Si personne n’est trop gros pour faire faillite, il est tout aussi vrai que vous n’êtes jamais trop petit pour être piraté. En 2017, le courtier d'assurance australien Fenton Green avait reçu 17 demandes d'indemnisation émanant de cabinets de petite et moyenne taille (SMP) pour cas de violation de la cybersécurité. Green n’assure pas tous les comptables du pays, et pourtant un nombre considérable de plaintes ont été portées pour une population aussi faible (près de 25 millions). L'année dernière, une étude réalisée par le consultant en comptabilité Smithink auprès de 183 petites entreprises australiennes, a révélé qu'une entreprise sur six avait été piratée ou avait été la cible d’attaques malveillantes.

Risques liés aux technologies :

« En ce qui concerne les profils de risque, les comptables ayant accès aux données des clients, notamment les comptes bancaires et les bilans, figurent en tête de la liste des cibles des pirates informatiques. Leur simple empreinte financière est synonyme de profil de risque élevé », souligne le directeur Drew Fenton. Selon Fenton, seuls 25 à 30 % des PME australiennes utilisent le Cloud pour stocker des données sensibles, et la sécurité des données dans le Cloud suscite de plus en plus d'inquiétudes ; 66 % d’entre elles sont en effet préoccupées par le risque de sécurité, soit une augmentation de 6 % par rapport à l'année précédente. Tanya Titman, propriétaire de SMP et fervente championne du Cloud, évoque l’époque où les fichiers clients étaient enregistrés sur des clés USB. « Quelqu'un a-t-il gardé la trace de ces clés USB ? Avec le Cloud, il y a beaucoup plus de sécurité et de processus. » Drew Fenton approuve : « Au final, si vous n'êtes pas dans le Cloud, vous n'êtes pas protégé. »

Quels sont les risques de ce moyen de stockage de données numériques réputé plus sécurisé ? Ils se résument toujours au même principe : garder une trace de vos données. Dr Michael Axelsen, expert en sécurité informatique, explique que « Perdre des clés USB représentait auparavant le plus grand risque, mais aujourd'hui, le risque existe lorsque vous passez d'un fournisseur de Cloud à un autre. » L'utilisation de nombreux fournisseurs de Cloud peut augmenter le risque lié à la sécurité. Pourquoi ? Parce que les fournisseurs de Cloud ont le droit de modifier les informations que vous y stockez. Les fournisseurs de Cloud n’approuvent pas ou ne maintiennent pas les mêmes accords de sécurité et, en raison d’un contexte de concurrence féroce, de problèmes de coûts potentiels et de sous-traitance à l'étranger, vos données sensibles peuvent être potentiellement compromises. 

« Les praticiens doivent s’assurer que, lorsqu'ils changent de fournisseur de Cloud, leurs données sont retirées des systèmes de sauvegarde, sinon ils pourraient se retrouver avec un patchwork de fournisseurs de services différents », note Axelsen, qui affirme que malgré tout, le Cloud est de loin la meilleure solution.

Mais quel est le moyen le plus simple de se faire pirater ? Ce n’est pas le Cloud, explique Fenton : le meilleur moyen de se faire pirater est d’ouvrir le mauvais e-mail. Les « e-mails innocents » vous demandant de cliquer sur les pièces jointes constituent une porte ouverte pour les pirates informatiques qui souhaitent accéder à votre système. » 

Selon Axelsen, les entreprises peuvent empêcher ces événements en instaurant une « culture du respect des données », qui consiste à sensibiliser le personnel à la sécurité des données. « C’est probablement votre meilleure ligne de défense. Vos données peuvent être cryptées et relativement sécurisées, mais les pirates peuvent obtenir de votre entreprise quelque chose par le biais de méthodes d'ingénierie sociale ou de phishing. » Il recommande de mettre en place une politique de risque stricte et des protocoles de messagerie. Les entreprises testent de plus en plus leur personnel par le biais de « tests de phishing », par le biais d’e-mails de test envoyés aux membres du personnel, leur demandant de cliquer sur diverses demandes. Les gens doivent changer leur état d'esprit pour rester constamment sur leurs gardes et se méfier de tous les e-mails demandant une action ou des informations personnelles.                        

Voici quelques facteurs à prendre en compte pour protéger vos données et vos clients.

Petits conseils pour assurer la sécurité des données :

• Cadre de gestion des risques technologiques
  La première étape pour les entreprises consiste à créer et à maintenir un cadre de gestion des risques technologiques. Cela comprend les politiques et procédures sur la manière dont une entreprise évalue et identifie les risques associés à l'utilisation, à la propriété, au fonctionnement et à l'adoption des TI. 

• Le Cloud
  Le Cloud s’avère aujourd’hui plus sûr que les serveurs internes, mais requiert une gestion des données. Sachez qui sont vos fournisseurs et où ils stockent vos données. Envisagez des solutions de sécurité telles que l’authentification à deux facteurs.

• Programmes de reprise après sinistre et de continuité des activités
  Il est trop tard pour élaborer un programme de reprise après sinistre à la suite d’une attaque. Pour une entreprise, l'échec de la création et de la maintenance d'un système efficace de reprise après sinistre peut s'avérer catastrophique. Les entreprises ont besoin d’un plan proactif de gestion des risques couvrant les sauvegardes des systèmes et des logiciels, le stockage hors site, et les procédures de restauration.  

• Cybersécurité
  Il est important de disposer d’utilitaires système destinés à protéger l'entreprise des attaques malveillantes. Les systèmes permettant de lutter de manière proactive contre les attaques de cybersécurité comprennent les pare-feux, la protection antivirus, les programmes de logiciels malveillants/espions, ainsi que les logiciels anti-spam et anti-phishing.

• Politiques et procédures
  La mise en place de bonnes procédures de gouvernance informatique au sein d'une entreprise est essentielle. Les politiques en question doivent inclure des directives garantissant que les systèmes ne sont pas utilisés à mauvais escient, avec des pratiques garantissant que les stratégies applicables sont continuellement revues et mises à jour pour tenir compte des risques actuels. La formation continue de tous les employés de l'entreprise sur les risques technologiques devrait faire partie du cadre de gestion des risques de l'entreprise.

• Matériel
  Maintenez un journal pour le matériel (y compris pour les ordinateurs portables et les téléphones). Des contrats de maintenance doivent être conclus avec les fournisseurs de matériel afin que les pannes matérielles puissent être rapidement résolues. Interdisez au personnel d'utiliser le Wi-Fi gratuit, que ce soit sur le matériel de l'entreprise ou le matériel personnel, pour accéder à des données sensibles.

• Logiciels
  Conservez un système de suivi à jour des abonnements actuels, passés et potentiels. Mettez régulièrement à niveau les logiciels et prévoyez du temps pour appliquer des correctifs au système avant d'éteindre vos dispositifs.

• Assurance
  Une assurance appropriée pour l'entreprise doit être maintenue afin de couvrir les coûts de remplacement des infrastructures, ainsi que les coûts de main-d'œuvre nécessaires à la reconstitution des systèmes et à la restauration des données. Pensez également à souscrire une assurance couvrant la perte de productivité en cas de défaillance majeure du système ou d'événement catastrophique.

L’IFAC a récemment publié une mise à jour du Guide to Practice Management for Small- and Medium-Sized Practices, (Guide de gestion de cabinet pour les cabinets de petite et moyenne taille), qui inclut un nouveau chapitre sur l’utilisation de la technologie et aborde les thèmes de l’élaboration d’une stratégie technologique, les options matérielles et logicielles, les risques technologiques, ainsi que les technologies nouvelles et émergentes.