SCRYPTOURA
Demander mon diagnostic
Accueil · Cybersécurité pour experts-comptables
Page sectorielle · Experts-comptables

Cybersécurité pour cabinets d'expertise comptable

Bilans, liasses fiscales, données bancaires de dizaines d'entreprises clientes : votre cabinet est une cible privilégiée pour les ransomwares à effet domino. Vous avez aussi un rôle pivot envers vos clients PME.

L'enjeu

Pourquoi votre cabinet est une cible privilégiée

Un cabinet d'expertise comptable est un agrégateur de données financières. Compromettre un cabinet, c'est accéder en une seule attaque aux bilans, paies, liasses fiscales et coordonnées bancaires de dizaines d'entreprises. Les attaquants le savent.

La période fiscale est un moment d'attaque privilégié : volume d'activité, équipes en surcharge, vigilance affaiblie. C'est aussi celui où une indisponibilité du système coûte le plus cher.

Failles classiques en environnement comptable

  • Logiciel métier (Cegid, ACD, Sage) hébergé chez l'éditeur : mais accès non sécurisés côté cabinet
  • Comptes utilisateurs partagés entre collaborateurs
  • Échanges de fichiers clients par email non chiffré
  • Sauvegardes éparses entre cloud éditeur et serveur local
  • Documents fiscaux et bancaires sur postes de travail non chiffrés
  • Pas de plan de continuité pour la période fiscale
Spécificité réglementaire

Votre double rôle RGPD : responsable de traitement et sous-traitant

Spécificité fondamentale du métier comptable : votre cabinet endosse simultanément deux rôles RGPD selon la mission. Vos obligations changent selon le rôle endossé.

Rôle 1

Responsable de traitement

Pour la gestion de votre cabinet (RH, paie, prospection, contacts) et pour les missions où vous décidez des finalités du traitement : audit légal, conseil, accompagnement spécifique.

  • Registre des activités de traitement
  • Mention RGPD et politique de confidentialité
  • Notification CNIL sous 72h en cas de violation
  • Contrats sous-traitance avec vos prestataires
Rôle 2

Sous-traitant RGPD

Pour la tenue comptable, paie, liasses fiscales effectuées au nom et pour le compte de vos clients. Vous traitez leurs données selon leurs instructions.

  • Contrats sous-traitance article 28 RGPD avec chaque client
  • Traçabilité technique des accès
  • Mesures de sécurité contractuellement engagées
  • Notification de violation au responsable de traitement
NIS2 indirect

L'effet en cascade qui arrive vers vous

NIS2 fait l'objet d'une transposition en droit français en cours. Votre cabinet n'est probablement pas directement assujetti : mais vos clients soumis à NIS2 (banques, collectivités, hôpitaux, opérateurs essentiels, mais aussi de plus en plus d'ETI industrielles) vont contractualiser des exigences de sécurité avec leurs prestataires.

Concrètement : un client soumis à NIS2 va vous demander un audit récent, des engagements contractuels sur la sécurité, des preuves de continuité d'activité. Sans cela, le contrat ne pourra plus être maintenu.

Source : ANSSI · cyber.gouv.fr · projet de loi Résilience (en cours)

Argument commercial pour vos clients PME. Vous parlez à vos clients de leurs comptes, de leur fiscalité, de leur trésorerie. Vous êtes leur conseiller naturel. Sur la cybersécurité aussi, vous êtes en première ligne pour les éveiller. Nous pouvons construire avec vous un partenariat éthique sans commission financière (interdite par la déontologie OEC) : à travers des conférences, des supports d'information, des Diagnostics Découverte avec restitution offerte pour vos référents.
DORA · applicable depuis le 17 janvier 2025

Vous travaillez avec des entités financières ?

Si vous tenez la comptabilité ou réalisez le commissariat aux comptes pour des banques, sociétés de gestion, prestataires de paiement, vous êtes prestataire d'entités soumises à DORA. Elles vont vous demander des preuves de résilience numérique : tests, plan de continuité, encadrement contractuel des prestataires, gestion documentée des incidents.

Notre intervention

Comment nous intervenons dans un cabinet d'expertise comptable

Cartographier

Inventaire des données traitées, des accès, des prestataires, des flux entre cabinet et clients. C'est la base d'un registre RGPD utile.

Sécuriser

MFA généralisée, chiffrement des supports et des sauvegardes, durcissement des postes, segmentation des accès.

Documenter

Procédures techniques de réponse aux incidents, preuves de diligence pour les contrats clients, supports pour vos sous-traitances RGPD.

Préparer la pointe fiscale

Plan de continuité spécifiquement testé avant la période fiscale. Astreinte renforcée si vous le souhaitez.

Préparez votre cabinet aux questions de vos clients

Le Diagnostic Découverte vous donne en une demi-journée un état des lieux clair, exploitable lors de vos prochains contrats clients. Restitution orale offerte.

Demander mon diagnostic Construire un partenariat