accès des utilisateurs

C’est un des dispositifs de base pour sécuriser vos systèmes informatiques et vos données. Organiser les droits et habilitations des utilisateurs pour chaque application fait partie des dispositions essentielles à mettre en place. Chaque personne doit avoir accès strictement à ce dont elle a besoin et pas plus.

Les bonnes pratiques comprennent :

• définition des informations et des tâches pour chaque logiciel ;
• création de demandes d’habilitation et des règles d’octroi ;
• gestion des droits et accès, tant lors de l’embauche, qu’au départ du salarié, et en cas de changement de poste.

Avec SaaS 360, chaque client dispose de son propre domaine et de son active directory. Il gère donc ses droits comme il l’entend.

Certification ISO/IEC 27001 et certification HDS

La certification ISO/IEC 27001 signifie que l’entreprise a mis en place un SMSI (système de management de la sécurité de l’information) efficace et selon la norme internationale du même nom. Notamment, l’application informatique avec cette certification a déployé une méthode d’identification des menaces cyber et des mesures de protection. L’objectif est d’assurer la confidentialité des données, leur disponibilité et leur intégrité.

Quant à la certification HDS, elle concerne les hébergeurs de données de santé. Elle garantit la protection des données de ce type et à caractère personnel. Pour certaines entreprises, c’est un critère fondamental pour la lutte contre les pirates informatiques.

Certification Tier III +

La certification Tier permet d’évaluer le niveau de sécurité d’un datacenter. Indicateur répandu pour les prestataires d'hébergement cloud, il donne une vision rapide de la classification du datacenter. Un niveau Tier III correspond à l’assurance d’une disponibilité de 99,982 %, soit une probabilité de panne maximale de 1,6 heure par an. Les datacenters qui disposent de ce niveau de garantie se trouvent par exemple dans des activités vitales, comme les pompiers ou les hôpitaux.

Notre solution de cloud privé, SaaS 360 d’AGIRIS, détient ces deux certifications HDS et ISO 27001. Elle est également certifiée Tier III+, c’est-à-dire que tous les éléments possibles sont redondés (sauf l'électricité, qui est sous le monopole d’EDF en France).

Sécurisation de la porte d’entrée de votre cabinet comptable

Après les fondations, évitez le piratage de votre cabinet avec des mesures pour protéger votre porte d’entrée. Lutter contre les intrusions, c’est le rôle d’un pare-feu notamment.

Firewall et UTM, soit les pare-feux et la gestion unifiée des menaces

Le pare-feu ou firewall en anglais sert à réguler le trafic Internet entrant comme sortant, avec, si nécessaire, le blocage de paquets de données qui pourraient mettre votre structure en danger.

Ainsi, chez AGIRIS, l'application SaaS 360 comporte un firewall dédié pour chaque client, du type Fortinet, sauf pour des petits cabinets qui sont équipés d’un PF7. Nous dimensionnons le firewall en fonction du nombre de connexions ou de besoins de sécurisation personnalisés.

UTM signifie Unified threat management, soit, gestion unifiée des menaces. Un tel procédé correspond en général à un boîtier qui concentre plusieurs solutions de cybersécurité. Il contient par exemple un pare-feu, mais aussi un processus de filtrage d’URL et une passerelle antivirus.

Protection contre les attaques DDoS

Une cyberattaque DDoS correspond à un déni de service distribué. Les cybercriminels se servent d’un logiciel malveillant pour saturer des points de connexion et empêcher les utilisateurs autorisés de se connecter de ce fait. Ces systèmes de ransomware demandent des rançons pour libérer les accès. Un outil comme F5, utilisé par AGIRIS, protège les cabinets des attaques DDoS. Il déplace les tentatives de connexions illégitimes pour éviter le blocage de vos applications.

Adoption d’un VPN

Pour encore plus de protection, vous pouvez adopter un VPN pour tous les accès à distance aux données du cabinet. C’est un réseau privé virtuel qui exige pour l’utilisateur de se connecter avec des modalités d’authentification forte.

Détection des tentatives d’intrusion avec alarmes et vigiles

Tout comme vous pouvez accroître la surveillance des intrusions à votre domicile avec un vigile, une alarme ou une caméra, adoptez des systèmes anti-intrusion similaires pour votre entreprise.

Antivirus

Votre cabinet doit bien sûr disposer d’un antivirus efficace. AGIRIS propose pour Saas 360 un antivirus multicouche, ESET. Premier éditeur antivirus en Europe, il a fait ses preuves depuis de nombreuses années et décroche régulièrement les meilleurs prix ou récompenses en matière de cybersécurité.

Cet antivirus présente une très bonne efficacité au niveau de l’intrusivité, avec notamment peu de faux positifs. En outre, il n'impacte que très faiblement les performances des applications. C’est donc un excellent compromis.

Le fonctionnement d’ESET reste classique. Il détecte un virus et cherche à établir sa signature, afin de mettre à jour l’antivirus sur cette base. Si ESET repère ensuite cette signature entrante, il la bloque.

Système de sécurité EDR et SOC pour l’expertise humaine

EDR signifie Endpoints Detection Response. C’est donc un système de détection et de réponse aux endpoints, soit aux extrémités de canaux de communication. Par exemple, une API qui échange avec une application entre en contact par un endpoint.

AGIRIS fait appel à  HarfangLab, un EDR français. Cet outil de nouvelle génération fonctionne différemment d’ESET. Il détecte des comportements anormaux et suspects. C’est l’équipe spécialisée en cybersécurité (SOC) qui ensuite mène son enquête, sur la base des alertes de l’EDR. Le groupe ISAGRI dispose de son propre SOC.

Authentification et gestion  des accès : vos clés et serrures pour lutter contre une cyberattaque

Les fondations sont en place. La porte d’entrée est posée, ainsi que l’alarme. C’est le moment de sécuriser les serrures et de choisir les bonnes clés. Pour lutter contre une cyberattaque de votre organisation, vous recourez alors à des processus d'authentification multifacteur notamment.

Authentification multifacteur (MFA)

Ce terme MFA désigne les mesures techniques de sécurité et de protection avec deux modes d’authentification par l’utilisateur qui veut accéder à un logiciel, un VPN ou un compte donné. Le fait de doubler les codes d’accès rend plus complexes les tentatives d’intrusion en cas de vol d'information pour s'authentifier. Ceci correspond à une porte qui dispose d’une serrure plus d’un verrou, par exemple. Ainsi, chez AGIRIS, la double authentification MFA existe pour se connecter à SaaS 360.

Virtual Local Area Network (VLAN) pour la segmentation et la sécurisation des réseaux

Un VLAN correspond à une technologie qui permet de répartir un réseau physique en plusieurs réseaux virtuels. De cette manière, les appareils qui fonctionnent sur des couches de réseau distinctes ne peuvent pas communiquer directement. Un routeur est nécessaire. Le VLAN sécurise le trafic.

Stratégie Zero Trust ou renforcement de la sécurité des accès

Les usages mixtes des applications et du matériel informatique se développent avec une frontière parfois ténue entre le professionnel et le privé. Le développement du télétravail y contribue. Ceci accroît les cybermenaces dans les entreprises. Face à ce phénomène, le modèle Zéro Trust consiste à réduire la confiance implicite accordée à des utilisateurs autorisés. Ceci signifie que des contrôles réguliers interviennent, et de façon fine et dynamique.

Privacy By design ou le haut niveau de confidentialité

Avec ce processus, par exemple dans SaaS 360, chaque cabinet comptable dispose de son environnement ségrégé et personnel, avec ses propres machines virtuelles. Ce processus garantit une parfaite étanchéité des données de chaque client. Ce principe de Privacy by Design est au centre du RGPD, sujet sensible chez les experts-comptables.

Des procédés du type coffre-fort contre les pirates

Votre maison, en l'occurrence votre cabinet, est sécurisée. Vos biens s’y trouvent parfois sur-protégés par l’existence d’un coffre-fort dont vous détenez seul le code. Pour vos systèmes d’information, vos données doivent également faire l’objet d’une protection, à commencer par une sauvegarde. La lutte contre le piratage pour les experts-comptables consiste aussi à garantir leur inaltérabilité et leur intégrité.

Une sauvegarde en mode 3-2-1, une stratégie ancienne et qui a fait ses preuves

La sauvegarde des données constitue un sujet de première importance dans la lutte contre la cybercriminalité. Une seule copie des données reste insuffisante. Pour plus de sécurité, le principe 3-2-1 consiste à réaliser :

• deux copies des données ;
• avec deux périphériques différents pour le stockage des copies ;
• dont une copie conservée en dehors du site.

Actuellement, cette méthode ancienne comporte des sauvegardes sur le cloud avec deux datacenters distincts physiquement.

Ainsi, pour SaaS 360, nous disposons d’une sauvegarde primaire sur le premier datacenter situé près de Reims. Elle est répliquée ou redondée sur le second datacenter en région parisienne. Cette seconde copie physique et externalisée se trouve donc dans un autre lieu. Cette externalisation de la sauvegarde ne constitue pas pour nos clients une option.

Nous utilisons Vim, un éditeur de sauvegarde en environnement hébergé. Ceci permet une sauvegarde journalière de toutes les données. Elles se conservent durant 31 jours glissants. Les sauvegardes mensuelles se gardent, elles, pendant 12 mois.

Immuabilité des sauvegardes

Ce processus fait partie des dispositifs techniques de sécurisation des sauvegardes de données. Il s’avère particulièrement utile pour lutter contre un piratage du type ransomware. Les sauvegardes, si elles ne sont pas isolées du réseau principal, peuvent conduire à une attaque du type demande de rançon. Dans ce cas, elles deviennent inutilisables.

Pour éviter ce cyberrisque, le principe d’immuabilité consiste à rendre la copie des données non effaçable, non chiffrable et non modifiable. Même la personne autorisée ne peut pas remettre en cause l’intégrité de ces données copiées. Ainsi, en cas de cyberattaque, vous pouvez restaurer la sauvegarde immuable.

AGIRIS dispose dans son second datacenter géré par Equinix de baies de stockage qui permettent cette sauvegarde de données immuables. Elles se gardent sur une durée de 15 jours, avant d’être ensuite détruites. Un logiciel du type cryptolocker ou cheval de Troie ne peut pas modifier ces données.

Chiffrement des données

Un logiciel de cryptographie sert entre autres à assurer la confidentialité des données par un chiffrement. La CNIL recommande d’adopter notamment une solution qui comporte la certification de l'Anssi (Agence nationale de la sécurité des systèmes d’information).

Patch management, un entretien anti-piratage pour votre cabinet d’expertise comptable

Si vous disposez d’une maison connectée avec de la domotique, vous connaissez les besoins de maintenance, pour assurer le bon fonctionnement électronique. En matière de lutte contre le piratage en cabinet, de la même façon, tous ces moyens techniques exigent de l’entretien périodique. Ainsi, le patch management correspond au processus de pilotage des correctifs. Préoccupez-vous de la manière dont vous gérez les bugs, les failles de sécurité et les mises à jour.

Chez AGIRIS, pour Saas 360, nous nous occupons de tout et de façon centralisée. Les patchs, correctifs et mises à jour, sont réalisés après 22 heures systématiquement.

Comme en témoigne Sandrine Cordoba, du cabinet ECOGER :

« Avant, on faisait les mises à jour nous-mêmes. Désormais, c’est agréable, car, mine de rien, il y a des mises à jour de plus en plus régulières. Nous avons 2 serveurs frontaux, soit 4 installations, à chaque fois. Autrefois, mes soirées étaient bien occupées ».

Les règles anti-piratage de votre cabinet d’expertise comptable

Une fois la sécurité anti-intrusion de la maison sous contrôle, mieux vaut rédiger les règles de fonctionnement pour ses habitants. En effet,  si un membre de la famille s’en va et laisse la fenêtre du garage ouverte, toute la protection définie s’avère inutile. En matière de cybersécurité, c’est pareil ! C’est souvent l’humain qui peut mettre en péril la sécurité par son comportement… entre la chaise et le clavier.

Norme ISO 27001 - sécurité des systèmes d’information

Le fait de disposer d’outils qui respectent la norme ISO 27001 donne déjà les grandes règles à suivre. Prenez le temps de dresser les points essentiels que prévoit cette norme. Cela fixe un cadre pour communiquer avec les collaborateurs du cabinet et les sensibiliser.

Documentation PAS et PRA pour les plans de maintien et de reprise d’activité

L’autre partie documentaire importante en matière de sécurité informatique, ce sont les plans à déployer dans votre cabinet :

• Le PCA ou plan de continuité des activités. Il comporte des mesures pour garantir la poursuite de l’exploitation, en cas d'incident, et donc le fait que le système informatique reste  disponible.
• Le PRA ou plan de reprise des activités. Il organise la manière de rétablir les accès au système d’information, suite à un incident ou une attaque qui a entraîné une rupture de service.

Le risque de piratage en cabinet comptable, ça se gère ! 

En conclusion, le fait d’adopter un SaaS pour héberger vos données sur le cloud facilite le pilotage technique en faveur de la sécurité. C’est souvent plus complexe d’atteindre le même niveau de sécurisation avec des applications on premise, soit hébergées sur site. Avec SaaS 360 d’AGIRIS, vous bénéficiez de tous ces dispositifs techniques décrits dans l’article. Pour améliorer la cybersécurité de votre cabinet, poursuivez l’analyse de notre solution de cloud privé, SaaS 360 : téléchargez la fiche produit.