ACTUALITÉ

Les commissaires aux comptes appelés à devenir des acteurs de la cybersécurité

Les commissaires aux comptes appelés à devenir des acteurs de la cybersécurité
Publié le 19/07/2021 à 11:54

Le 30 juin, les professions comptables se sont donné rendez-vous lors des Rendez-vous du chiffre, à Paris, pour une journée de conférences et de rencontres sur le thème de l'évolution de leurs métiers. L’une des tables rondes proposait ainsi de découvrir une nouvelle facette des commissaires aux comptes, « en première ligne » pour sensibiliser les entreprises au premier des risques auxquels elles font face aujourd’hui : la cyberattaque. 

 


Si la cybersécurité faisait peu parler d’elle jusqu’à présent en-dehors des sphères spécialisées, depuis quelques années, encore plus ces derniers mois, le sujet sort de l’ombre.

En effet, les politiques prennent peu à peu conscience de l’impact d’un piratage, d’où la nécessité que l’économie hexagonale soit davantage cyber-résiliente, « pour détecter les attaques, les contrer quand elles arrivent, et être en capacité de repartir », souligne, en introduction de la table ronde, Nathalie Malicet. L’actualité récente a d’ailleurs démontré nos lacunes en la matière, pointe cette commissaire aux comptes originaire du sud de la France : durant la crise sanitaire, « certains intérêts vitaux ont été attaqués », rappelle-t-elle, en écho aux cyberattaques perpétrées contre un certain nombre d’hôpitaux. « Les Français ont été heurtés de voir qu’alors que les soignants se débattaient pour sauver des vies, des pirates se permettent d’attaquer des systèmes d’information, empêchant les hôpitaux de réaliser leur mission. » 

 

 


Les attaques ne sont pas l'apanage des grandes entreprises

Les hôpitaux représentent ainsi à eux seuls plus de 10 % des cyber-attaques recensées en France en 2020. Ils sont cependant loin d’être les seules structures touchées. Nathalie Malicet prévient : le piratage peut être dirigé contre tous types d’entreprises, quelle que soit leur taille, « sans discrimination ». « Il faut bien comprendre que les attaques ne sont pas réservées aux très grandes sociétés », martèle-t-elle. 

Mais globalement, pour l’heure, le risque cyber est trop souvent sous-estimé. Nathalie Malicet évoque un de ses clients à la tête d’une entreprise de menuiserie-charpente. Le dirigeant, qui a démarré son activité avec un seul apprenti, embauche désormais une cinquantaine de salariés, et la société s’est lancée dans des processus semi-industriels, avec des machines à commandes semi-numériques, connectées sous le système d'exploitation XP. « Ce chef d’entreprise ne comprenait pas où était le danger. Pourtant, le risque était assez simple : quelqu’un pouvait s’introduire dans le système et bloquer les machines, stoppant la production. Imaginez une entreprise qui travaille pour les plus grands châteaux du Médoc, qui, soudain, ne peut plus fournir de charpente dans les délais, et se voit infliger des pénalités ! »

Les dirigeants ont également tendance à sous-évaluer les dégâts de l’attaque quand celle-ci se produit, remarque Nathalie Malicet. Elle prend l’exemple classique d’un cryptolocker (logiciel rançonneur) : un salarié reçoit un mail avec une pièce contaminée, dont l’ouverture déclenche un malware (logiciel malveillant), tout le système d’information de l’entreprise est alors instantanément crypté, pendant qu’une boîte de dialogue s’ouvre et réclame une rançon. « Le problème, c’est que des entreprises se disent “même pas mal, je remonte une sauvegarde et c’est terminé, je ne paierai pas de rançon”. Mais ce n’est pas toujours aussi simple. Les sauvegardes, parfois, sont elles-mêmes contaminées, ou ne vont servir à rien, car l’entreprise n’aura pas traité le mal. C’est comme si elle mettait un pansement sur une plaie sans l’avoir nettoyée : elle va s’infecter et se propager dans l'ensemble du système. » 

Président du cabinet de conseil Zalis, expert en stratégie d’entreprise, Daniel Cohen ajoute qu’une cyberattaque a environ l’impact d’un incendie sur une entreprise. Mais à la différence d’un incendie, ces attaques sont amenées à survenir de plus en plus fréquemment. Selon lui, elles vont même « prendre une ampleur inimaginable ». « Il y a tellement d’argent à gagner – des centaines de milliers de milliards de dollars – que les pirates vont se jeter dessus », augure-t-il. À n’en pas douter, le risque cyber est donc en train de devenir le risque « le plus élevé » qui pèse « sur toutes les entreprises ».

 



 


 Daniel Cohen, Nathalie Malicet et Serge Yablonsky




Petits subterfuges mais gros dégâts

Derrière son exubérante moustache, l’expert-comptable, commissaire aux comptes et auditeur informatique certifié, Serge Yablonsky témoigne des dernières attaques dont il a eu à connaître. Il cite le cas d’une ETI dans le domaine du vêtement : du jour au lendemain, tout son système s’est vu crypté. Il aura fallu trois semaines à cette société pour repartir depuis des sauvegardes. « In fine, elle n’a pas payé la rançon, mais le business a été totalement arrêté. Trois semaines, c’est énorme, surtout dans le secteur de l’habillement qui marche par collections : les collections se décalent sur une année, cela entraîne un effet domino, et les pertes d’exploitation sont considérables. La perte s’est chiffrée en millions, alors que l’entreprise fait 70 millions d’euros de chiffre d’affaires, et qu’elle n’est pas plus en vue qu’une autre. »

Le commissaire aux comptes évoque ensuite le cas d’un petit groupe industriel français. Montant de la perte, cette fois : 13 000 euros. Une somme modique car elle n’a pas ébranlé la société, affirme Serge Yablonsky, mais importante compte tenu du procédé employé, étant donné qu’il s’agissait de simples mails imités. « Si on les regarde à la loupe, il n’y a qu’une lettre qui diffère. Les pirates ont réussi à faire changer le RIB, la facture de 13 000 euros a été payée à la mauvaise adresse. Et quand, quelques jours plus tard, le fournisseur est revenu voir le groupe en s’étonnant de ne pas avoir été payé, c’est ainsi que le pot aux roses a été découvert », rapporte Serge Yablonsky.

Nathalie Malicet opine : il existe « tout un tas de subterfuges très simples », comme un « I » majuscule qui remplace un « l » minuscule, etc. « C’est ainsi que l’on peut tromper une personne qui pense correspondre avec le bon interlocuteur, alors qu’elle correspond avec un pirate auquel elle envoie des éléments en toute bonne foi. »

Des manipulations facilitées par la profusion des données disponibles en ligne, « même celles qu’on devrait cacher », estime Daniel Cohen. « On a eu affaire à un réseau de cybercriminels qui récupérait les données via Infogreffe. Quand on a accès aux statuts des entreprises, on voit le dépôt du capital sur le compte en banque. Le réseau a donc facilement repéré que cette entreprise versait 500 000 à un million d’euros sur son compte à chaque clôture. Il a ensuite suffi d’un mail à la banque avec l’en-tête de la société, le numéro de compte, la signature copiée/collée de celle apposée en bas des assemblées générales publiques. » Et hop, le tour était joué.

 

 

Les CAC « en première ligne pour sensibiliser »

Pour endiguer le phénomène, les CAC, acteurs inattendus de la cybersécurité, sont appelés à se mobiliser. C’est ainsi que le 10 juin dernier, un rapport d'information remis au Sénat soulignait leur rôle majeur. Une surprise pour le grand public peut-être, mais pour Daniel Cohen, il s’agit plutôt d’une assertion qui tombe sous le sens. « Il y a trois professions toujours en contact avec l’entreprise : les banquiers, les comptables et les commissaires aux comptes. Les CAC ont pour mission de gérer et de mesurer le risque des entreprises. Ils sont par conséquent en première ligne pour sensibiliser les entreprises à ce risque. » 

Un point de vue largement partagé par Nathalie Malicet : « Dans nos normes professionnelles, nous avons l’obligation de réfléchir à la continuité d’une exploitation. Nous devons nous projeter dans les 12 prochains mois et nous poser la question de savoir si l’entreprise cliente sera toujours en vie ou non. » Au cœur de l’analyse des risques et de la pérennité des entreprises, la profession est donc « à la croisée des chemins », considère-t-elle. « Qui a la confiance des dirigeants ? Qui a l’obligation de prendre connaissance des systèmes d’information ? Qui sait calculer un préjudice ? Nous savons faire tout cela, nous sommes donc totalement légitimes, assure Nathalie Malicet. D’autant que par rapport à un consultant externe, on ne vend rien d’autre que nos honoraires. On n’est pas là pour lui vendre un pare-feu, un antivirus, un logiciel ; mais pour attirer sa vigilance, montrer le risque et dire : “mettez-vous en ordre de bataille pour vous défendre”. » 

Bien qu’ils soient naturellement en pole position pour remplir ce rôle, tous les commissaires aux comptes n’en sont pas pour autant conscients, et n’orientent donc pas leur pratique dans cette direction. « Alors que notre démarche repose sur l'analyse des risques, on occulte trop souvent le premier des périls qui affecte les entreprises », regrette Nathalie Malicet, qui estime que la profession n’a pas encore intégré la notion de cyberattaque. 

De l’avis de Daniel Cohen, il faut pourtant que les CAC se saisissent absolument de cette mission : « Des techniques, des parades pour se relever d’une attaque, il en existe, mais si les entreprises ne sont pas sensibilisées en amont, cela ne sert à rien. » La prévention mise en œuvre ne saurait rester entre les mains du chef d’entreprise : elle doit ensuite se déployer dans toutes les strates de la société, note l’expert, car « si un salarié connecte une clef USB extérieure qui contient un logiciel d’attaque, il peut mettre à zéro tout le système ». 

Cette vigilance et cette pédagogie autour d’un sujet étranger au cœur de métier traditionnel peut toutefois rebuter plus d’un CAC. Rien de compliqué, rassure cependant Nathalie Malicet : « vous pouvez formuler des recommandations simples qui relèvent de notre niveau à tous : faire des sauvegardes, des mises à jour, des formations… Il faut aussi tout bonnement penser à demander aux entreprises si elles sont assurées sur les pertes liées aux cyberattaques. Aujourd’hui, très peu le sont. Dès que cela requiert des compétences plus technologiques, alors vous passez le relais aux spécialistes », précise la commissaire aux comptes.

Elle-même reconnaît avoir seulement des connaissances « de base » : loin d’être « une spécialiste de l’IT » (information technology, ou technologies de l’information), elle revendique seulement une « appétence particulière ». « Mais si jamais vous n’avez pas la fibre, demandez à vos collaborateurs ! Ils s’intéressent peut-être à autre chose qu’au débit et au crédit, et seront contents de se passionner pour les systèmes d’information, alors allez-y ! », enjoint-elle à son auditoire. 

D’autant que tout le monde a à y gagner, glisse Serge Yablonsky. Le commissaire aux comptes, qui observe attentivement ce qui se passe outre-Atlantique, constate que le Canada a toujours été en avance en matière d’audit informatique. « Les CPA (comptables professionnels agréés) en cabinet sont, au prorata de la population, cinq fois plus nombreux que nous. » S’ils n’ont pas le monopole de la comptabilité, ces derniers réalisent pas moins de 40 % de leur chiffre d’affaires dans le domaine de l’informatique. En résumé, une voie à explorer non seulement pour rendre service à ses clients… mais aussi pour augmenter son chiffre d’affaires. 

 

 

CyberAUDIT, un outil au service de l’évaluation du risque

Pour doter la profession d’un outil adapté, la Compagnie nationale des commissaires aux comptes a développé, début 2019, la plateforme CyberAUDIT. À l’époque vice-présidente de la commission Innovation à la CNCC (dont elle est aujourd’hui la présidente), Nathalie Malicet a participé à sa création. Elle explique qu’il s’agit d’un questionnaire d’environ 70 questions, rangées sous sept thèmes, et « sans mots techniques », promet-elle à ses pairs, puisqu’il a été fait « par des CAC pour des CAC, afin de s’adresser à la gouvernance » (chef d’entreprise, responsable informatique, responsable financier…). Objectif : mesurer l’exposition de l’entreprise au risque cyber – sachant que selon son secteur d’activité, une structure peut être naturellement davantage exposée, à l’instar d’un laboratoire participant au développement d’un vaccin contre la Covid. L’exposition est aussi liée à l’organisation interne. Une entreprise qui a équipé tous ses collaborateurs de tablettes directement connectées sur le serveur de l’entreprise sera elle aussi plus facilement exposée : il s’agit « d’autant de fenêtres ouvertes sur le système ». 

L’outil permet de mesurer également la maturité, soit la prise de conscience du risque et la mise en place de process pour limiter l’exposition ou être en capacité de détecter/repousser des attaques. « La maturité, par exemple, ce sont les sauvegardes. Les questions consistent donc à demander si l’entreprise réalise des sauvegardes, et si elle en fait souvent. » 

L’algorithme croise ensuite l'exposition et la maturité pour sortir un diagramme. « La zone rouge, c’est bien sûr d’être très exposé et peu mature. C’est aller à 13h au soleil sans crème solaire : le risque de coup de soleil arrive dans les 10 minutes. Alors que si vous attendez 16h30 pour aller sur la plage, que vous prenez un parasol et un indice 50, vous limitez l’exposition solaire. Ici, c’est la même chose », illustre Nathalie Malicet. 

À partir de ce constat, le CAC va réfléchir aux différents scénarios possibles. Faux ordres de virements internationaux, fraudes au président, phishing (hameçonnage), crypto-hacking… « Plusieurs types d’attaques sont passés en revue, et on se demande avec le client si ces attaques ont des “chances” de se produire dans l’entreprise. Par exemple, pour le dirigeant qui ne paie jamais rien par virement, le risque du faux RIB est réduit. En revanche, celui qui a pris l’habitude de tout payer par virement et n’a pas sensibilisé sa/son comptable s’expose à de plus grands risques. » 

En fonction des hypothèses, le commissaire aux comptes chiffre ensuite les différents postes de préjudices et présente les conclusions financières au dirigeant, en le prévenant que si tel scénario se déroule chez lui, les montants financiers seront de tels enjeux, et la situation sera à tel niveau de criticité. En effet, l’attaque peut être supportable quand l’entreprise peut soutenir ces conséquences financières, c’est-à-dire dès lors qu’elle ne vient pas pomper sa trésorerie au-delà de la moitié de son solde moyen annuel. « En revanche, on considère qu’une attaque a des conséquences mortifères dès lors qu’elle représente 100 % de la trésorerie et de la capacité à créer de la richesse sur une année, précise Nathalie Malicet. Quand vous présentez ce rapport à vos clients, vous remplissez donc votre mission de vigie, de sentinelle, face à ce risque pour l’entreprise. »



Les cordonniers les plus mal chaussés ?

Mais les commissaires aux comptes peuvent s’avérer des pompiers pyromanes – involontaires, cependant. Nathalie Malicet indique que dans le cas d’attaques ciblées (donc le contraire des attaques aveugles, qui touchent n’importe qui), la stratégie du pirate peut consister à attaquer la plus petite entreprise pour remonter la supply chain, en utilisant la relation privilégiée entre un fournisseur et son client, par exemple. « C’est ainsi qu’il est possible d’attaquer le cabinet d’un CAC pour remonter à ses clients », alerte-t-elle. « On a déjà vu de telles attaques, par exemple sous la forme de demandes adressées pour obtenir des grands livres ou des données financières, afin de récupérer des données de factures appartenant à nos clients, pour faire de fausses relances et obtenir des paiements. Parfois, vous vous êtes rendus coupables à l’insu de votre plein gré d’attaques par rebond chez certains de vos clients », lance-t-elle à ses collègues dans l’assistance. 

Des propos confirmés par Daniel Cohen. L’expert en stratégie raconte que le mois dernier, un de ses clients, commissaire aux comptes, a vu son système « mis en carafe » durant tout un mois – sans fuite in fine. « J’étais surpris : c’était la dernière profession que je pensais pouvoir être attaquée. Vous devez normalement être outillés, puisque vous détenez les données de toutes les entreprises », rappelle-t-il. 

Nathalie Malicet ajoute que l’activité est d’autant plus propice aux attaques que beaucoup de choses se font à distance, surtout depuis 15 mois : « Dans nos cabinets, on a renvoyé nos collaborateurs chez eux, on a modifié nos manières d’échanger les informations. Quand on a eu besoin de renseignements pendant le confinement, on a échangé par mails, parfois sans faire attention. » Sur ce point, Daniel Cohen s’inquiète : l’année 2020 et ses différents confinements avec le télétravail forcé représentent « cinq années de gagnées » pour les cybercriminels : « d’un seul coup, la digitalisation a été demandée à tout le monde, alors que tout le monde n’était pas prêt, ni conscient des risques ».  

Nathalie Malicet invite donc ses pairs à se poser la question de la façon dont ils échangent avec leurs clients. « Vous n’envoyez rien par mail, n’est-ce pas ? Aucune pièce-jointe ; pas de bulletin de salaire, d’échanges de contrats, de données financières ? Vous n’avez jamais envoyé de mot de passe par mail non plus, on est bien d’accord ? » interroge-t-elle, sur le ton de l’humour. La commissaire aux comptes prévient : un e-mail, c’est comme une carte postale qui n’est pas sous enveloppe. « Quand vous envoyez une carte postale à votre grand-mère avec écrit “Bisous de l’Île de Ré”, vous savez que tout le monde va vous lire. Quand vous écrivez un mail, c’est pareil. Vous pouvez facilement alimenter un pirate qui va faire de l'ingénierie sociale et pourra attaquer votre client car il saura beaucoup de choses sur lui grâce à vous. » De la même manière, beaucoup de cabinets se sont trouvés récemment au centre d’attaques via SharePoint (plateforme collaborative de Microsoft), et « arrosent » toutes leurs relations professionnelles, informe Nathalie Malicet. Cette dernière en sait quelque chose puisqu’elle a déjà reçu des messages de cabinets amis lui demandant de récupérer un document dans un dossier SharePoint. 

La commissaire aux comptes recommande donc vivement de ne pas hésiter à prévenir ses confrères lorsque l’on est témoin d’une telle attaque. Elle conseille également à ses collègues de faire une déclaration de sinistre dès qu’ils pensent faire l’objet d’un piratage, d’autant que les CAC sont assurés automatiquement grâce à leur assurance obligatoire, qui comporte un volet cyber. « L’avantage étant que vous allez bénéficier de l’assistance immédiate de professionnels en forensic, c’est-à-dire en recherche et en enquête sur vos réseaux, pour comprendre d’où vient l’attaque et quelle est son ampleur. Ne vous privez surtout pas de cette aide », insiste Nathalie Malicet. 

Elle souligne par ailleurs qu’une intrusion dans un système se fait souvent en toute discrétion. Les pirates sont tranquillement installés et sortent peu à peu des données. D’ailleurs, le délai moyen pour détecter une intrusion sur un système d’information est de 190 jours. « Je suis pas sûre que beaucoup de cabinets ici se soient équipés pour mesurer ce qui sort de leur système toutes les nuits », estime la commissaire aux comptes. 

« Si j’étais pirate, le maillon faible serait donc les cabinets d’expertise comptable et les CAC, car on a le nez dans le guidon en permanence, des collaborateurs avec fort turn over, des données éminemment stratégiques et confidentielles sur nos clients, des systèmes d'information qui ne sont pas les meilleurs du monde, détaille Nathalie Malicet, qui estime que les commissaires aux compte deviendront bientôt des cibles privilégiées. Alors protégeons-nous, montons en compétences, et profitons-en pour sensibiliser nos clients. »  

 

Bérengère Margaritelli

0 commentaire
Poster

Nos derniers articles