Accompagnement dans la sécurité numérique

L'expert-comptable, un interlocuteur privilégié de ses clients dans l'accompagnement dans la sécurité numérique pour lutter contre la fraude.
Accompagnement dans la sécurité numérique

L’accompagnement dans la sécurité numérique, une mission que nous réalisons afin de lutter contre le fléau qu’est la cybercriminalité. Les TPE sont exposées à cette dernière et cela s’explique par des vulnérabilités inhérentes :

  • à leur taille ;
  • à leur mode de fonctionnement ;
  • mais aussi par un manque de sensibilisation et d’accompagnement dans la sécurité informatique.

Les préjudices subis peuvent être importants. En complément des impacts financiers et économiques, les TPE sont confrontées à un risque :

  • de violation de leur patrimoine informationnel ;
  • d’atteinte à leur réputation ;
  • et à d’autres dommages collatéraux.

Plus alarmant encore, ces conséquences peuvent affecter la poursuite de leurs activités. En effet, 60% des TPE ayant subi un sinistre informatique majeur avec une perte de données cessent leur activité dans les six mois qui suivent.

En sa qualité d’interlocuteur privilégié des TPE/PME,  l’expert-comptable est l’interlocuteur privilégié pour accompagner ses clients dans la mise en place d’une meilleure sécurité informatique. Cette conduite du changement est urgente et nous avons donc choisi de proposer à nos clients cette mission complémentaire d’expertise-comptable.

Audit organisationnel du système d’information : indispensable pour les TPE

L’approche proposée se veut simple, pratique et constructive. Ainsi, elle est adaptée à la taille et à la complexité des TPE. Cette démarche se décompose en cinq phases :

  • Étude préalable ;
  • Initialisation de la mission ;
  • Diagnostique du système d’information ;
  • Restitution des résultats ;
  • Plan d’actions.

Étude préliminaire : une première phase

La prise de contact avec le client débute par la proposition d’un questionnaire de pré­-diagnostic en cybersécurité . Cette démarche est une étape préalable à la signature de la lettre de mission. Il se compose d’une dizaine de questions. L’objectif est, pour nous, de se faire une idée de la cybercriminalité et du profil risque du système d’information de la TPE. Le questionnaire constitue le premier stade d’analyse qui permet d’identifier les zones de risques.

La phase dédiée au démarrage de la mission

Cette étape consiste à déterminer les contours de la mission de l’expert-comptable et des modalités de réalisation de celle-ci. Deux principales missions (Un audit ou un audit et une mise en place d’une stratégie de cybersécurité). Un spécialiste de la mise en place d’outil de cybersécurité pourra réaliser un accompagnement dans ce domaine.

Le diagnostique du système d’information

Cette phase vise à recueillir les éléments de compréhension du système d’information et de son environnement de contrôle en complément de ceux déjà collectés lors du questionnaire de« pré-diagnostic en cybersécurité ».

Afin de structurer la démarche d’audit, nous avons définis sept thèmes :

  • Equipements informatiques ;
  • Logique ;
  • Environnement applicatif ;
  • Administration du support informatique ;
  • Internet ;
  • Gouvernance des données ;
  • Cycles sensibles (Trésorerie et personnel).

Nous avons conçu un questionnaire pour réaliser ce diagnostique. Il a pour but de nous permettre de prendre connaissance du système d’information et de collecter des informations sur les éléments suivants :

  • Comprendre l’environnement informatique ;
  • identifier les applications métiers ;
  • déterminer la nature des données traitées et des flux d’informations avec les tiers ;
  • apprécier l’implication du dirigeant.

Mise en place de points de contrôles adaptés à la sécurité numérique

Les diligences présentées permettent à l’expert-comptable de:

  • formaliser sa connaissance de l’entité ;
  • d’identifier les risques auxquels son système d’information est exposé ;
  • de recueillir les documents utiles.

L’objectif suivant est d’évaluer les procédures techniques et organisationnelles, en vigueur au sein de la TPE.

Cette phase se déroule en 2 étapes :

  • La prise de connaissance du contrôle interne de la TPE via un questionnaire ;
  • La réalisation de tests de procédures afin de s’assurer que les réponses au questionnaire sont fiables.

À l’issue de cette phase, l’expert-comptable est en mesure d’identifier les failles dans la sécurité informatique de son client.

Proposition d’une stratégie de maîtrise des risques informatiques des TPE

Préconisations garantissant la continuité des équipements et supports

L’objectif est de présenter une boite à outils destinée à permettre aux TPE d’assurer une meilleure protection de leur parc informatique et ce, sans empiéter sur le domaine d’intervention du prestataire informatique.

La surveillance et protection des locaux

Le point de départ de la protection physique d’une entreprise correspond à celle de son infrastructure où sont situées les ressources informatiques. L’accès aux locaux doit donc être encadré pour éviter l’intrusion de personnes non autorisées.

Les précautions élémentaires sont de :

  • limiter l’accès aux zones sensibles à l’aide d’un système de verrouillage ou d’une affiche qui présente un message d’avertissement ;
  • restreindre l’attribution des clés, badges et télécommandes (tenue d’un registre de suivi des équipements) ;
  • mettre en place une procédure de contrôle d’accès des visiteurs ;
  • s’équiper de matériels de protection (alarme, cameras de vidéosurveillance, antivols).

Protection du matériel contre les risques environnementaux

Les risques environnementaux sont nombreux et variés (coupure d’électricité, incendie, inondation, etc.). Il ne faut donc pas les sous-évaluer. Ils sont susceptibles de porter atteinte à la poursuite de l’activité.

Par exemple, l’arrêt brutal d’un serveur et/ou des postes de travail est susceptible d’interrompre temporairement l’activité. Dans ce cas, l’entité peut être confrontée à la perte irrémédiable de tout ou partie de ses données. C’est notamment vrai en l’absence de sauvegarde et/ou de restauration fiable.

Sur le plan pratique, on recommande de :

  • prévoir des équipements de soutien fiables (onduleur ou groupe électrogène), mettre en place ,un système d’ anti-incendie adapté ;
  • adopter une solution Cloud.

Pour rappel, l’usage du Cloud allège les obligations en matière de sécurité physique. En effet, le mode SaaS libère l’entité de l’acquisition, la maintenance, le remplacement et la dépréciation de supports critiques.

Nous rappelons également les dirigeants de TPE qu’il existe pour faire face à ces risques très importants, des solutions proposées par les assureurs. Cependant, les TPE doivent pour cela satisfaire à plusieurs critères d’éligibilité.

Facteurs clés de succès de l’accompagnement dans la sécurité numérique

  • Sensibilisation et information des utilisateurs ;
  • Implication du dirigeant ;
  • Proposition d’un plan d’actions.

Le fil conducteur de la démarche repose sur la méthode S.M.A.R.T (Spécifique, Mesurable, Acceptable, Réaliste, temporelle).

Des mesures sont incontournables :

  • Sécuriser l’accès au réseau interne ;
  • Gestion des droits d’accès et des habilitations ;
  • Surveiller et limiter les connexions entrantes et sortantes ;
  • Sauvegarde des données ;
  • Chiffrement et conservations des données ;
  • Mises à jours du système d’exploitation et des applications ;
  • Sécurisation du site internet.
4.5/5 - (2 votes)
Contactez-nous

N’hésitez pas à nous contacter, nos experts-comptables se feront un plaisir de revenir vers vous dans les plus brefs délais. Vous pouvez également prendre directement un rendez-vous.