Le problème du partage par email
L'email est resté le canal n°1 d'échange comptable. Mais :
- Les pièces jointes ne sont pas chiffrées en transit ni en stockage chez le client.
- Une erreur de destinataire est irrécupérable : l'email envoyé est lu ailleurs.
- Aucune révocation possible d'un fichier déjà parti.
- Aucune traçabilité : vous ne savez pas qui a ouvert quoi, quand.
- Risque d'interception en cas de compromission de la messagerie d'un client (voir la fraude au virement côté notariat).
WeTransfer : meilleur que l'email mais insuffisant
WeTransfer (et alternatives type SwissTransfer, Smash, Filemail) ajoute :
- Limite de durée de disponibilité (7 jours par défaut).
- Stockage chiffré transit + repos (pour les versions Pro).
- Notification d'ouverture (versions payantes).
Mais :
- Hébergement principalement aux Pays-Bas (Boomerang Holdings, racheté par Bending Spoons en 2024). Pas un mauvais point en soi (UE), mais à valider selon votre politique souveraineté.
- Aucune intégration avec votre GED.
- Workflow ad-hoc : chaque échange est manuel, pas de référentiel.
Les vraies solutions structurantes
1. Portail client intégré à votre logiciel comptable
Sage, Cegid, EBP, ACD, Quadratus, Yooz : tous proposent un portail client qui permet :
- Échange bidirectionnel de fichiers (le client dépose, vous récupérez).
- Authentification du client.
- Traçabilité des échanges.
- Rétention longue (pas de délai 7 jours qui force à renvoyer).
- Intégration directe à la GED comptable.
C'est de loin la meilleure approche pour un cabinet structuré. À activer si vous ne l'utilisez pas, c'est presque toujours inclus dans les licences existantes.
2. Espace client cloud dédié (Microsoft 365 / Google Workspace)
Pour les clients réguliers, créer un dossier SharePoint partagé spécifique à chaque client, avec accès restreint à la personne désignée. Avantages :
- Versionning automatique.
- Coédition possible.
- Traçabilité des accès dans les logs M365.
- Intégration native avec votre messagerie.
À configurer avec les 7 réglages Microsoft 365, notamment la limite du partage externe à votre domaine + les domaines clients explicitement autorisés.
3. Messagerie chiffrée pour les vraies sensibilités
Pour les échanges hyper-sensibles (cession d'entreprise, audit fiscal, contentieux RH), considérer :
- Tuta (anciennement Tutanota, allemand, RGPD strict)
- ProtonMail Business (suisse, chiffrement de bout en bout, conforme RGPD via décision d'adéquation)
- Olvid (français, certifié ANSSI, gratuit pour usage personnel, payant en pro)
La règle d'or : authentifier la demande, pas seulement le canal
La fraude la plus fréquente n'attaque pas la technique mais le processus. Exemple :
« Mme Dupont, votre cliente, vous envoie un email demandant que les acomptes de paie soient désormais virés sur un nouveau RIB qu'elle vous transmet. »
Que la pièce jointe soit chiffrée ou pas, la question est : est-ce vraiment Mme Dupont ? Réponse : vérification systématique par appel téléphonique au numéro habituel (jamais le numéro fourni dans l'email douteux). Cette procédure simple bloque la quasi-totalité des fraudes au RIB.
Sensibilisation des clients : un sujet à porter
Vos clients, eux, n'ont pas votre niveau cyber. Quelques bonnes pratiques à pousser :
- Leur fournir une procédure courte « comment échanger avec votre cabinet de manière sécurisée ».
- Communiquer dès l'onboarding qu'aucun changement de RIB ne se valide par email seul.
- Encourager l'usage du portail client plutôt que la pièce jointe.
- Annoncer publiquement (LinkedIn, newsletter cabinet) que vous ne demandez jamais d'informations sensibles par email — outil de prévention de l'ingénierie sociale.
À retenir
Ce que Scryptoura fait pour vous
Notre offre dédiée Cybersécurité pour cabinets d'expertise comptable couvre l'audit du flux de partage actuel et la mise en place d'alternatives sécurisées. Le Diagnostic Découverte en cabinet inclut une revue spécifique de ce point.