Alerte en matière de cybersécurité : Un cabinet d’experts-comptables sur cinq a déjà été confronté à un incident decybersécurité, un sur quatre s’attend à devoir y faire face

L’importance de la cybersécurité pour le secteur de la comptabilité

Un cabinet d’experts-comptables sur cinq a déjà été confronté à un incident de cybersécurité, un sur quatre s’attend à ce qu’un tel incident se produise. C’est ce qui ressort de l’enquête sur le sujet menée par l’entreprise de services RH Acerta auprès des cabinets d’experts-comptables, pour laquelle elle a pu compter sur la collaboration de 566 répondants, de petits et grands cabinets d’experts-comptables, répartis sur l’ensemble duterritoire belge. Il ressort de l’enquête que le fait de s’attendre à ce qu’une attaque de cybersécurité se produise ne signifie pas ne prendre aucune mesure pour les éviter : c’est le cas quand même. Mais les mesures de sécurité ne sont pas à sélectionner à la légère, il convient d’en prendre plusieurs : toutes les failles doivent être comblées à 100 %. Mais encore une fois… Il est clair que la cybersécurité requiert une expertise particulière, d’où le conseil d’Acerta d’établir ses partenariats de manière intelligente. De plus, ceux qui pensent qu’ils ne sont pas assez grands pour être ciblés par les cybercriminels se trompent : les attaques automatisées ne font pas de distinction.

Un cabinet d’experts-comptables sur cinq

Un cabinet d’experts-comptables sur cinq a déjà été confronté à un incident de cybersécurité, un sur quatre s’attend à devoir y faire face 22 % des 566 cabinets d’experts-comptables qui ont participé à l’enquête d’Acerta sur la cybersécurité ont connu un incident de cybersécurité à un moment ou à un autre. C’est-à-dire plus d’un sur cinq.

L’enquête ciblée montre que les experts-comptables (et leurs cabinets) se préoccupent de la cybersécurité. Dans la mesure où 83 % d’entre eux estiment que le niveau de cybersécurité de leur cabinet est plutôt bon ou très bon. Malgré cela, 26 % d’entre eux estiment qu’il est plutôt probable ou très probable qu’ils soient victimes d’un incident dans les trois années à venir. Les incidents les plus redoutés sont ceux qui sont également les plus médiatisés : phishing, ransomware, fuite de données…

Comparez cela au risque d’incendie : même dans un bâtiment protégé contre le feu, il convient de réaliser des exercices d’évacuation

Kurt Cuijpers, ICT Director chez Acerta, explique : « Le fait qu’un cabinet sur cinq ait déjà été confronté à un problème de cybersécurité est considérable, mais ce n’est pas une exception : tout le monde y fait face, tout le monde doit s’en prémunir. Toutefois, ce qui rend la situation urgente pour ce secteur, c’est qu’il traite des informations financières sensibles. Dans le même temps, un quart des cabinets interrogés déclarent qu’ils pourraient être victimes d’une attaque de cybersécurité malgré tout, ce qui est malheureusement réaliste. En effet, même si l’on fait des efforts en matière de cybersécurité, il faut toujours se préparer à un éventuel incident. Comparez cela au risque d’incendie : bien sûr, vous vous assurez de protéger votre entreprise contre le feu, mais vous réalisez quand même des exercices d’évacuation et vous disposez d’une assurance incendie, au cas où un problème surviendrait. »

Bonne protection = plusieurs couches et pas de failles

46 % des répondants/experts-comptables déclarent avoir mis en place une politique formelle en matière de cybersécurité ou être en train de le faire, 42 % ont mis en place des procédures fixes relatives aux incidents de cybersécurité (ou sont en train de le faire). Environ le même nombre de cabinets n’ont ni l’un ni l’autre. Cela ne veut pas dire qu’ils n’ont prévu aucune mesure de protection. 82 % disposent d’un antivirus et d’un pare-feu, 77 % réalisent des sauvegardes, 62 % travaillent avec des droits d’accès stricts…

Johan Guelluy, CIO – Managing Director ICT chez Acerta, ajoute : « Une politique formelle indique principalement la maturité avec laquelle la problématique est abordée, il est plus probable que ce type de politique existe dans les grands cabinets. Toutefois, cela ne signifie pas que la protection n’est pas assurée dans d’autres cabinets plus petits. Nous constatons que la grande majorité des cabinets prennent des mesures, mais principalement les plus connues : antivirus, sauvegarde… Leur score n’est alors pas de 100 %, ce qui devrait pourtant être le cas. En effet, il ne faudrait pas choisir entre telle ou telle mesure de sécurité, mais bien les additionner. Une bonne sécurité se compose toujours de plusieurs couches. Ce qui me frappe dans les chiffres, c’est le faible score en matière de formation, indiqué sur la dernière ligne. Le fait que 47 % d’entre eux ne proposent pas de formation à la sécurité à leurs collaborateurs constitue une faille dans les mesures de protection et le défi consiste à combler toutes les failles. Ceux qui pensent qu’ils n’en ont pas besoin se trompent. Les attaques automatisées ne font pas de distinction, même une petite entreprise ou une entreprise unipersonnelle peut en être victime. »

Partenariats intelligents

Quatre cabinets d’experts-comptables sur dix font appel ou prévoient de faire appel à un service de cybersécurité externe (17 %). Cependant, trois cabinets sur dix déclarent ne pas le faire et ne pas avoir l’intention de le faire. Par ailleurs, 30 % des cabinets reconnaissent la complexité technique de la cybersécurité et 27 % déclarent manquer d’expertise en interne.

Kurt Cuijpers indique : « La cybersécurité est en effet un thème très spécialisé. Pour une politique globale, un certain niveau d’expertise est nécessaire. De plus, il s’agit d’une problématique qui dépasse les murs de l’entreprise. La cybersécurité, ce n’est pas seulement pour soi, c’est pour l’ensemble de la chaîne. À tous les niveaux et tout au long de la chaîne, le service que vous offrez à vos clients doit être “cybersécurisé”. Il est donc normal que la cybersécurité devienne un facteur décisif dans le processus de sélection des partenaires et qu’elle soit incluse dans les contrats de collaboration. Pour les grandes organisations et les secteurs cruciaux, il existe même une législation européenne en la matière.

Toutefois, il ne suffit pas de tenir compte de la cybersécurité lors de la sélection des partenaires, il faut également la contrôler : les accords sont-ils respectés, les systèmes sont-ils à jour ? Prenons l’exemple de l’intelligence artificielle, qui offrira sans aucun doute des possibilités dans le secteur de la comptabilité. Son utilisation devra faire l’objet d’une surveillance, pour s’assurer qu’elle a lieu en toute sécurité. Certes, il est pratique de pouvoir demander à l’IA de traduire un contrat, par exemple, mais sachez alors que vous partagez le contenu de ce contrat avec le monde entier. Il n’est pas facile de rester vigilant et d’appliquer efficacement les règles et les normes. Le message est donc le suivant : conclure des partenariats intelligents ! »

À propos des chiffres

Les données collectées et anonymisées proviennent de l’enquête d’Acerta sur la cybersécurité menée auprès de cabinets d’experts-comptables en Belgique. L’enquête a eu lieu en janvier 2024. 566 experts- comptables (ou cabinets) ont participé, dont 77 % d’administrateurs et 23 % de collaborateurs. Étant donné que les répondants sont issus de cabinets de tailles différentes dans chacune des 11 provinces belges, nous pouvons dire que les réponses sont représentatives de la réalité actuelle en Belgique.