Accueil Sécurité Sécurité des données financières et comptables : faites le point

Sécurité des données financières et comptables : faites le point

Portrait Nicolas Touchet
Nicolas Touchet

Le temps n’est plus où une simple sauvegarde suffisait à assurer la sécurité des données de l’entreprise. Nicolas Touchet, associé en charge du développement de l’audit des systèmes d’information chez Baker Tilly France, 4ème réseau national de cabinets indépendants d’expertise comptable et fiscale, d’audit et de conseil, nous parle des enjeux liés à la sécurité informatique.

Dans notre monde interconnecté où les données professionnelles et personnelles sont trop facilement disponibles, nous pouvons avoir l’impression que la porte est fermée, mais ce n’est pas forcément le cas de toutes les fenêtres pour un cybercriminel averti !

Des risques à tous les niveaux

Toutes les organisations sont concernées, même les plus petites. Et surtout, la perception des décideurs est le plus souvent en-deçà de la réalité des risques encourus.

Les risques que peuvent subir votre organisation peuvent être externes mais également internes, par exemple :

  • le risque d’escroquerie aux faux virements suite à l’interception de données confidentielles
  • les risques économiques : vol de savoir-faire, vol de données sensibles – perte d’exploitation dans le cas du blocage du système d’information
  • le risque d’image : dénigrement public par des concurrents ou des salariés, actuels ou anciens, avec risque de perte de confiance de clients ou de fournisseurs

Cybercriminalité et responsabilité du chef d’entreprise en matière de sécurité du système d’information

Attention, la responsabilité du chef d’entreprise peut être engagée :

  • suite à une attaque, sur un volet civil et sur un volet pénal si les données n’étaient pas juridiquement protégées et si les moyens nécessaires à leur protection n’avaient pas été mis en œuvre
  • en cas d’omission de la déclaration des fichiers et des données personnelles à la CNIL
  • dans le contexte où l’entreprise a, de plus en plus, l’obligation de prendre toutes les précautions utiles

Prendre ses précautions en amont

Il est fortement recommandé de faire appel à des professionnels qui réaliseront un audit de votre système d’information, vous fourniront un bilan exhaustif de votre niveau de risques (y compris la flotte d’ordinateurs portables, de smartphones et de tablettes), vous feront des recommandations et vous aideront à les mettre en œuvre. Toutefois, sans attendre, voici les premières mesures à prendre :

  • identifiez les informations sensibles et faites un bilan de votre niveau de risques
  • sensibilisez vos collaborateurs, utilisez une politique adaptée de mots de passe et définissez les règles d’utilisation de votre système d’information
  • sauvegardez régulièrement vos données et effectuez des tests de restauration
  • vérifiez l’image de votre organisation sur Internet
  • dans l’hypothèse d’une destruction du système d’information, définissez la procédure de reprise d’activité

Enfin, l’entreprise doit fixer les règles d’utilisation du système d’information. Celles-ci doivent être adaptées en fonction de votre organisation, avec une implication de la direction générale et la direction des ressources humaines dans les processus de départ et de mutation des collaborateurs

  • avec une charte informatique définissant les droits, les devoirs des collaborateurs et les sanctions encourues
  • avec la signature des clauses de confidentialité de vos prestataires et personnels temporaires

Si vous êtes victimes, les réflexes à avoir

  • Si vous êtes victime d’une escroquerie au faux virement : contactez votre banquier dans les 24 heures, les forces de l’ordre et votre avocat.
  • Si vos données ont été volées ou modifiées par un agresseur : isolez le poste concerné puis contactez les forces de l’ordre tout en préservant les indices et les traces.
  • Si votre système a été attaqué par un logiciel malveillant : isolez les postes concernés puis supprimez-le.
  • En cas de blocage du système d’information et de demande de rançon : ne pas payer, contactez les forces de l’ordre et procédez à la restauration de la dernière sauvegarde.
  • Si vous êtes victime de désinformation sur Internet : identifiez-en l’origine et adoptez une communication appropriée.

Demandez conseil à votre expert-comptable ou à votre commissaire aux comptes

La maîtrise de la sécurité des systèmes d’information est un élément clé dans la stratégie, le développement et la recherche de performance de l’entité. La plupart des experts-comptables et des commissaires aux comptes ont développé des compétences pour évaluer les enjeux de leurs clients et leur proposer des solutions adaptées à leur situation : diagnostics, solutions juridiques adaptées, solutions techniques personnalisées. N’hésitez pas à les solliciter.