Prévenir une cyberattaque dans son entreprise
À l'instar des institutions, des états et des particuliers, les entreprises quelle que soit leur taille sont les cibles privilégiées des cyberattaques. Ce risque fait désormais partie de leurs quotidiens et ne peut en aucun cas être négligé. Le commissaire aux comptes est un partenaire dans la protection des données de son client.
À chaque nouvelle technologie, des cyberattaques voient le jour. L'avènement de l'intelligence artificielle, à la base facilitatrice de taches et de travaux divers, apporte également de nouvelles formes de cyberattaques. À cette nouvelle technologie performante s'ajoutent l'essor des objets connectés et l'adoption massive de solutions cloud, qui créent des scénarios de risques inédits et rendent l'utilisateur plus vulnérable.
Des attaques de plus en plus nombreuses
L'argent que les entreprises manipulent au quotidien, le nombre d'acteurs internes et externes indispensables à leur fonctionnement font d'elles les cibles idéales des attaques malveillantes. Par conséquent, dans un contexte de digitalisation accélérée, la sécurité des systèmes d'information est désormais devenue un enjeu majeur pour les entreprises. Des attaques de plus en plus créatives, de plus en plus sophistiquées, de plus en plus fréquentes rendent l'environnement de travail plus fragile. Les conséquences de ces attaques sont désastreuses et parfois même irréversibles.
En effet, les attaques informatiques, se matérialisant sous forme de ransomware, de phishing d'intrusions furtives... touchent tant les infrastructures techniques que le facteur humain. L'intensification des échanges numériques expose toutes les structures à des risques potentiellement dévastateurs. Les failles techniques, combinées aux erreurs de manipulation ou à l'absence de procédures strictes, facilitent l'accès des cybercriminels aux données sensibles. Dans cet environnement, le facteur humain reste le plus sensible et le plus fragile face à la cybercriminalité.
L'accompagnement du commissaire aux comptes
Les commissaires aux comptes sont directement impliqués dans l'exposition de leurs clients face à ces menaces persistantes. La Compagnie nationale des commissaires aux comptes (CNCC) est très sensible à son rôle de prévention dans les cyberattaques, dont pourraient être victimes les clients. Par l'information, la formation, la sensibilisation de l'importance des données, la mise à disposition d'outils performants, elle permet à ses adhérents d'avoir une sensibilité accrue aux risques de cyberattaque. Les Assise nationales de 2024, qui se sont déroulées au mois de décembre 2024 à Grenoble, avaient d'ailleurs pour thème : « IA et confiance : quelles mutations pour l'audit ? »
En effet, en réponse à chaque risque, doivent être créées des parades efficaces et concrètes afin de protéger les données sensibles des clients. Grâce à sa connaissance de l'entreprise cliente, de son organisation, de son obligation de confidentialité, le commissaire aux comptes est un partenaire majeur de l'entreprise dans la protection de ses données. Sans pour autant disposer des connaissances informatiques profondes, son rôle stratégique d'auditeur consiste avant tout à vérifier la conformité des procédures internes et à détecter d'éventuelles failles de sécurité.
Il ne se substitue en aucun cas aux informaticiens ou aux prestataires informatiques de son client. Mais grâce à une analyse minutieuse des systèmes d'information et des mesures de contrôle, le commissaire aux comptes contribue à instaurer une culture de la sécurité au sein de l'entreprise.
La vérification des dispositifs de sauvegarde, la gestion rigoureuse des accès, la traçabilité des opérations et la réactivité face aux incidents font partie des critères évalués. Des tests de pénétration et des simulations d'attaque, réalisés en collaboration avec des experts externes, permettent d'appréhender divers scénarios de risque et d'affiner les recommandations en vue de mesures correctives adaptées.
Sensibiliser les collaborateurs
Comme indiqué précédemment, la meilleure porte d'entrée et par conséquent, la plus utilisée reste l'humain. Parmi les mesures préventives essentielles figure la sensibilisation et la formation régulière des collaborateurs aux enjeux et aux risques liés à la cybercriminalité. Une campagne de formation bien orchestrée permet de réduire significativement le facteur humain, souvent exploité par les attaquants.
L'application de conseils simples et de bon sens permet en effet de diminuer les risques, comme l'interdiction de télécharger des fichiers provenant d'adresses mails inconnues, la séparation entre les mots de passe personnels et les mots de passe professionnels, l'interdiction d'utiliser la ressource informatique de l'entreprise à des fins personnelles, le changement régulier des mots de passe, l'interdiction de les noter sur un post-it (cas très fréquent), le changement de ceux-ci dans des périodes régulières avec un minimum de douze caractères comprenant des chiffres, majuscules et caractères spéciaux...
Attention aussi à ne jamais entrer des informations confidentielles dans un chat d'IA. Ces informations deviennent immédiatement publiques sans possibilité de retour en arrière et par conséquent elles peuvent être utilisables frauduleusement.
Mettre en place des solutions techniques
Du point de vue technique, la mise en place d'infrastructures sécurisées repose sur des outils performants : des pare-feux, des solutions antivirus, le chiffrement des données et des systèmes de détection des intrusions se révèlent indispensables. La mise en œuvre d'une veille technologique constante renforce le dispositif de défense. Par ailleurs, la gestion stricte des accès et la segmentation des réseaux limitent l'impact éventuel d'une intrusion, assurant ainsi une maîtrise optimale des flux d'information sensibles.
Sans pour autant être dans la capacité de donner des conseils sur ce point à ses clients, le commissaire aux comptes s'informe de la sensibilité de ceux-ci dans la mise en place et la performance de ces dispositifs.
Des retours d'expérience concrets démontrent l'efficacité de ces stratégies préventives. Certaines entreprises, après avoir subi des tentatives d'intrusion, ont su s'allier à des prestataires spécialisés en cybersécurité pour détecter et neutraliser rapidement les attaques. L'établissement d'un diagnostic global, intégrant l'analyse des risques, la revue des procédures internes et l'évaluation des dispositifs techniques, offre une vision claire des zones à renforcer. La transparence dans le reporting et la mise en œuvre d'un plan d'action adapté permettent de restaurer rapidement la confiance des parties prenantes, tout en assurant la continuité des activités dans un environnement numérique en perpétuelle évolution.
S'assurer contre le risque de cyberattaques
Enfin, le commissaire aux comptes doit s'assurer que son client a adhéré à un contrat d'assurance couvrant les différentes cyberattaques dont il peut être potentiellement victime. Les frais de restitution et de réparations de son système d'information, ainsi que les pertes d'exploitation peuvent être prises en charge et permettent une plus grande sérénité dans la gestion d'une attaque toujours traumatisante pour l'entreprise et ses collaborateurs.
Conclusion
La lutte contre la cybercriminalité constitue un enjeu stratégique pour toutes les entreprises. La digitalisation accrue, tout en offrant des opportunités de croissance, expose également les organisations à des risques nouveaux et complexes. C'est en intégrant la cybersécurité au cœur de leur gouvernance et en renforçant continuellement les dispositifs préventifs - sur le plan technique, organisationnel et humain - que les entreprises pourront contrer efficacement les cyberattaques. Une collaboration étroite entre les acteurs internes et externes dont le commissaire aux comptes, soutenue par une veille technologique assidue, permettra de renforcer la résilience et d'assurer la continuité des activités dans un monde numérique en constante mutation.
