Impression personnalisée

Sélectionnez les paragraphes que vous désirez imprimer

Profession

Cybersécurité : bonnes pratiques pour les cabinets

La Compagnie nationale des commissaires aux comptes (CNCC) et le Conseil supérieur de l'Ordre des experts-comptables (CSOEC) ont publié conjointement un document portant sur les mesures de prévention des risques de cybercriminalité. Ces dernières sont formulées sous la forme de bonnes pratiques qu'il est recommandé de mettre en place dans les cabinets d'experts-comptables et de commissaires aux comptes. Une synthèse des bonnes pratiques qui illustrent les principes à respecter est réalisée dans le tableau ci-après (CNCC/CSOEC, « Cybersécurité : découvrez les 10 commandements recommandés », décembre 2017).

Les 10 commandements en matière de cybercriminalité et les bonnes pratiques (BP) associées

1 - La confidentialité tu garantiras

BP 1 - Sécuriser les échanges de données sensibles. Exemple : chiffrer les documents confidentiels.

BP 2 - Disposer de mots de passe robustes. Exemple : ne pas stocker de manière accessible les mots de passe.

BP 3 - Garder confidentielles les informations sensibles. Exemple : verrouiller les ordinateurs.

BP 4 - Maîtriser sa e-reputation. Exemple : vérifier régulièrement son identité numérique.

2 - Un contrat de cyber-assurance tu souscriras

BP 1 - Définir la typologie des risques assurables. Exemples : données personnelles, système d’information de l’assuré, données des tiers.

BP 2 - Analyser les offres disponibles. Exemples : couverture des dommages immatériels, préjudices, etc.

BP3 - Répertorier les propositions de valeur pour l’assuré. Exemples : évaluation, quantification, réduction et transfert des risques, expertise post-incident.

3 - Une perte ou un vol tu anticiperas

BP 1 - Disposer d'une stratégie vigoureuse de sauvegarde. Exemple : faire une sauvegarde « hors ligne » pour éviter qu’elle soit elle aussi cryptée au moment de l’attaque.

BP 2 - Être conscient des avantages et des inconvénients des différents supports. Exemple : l'un des avantages des espaces de stockage en ligne est la disponibilité quasi immédiate et l'un des inconvénients est la sécurité limitée.

BP 3 - Prendre des précautions dans l'utilisation des supports. Exemple : vérifier l'intégrité du support de sauvegarde.

4 - De boucliers tu te muniras

BP 1 - Se munir d'antivirus et d'antispam. Exemple : vérifier que l’antivirus et l’antispam sont actifs et à jour.

BP 2 - Vérifier que les systèmes sont à jour. Exemple : vérifier que les mises à jour sont faites sur les sites officiels et sécurisés (https://).

BP 3 - Disposer de pare-feux actifs. Exemple : paramétrer le pare-feu pour refuser toutes les connexions entrantes.

5 - Aux cyberattaques tu réagiras

BP 1 - Adopter une méthodologie de traitement du risque au jour de l’attaque. Exemple : débrancher l’ordinateur du réseau, ne plus utiliser l'équipement une fois corrompu, porter plainte, ne pas payer la rançon demandée, etc.

BP 2 - Contacter les structures d’assistance aux victimes de cyberattaques : ACYMA, CERT, Cybermalveillance, Stopransomware.

6 - Le RGPD tu respecteras

BP 1 - Désigner un responsable des questions personnelles. La désignation est facultative pour la plupart des cabinets d’expertise-comptable, mais la CNIL encourage cette désignation : possibilité de désigner un DPO mutualisé ou externe.

BP 2 - Cartographier les traitements de données personnelles existant dans le cabinet. Exemples : évaluer les pratiques, identifier les risques et arrêter un plan d’action.

BP 3 - Prioriser et hiérarchiser les actions à mener. Exemples : vérifier que les sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, s'assurer de l’existence de clauses contractuelles (modèles de clauses sur le site de la CNIL) telles que sécurité, confidentialité, protection des données.

BP 4 - Gérer les risques. Exemple : l'outil PIA (Privacy impact assessment) de la CNIL vise à accompagner la conduite d’analyse d’impact et faciliter l’appropriation des guides PIA de la CNIL (disponible sur le site de la CNIL).

BP 5 - Organiser les processus internes. Exemple : traiter des réclamations et demandes des personnes concernées en définissant les acteurs et les modalités.

BP 6 - Documenter pour prouver la conformité au RGPD en cas de contrôle. Exemple : contrats définissant les rôles et responsabilités des acteurs, notamment dans les contrats avec les sous-traitants.

7 - Des clés USB tu te méfieras

BP 1 - Adopter des mesures préventives. Exemple : ne jamais utiliser une clé USB « abandonnée », avant toute utilisation scanner et nettoyer la clé USB, bloquer la fonction « Autorun », etc.

BP 2 - Préparer les déplacements à l’étranger. Exemples : garder les clés USB sur soi, à son retour ne pas connecter les clés sans les avoir testées au préalable, ou les jeter après usage.

8 - De bonnes pratiques manageriales tu adopteras

BP 1 - Instaurer une classification des données de l'entreprise. Exemple : identifier les données stratégiques qui pourraient être particulièrement convoitées par les pirates.

BP 2 - Adopter de bonnes habitudes de travail. Exemple : organiser des réunions d’information pour alerter les collaborateurs sur les nouveaux types de menaces.

BP 3 - Renforcer les procédures internes. Exemple : mettre en place des restrictions d’accès.

BP 4 - Superviser, auditer et corriger. Exemple : procéder à des tests d’intrusion pour tester la vigilance des collaborateurs.

9 - Les usages tu réglementeras

BP 1 - Encadrer les pratiques par l’utilisation d’une charte informatique. Exemple : pour faire adhérer tous les collaborateurs, disposer d’une charte claire, à la portée de tous et diffusée à l'ensemble du personnel.

BP 2 - Fixer les règles et consignes que les utilisateurs doivent respecter. Exemple : formaliser les règles d’utilisation du système d’information.

BP 3 - Rendre opposable aux salariés la charte informatique. Exemple : annexer la charte au contrat de travail des salariés.

10 - Les collaborateurs tu sensibiliseras

BP 1 - Sensibiliser les collaborateurs. Le facteur humain doit désormais faire partie intégrante de la cybersécurité.

BP 2 - Nommer un responsable de la sécurité du SI pour piloter la démarche. Véritable chef d’orchestre de la sécurité du SI, il définit les orientations, élabore et met en œuvre une politique de sécurité.

BP 3 - Impliquer et responsabiliser les usagers dans les mécanismes de cyberprévention. Exemple : l’utilisateur doit connaître les risques pour le cabinet et lui-même.

BP 4 - Être interactif et passer d'une pédagogie « passive » à une pédagogie « active ». Exemple : impliquer les utilisateurs pour éveiller leur conscience à la sécurité de l’information de manière durable.

La Compagnie et l'Ordre proposent à leurs membres un récapitulatif de mesures applicables par les cabinets, des simples précautions de bon sens à la mise en place d'une vraie politique de sécurisation.

Parution: 02/2018
Droits de reproduction et de diffusion réservés © Groupe Revue Fiduciaire 2018. Usage strictement personnel. L'utilisateur du site reconnaît avoir pris connaissance de la licence de droits d'usage, en accepter et en respecter les dispositions.