Le 30 juin,
les professions comptables se sont donné rendez-vous lors des Rendez-vous du
chiffre, à Paris, pour une journée de conférences et de rencontres sur le thème
de l'évolution de leurs métiers. L’une des tables rondes proposait ainsi de
découvrir une nouvelle facette des commissaires aux comptes, « en première
ligne » pour sensibiliser les entreprises au premier des risques auxquels
elles font face aujourd’hui : la cyberattaque.
Si la cybersécurité faisait peu
parler d’elle jusqu’à présent en-dehors des sphères spécialisées, depuis
quelques années, encore plus ces derniers mois, le sujet sort de l’ombre.
En effet, les politiques prennent
peu à peu conscience de l’impact d’un piratage, d’où la nécessité que
l’économie hexagonale soit davantage cyber-résiliente, « pour détecter
les attaques, les contrer quand elles arrivent, et être en capacité de repartir »,
souligne, en introduction de la table ronde, Nathalie Malicet. L’actualité
récente a d’ailleurs démontré nos lacunes en la matière, pointe cette
commissaire aux comptes originaire du sud de la France : durant la crise
sanitaire, « certains intérêts vitaux ont été attaqués », rappelle-t-elle,
en écho aux cyberattaques perpétrées contre un certain nombre d’hôpitaux.
« Les Français ont été heurtés de voir qu’alors que les soignants se
débattaient pour sauver des vies, des pirates se permettent d’attaquer des
systèmes d’information, empêchant les hôpitaux de réaliser leur mission. »
Les attaques ne sont pas l'apanage des grandes entreprises
Les hôpitaux
représentent ainsi à eux seuls plus de 10 % des cyber-attaques recensées
en France en 2020. Ils sont cependant loin d’être les seules structures
touchées. Nathalie Malicet prévient : le piratage peut être dirigé contre
tous types d’entreprises, quelle que soit leur taille, « sans
discrimination ». « Il faut bien comprendre que les attaques
ne sont pas réservées aux très grandes sociétés »,
martèle-t-elle.
Mais
globalement, pour l’heure, le risque cyber est trop souvent sous-estimé.
Nathalie Malicet évoque un de ses clients à la tête d’une entreprise de
menuiserie-charpente. Le dirigeant, qui a démarré son activité avec un seul
apprenti, embauche désormais une cinquantaine de salariés, et la société s’est
lancée dans des processus semi-industriels, avec des machines à commandes
semi-numériques, connectées sous le système d'exploitation XP. « Ce
chef d’entreprise ne comprenait pas où était le danger. Pourtant, le risque
était assez simple : quelqu’un pouvait s’introduire dans le système et
bloquer les machines, stoppant la production. Imaginez une entreprise qui
travaille pour les plus grands châteaux du Médoc, qui, soudain, ne peut plus
fournir de charpente dans les délais, et se voit infliger des
pénalités ! »
Les
dirigeants ont également tendance à sous-évaluer les dégâts de l’attaque quand
celle-ci se produit, remarque Nathalie Malicet. Elle prend l’exemple classique
d’un cryptolocker (logiciel rançonneur) : un salarié reçoit un mail
avec une pièce contaminée, dont l’ouverture déclenche un malware (logiciel
malveillant), tout le système d’information de l’entreprise est alors
instantanément crypté, pendant qu’une boîte de dialogue s’ouvre et réclame une
rançon. « Le problème, c’est que des entreprises se disent “même
pas mal, je remonte une sauvegarde et c’est terminé, je ne paierai pas de
rançon”. Mais ce n’est pas toujours aussi simple. Les sauvegardes, parfois,
sont elles-mêmes contaminées, ou ne vont servir à rien, car l’entreprise n’aura
pas traité le mal. C’est comme si elle mettait un pansement sur une plaie sans
l’avoir nettoyée : elle va s’infecter et se propager dans l'ensemble du
système. »
Président du
cabinet de conseil Zalis, expert en stratégie d’entreprise, Daniel Cohen ajoute
qu’une cyberattaque a environ l’impact d’un incendie sur une entreprise. Mais à
la différence d’un incendie, ces attaques sont amenées à survenir de plus en
plus fréquemment. Selon lui, elles vont même « prendre une ampleur
inimaginable ». « Il y a tellement d’argent à gagner – des
centaines de milliers de milliards de dollars – que les pirates vont se jeter
dessus », augure-t-il. À n’en pas douter, le risque cyber est
donc en train de devenir le risque « le plus élevé » qui pèse
« sur toutes les entreprises ».
Daniel Cohen, Nathalie Malicet et Serge
Yablonsky
Petits
subterfuges mais gros dégâts
Derrière son
exubérante moustache, l’expert-comptable, commissaire aux comptes et auditeur
informatique certifié, Serge Yablonsky témoigne des dernières attaques dont il
a eu à connaître. Il cite le cas d’une ETI dans le domaine du vêtement :
du jour au lendemain, tout son système s’est vu crypté. Il aura fallu trois
semaines à cette société pour repartir depuis des sauvegardes. « In fine,
elle n’a pas payé la rançon, mais le business a été totalement arrêté. Trois
semaines, c’est énorme, surtout dans le secteur de l’habillement qui marche par
collections : les collections se décalent sur une année, cela entraîne un
effet domino, et les pertes d’exploitation sont considérables. La perte
s’est chiffrée en millions, alors que l’entreprise fait 70 millions
d’euros de chiffre d’affaires, et qu’elle n’est pas plus en vue qu’une autre. »
Le
commissaire aux comptes évoque ensuite le cas d’un petit groupe industriel
français. Montant de la perte, cette fois : 13 000 euros. Une somme modique car elle n’a pas
ébranlé la société, affirme Serge Yablonsky, mais importante compte tenu du
procédé employé, étant donné qu’il s’agissait de simples mails imités. « Si
on les regarde à la loupe, il n’y a qu’une lettre qui diffère. Les
pirates ont réussi à faire changer le RIB, la facture de 13 000 euros a été payée à la
mauvaise adresse. Et quand, quelques jours plus tard, le fournisseur est revenu
voir le groupe en s’étonnant de ne pas avoir été payé, c’est ainsi que le pot
aux roses a été découvert », rapporte Serge Yablonsky.
Nathalie Malicet opine : il
existe « tout un tas de subterfuges très simples », comme un
« I » majuscule qui remplace un « l » minuscule, etc.
« C’est ainsi que l’on peut tromper une personne qui pense correspondre
avec le bon interlocuteur, alors qu’elle correspond avec un pirate auquel elle
envoie des éléments en toute bonne foi. »
Des manipulations facilitées par
la profusion des données disponibles en ligne, « même celles qu’on
devrait cacher », estime Daniel Cohen. « On a eu affaire à un
réseau de cybercriminels qui récupérait les données via Infogreffe. Quand on a
accès aux statuts des entreprises, on voit le dépôt du capital sur le compte en
banque. Le réseau a donc facilement repéré que cette entreprise versait
500 000 à un million d’euros sur son
compte à chaque clôture. Il a ensuite suffi d’un mail à la banque avec
l’en-tête de la société, le numéro de compte, la signature copiée/collée de
celle apposée en bas des assemblées générales publiques. » Et
hop, le tour était joué.
Les CAC « en
première ligne pour sensibiliser »
Pour endiguer le phénomène, les
CAC, acteurs inattendus de la cybersécurité, sont appelés à se mobiliser. C’est
ainsi que le 10 juin dernier, un rapport d'information remis au Sénat
soulignait leur rôle majeur. Une surprise pour le grand public peut-être, mais
pour Daniel Cohen, il s’agit plutôt d’une assertion qui tombe sous le sens. « Il
y a trois professions toujours en contact avec l’entreprise : les
banquiers, les comptables et les commissaires aux comptes. Les CAC ont pour
mission de gérer et de mesurer le risque des entreprises. Ils sont par
conséquent en première ligne pour sensibiliser les entreprises à ce risque. »
Un point de vue largement partagé
par Nathalie Malicet : « Dans nos normes professionnelles, nous
avons l’obligation de réfléchir à la continuité d’une exploitation. Nous devons
nous projeter dans les 12 prochains mois et nous poser la question de
savoir si l’entreprise cliente sera toujours en vie ou non. » Au cœur
de l’analyse des risques et de la pérennité des entreprises, la profession est
donc « à la croisée des chemins », considère-t-elle. « Qui
a la confiance des dirigeants ? Qui a l’obligation de prendre connaissance
des systèmes d’information ? Qui sait calculer un préjudice ? Nous
savons faire tout cela, nous sommes donc totalement légitimes, assure
Nathalie Malicet. D’autant que par rapport à un consultant externe, on ne
vend rien d’autre que nos honoraires. On n’est pas là pour lui vendre un
pare-feu, un antivirus, un logiciel ; mais pour attirer sa vigilance,
montrer le risque et dire : “mettez-vous en ordre de bataille pour
vous défendre”. »
Bien qu’ils soient naturellement
en pole position pour remplir ce rôle, tous les commissaires aux comptes n’en
sont pas pour autant conscients, et n’orientent donc pas leur pratique dans
cette direction. « Alors que notre démarche repose sur l'analyse des
risques, on occulte trop souvent le premier des périls qui affecte les
entreprises », regrette Nathalie Malicet, qui estime que la profession
n’a pas encore intégré la notion de cyberattaque.
De l’avis de Daniel Cohen, il
faut pourtant que les CAC se saisissent absolument de cette mission :
« Des techniques, des parades pour se relever d’une attaque, il en
existe, mais si les entreprises ne sont pas sensibilisées en amont, cela ne
sert à rien. » La prévention mise en œuvre ne saurait rester entre les
mains du chef d’entreprise : elle doit ensuite se déployer dans toutes les
strates de la société, note l’expert, car « si un salarié connecte une
clef USB extérieure qui contient un logiciel d’attaque, il peut mettre à zéro
tout le système ».
Cette vigilance et cette
pédagogie autour d’un sujet étranger au cœur de métier traditionnel peut
toutefois rebuter plus d’un CAC. Rien de compliqué, rassure cependant Nathalie
Malicet : « vous pouvez formuler des recommandations simples qui
relèvent de notre niveau à tous : faire des sauvegardes, des mises à jour,
des formations… Il faut aussi tout bonnement penser à demander aux entreprises
si elles sont assurées sur les pertes liées aux cyberattaques. Aujourd’hui,
très peu le sont. Dès que cela requiert des compétences plus technologiques, alors
vous passez le relais aux spécialistes », précise la commissaire aux
comptes.
Elle-même reconnaît avoir
seulement des connaissances « de base » : loin d’être « une
spécialiste de l’IT » (information technology, ou technologies
de l’information), elle revendique seulement une « appétence
particulière ». « Mais si jamais vous n’avez pas la fibre,
demandez à vos collaborateurs ! Ils s’intéressent peut-être à autre chose
qu’au débit et au crédit, et seront contents de se passionner pour les systèmes
d’information, alors allez-y ! », enjoint-elle à son
auditoire.
D’autant que tout le monde a à y
gagner, glisse Serge Yablonsky. Le commissaire aux comptes, qui observe
attentivement ce qui se passe outre-Atlantique, constate que le Canada a
toujours été en avance en matière d’audit informatique. « Les CPA (comptables
professionnels agréés) en cabinet sont, au prorata de la population, cinq
fois plus nombreux que nous. » S’ils n’ont pas le monopole de la
comptabilité, ces derniers réalisent pas moins de 40 % de leur chiffre
d’affaires dans le domaine de l’informatique. En résumé, une voie à explorer
non seulement pour rendre service à ses clients… mais aussi pour augmenter son
chiffre d’affaires.
CyberAUDIT, un outil au service de l’évaluation du
risque
Pour doter
la profession d’un outil adapté, la Compagnie nationale des commissaires aux
comptes a développé, début 2019, la plateforme CyberAUDIT. À l’époque
vice-présidente de la commission Innovation à la CNCC (dont elle est
aujourd’hui la présidente), Nathalie Malicet a participé à sa création. Elle
explique qu’il s’agit d’un questionnaire d’environ 70 questions, rangées
sous sept thèmes, et « sans mots techniques », promet-elle à
ses pairs, puisqu’il a été fait « par des CAC pour des CAC, afin de
s’adresser à la gouvernance » (chef d’entreprise, responsable
informatique, responsable financier…). Objectif : mesurer l’exposition de
l’entreprise au risque cyber – sachant que selon son secteur d’activité, une
structure peut être naturellement davantage exposée, à l’instar d’un
laboratoire participant au développement d’un vaccin contre la Covid.
L’exposition est aussi liée à l’organisation interne. Une entreprise qui a
équipé tous ses collaborateurs de tablettes directement connectées sur le
serveur de l’entreprise sera elle aussi plus facilement exposée : il
s’agit « d’autant de fenêtres ouvertes sur le système ».
L’outil
permet de mesurer également la maturité, soit la prise de conscience du risque
et la mise en place de process pour limiter l’exposition ou être en capacité de
détecter/repousser des attaques. « La maturité, par exemple, ce sont
les sauvegardes. Les questions consistent donc à demander si l’entreprise
réalise des sauvegardes, et si elle en fait souvent. »
L’algorithme
croise ensuite l'exposition et la maturité pour sortir un diagramme. « La
zone rouge, c’est bien sûr d’être très exposé et peu mature. C’est aller à 13h
au soleil sans crème solaire : le risque de coup de soleil arrive dans les
10 minutes. Alors que si vous attendez 16h30 pour aller sur la plage,
que vous prenez un parasol et un indice 50, vous limitez l’exposition solaire.
Ici, c’est la même chose », illustre Nathalie Malicet.
À partir de
ce constat, le CAC va réfléchir aux différents scénarios possibles. Faux ordres
de virements internationaux, fraudes au président, phishing (hameçonnage),
crypto-hacking… « Plusieurs types d’attaques sont passés en revue, et
on se demande avec le client si ces attaques ont des “chances” de se
produire dans l’entreprise. Par exemple, pour le dirigeant qui ne paie jamais
rien par virement, le risque du faux RIB est réduit. En revanche, celui qui a
pris l’habitude de tout payer par virement et n’a pas sensibilisé sa/son
comptable s’expose à de plus grands risques. »
En fonction des hypothèses, le
commissaire aux comptes chiffre ensuite les différents postes de préjudices et
présente les conclusions financières au dirigeant, en le prévenant que si tel
scénario se déroule chez lui, les montants financiers seront de tels enjeux, et
la situation sera à tel niveau de criticité. En effet, l’attaque peut être
supportable quand l’entreprise peut soutenir ces conséquences financières,
c’est-à-dire dès lors qu’elle ne vient pas pomper sa trésorerie au-delà de la
moitié de son solde moyen annuel. « En revanche, on considère qu’une
attaque a des conséquences mortifères dès lors qu’elle représente 100 % de
la trésorerie et de la capacité à créer de la richesse sur une année,
précise Nathalie Malicet. Quand vous présentez ce rapport à vos clients,
vous remplissez donc votre mission de vigie, de sentinelle, face à ce risque
pour l’entreprise. »
Les cordonniers les plus mal chaussés ?
Mais les
commissaires aux comptes peuvent s’avérer des pompiers pyromanes –
involontaires, cependant. Nathalie Malicet indique que dans le cas d’attaques
ciblées (donc le contraire des attaques aveugles, qui touchent n’importe qui),
la stratégie du pirate peut consister à attaquer la plus petite entreprise pour
remonter la supply chain, en utilisant la relation privilégiée entre un
fournisseur et son client, par exemple. « C’est ainsi qu’il est
possible d’attaquer le cabinet d’un CAC pour remonter à ses clients »,
alerte-t-elle. « On a déjà vu de telles attaques, par exemple sous la
forme de demandes adressées pour obtenir des grands livres ou des données
financières, afin de récupérer des données de factures appartenant à nos
clients, pour faire de fausses relances et obtenir des paiements. Parfois, vous
vous êtes rendus coupables à l’insu de votre plein gré d’attaques par rebond
chez certains de vos clients », lance-t-elle à ses collègues dans
l’assistance.
Des propos
confirmés par Daniel Cohen. L’expert en stratégie raconte que le mois dernier,
un de ses clients, commissaire aux comptes, a vu son système « mis en
carafe » durant tout un mois – sans fuite in fine. « J’étais
surpris : c’était la dernière profession que je pensais pouvoir être
attaquée. Vous devez normalement être outillés, puisque vous détenez les
données de toutes les entreprises », rappelle-t-il.
Nathalie
Malicet ajoute que l’activité est d’autant plus propice aux attaques que
beaucoup de choses se font à distance, surtout depuis 15 mois : « Dans nos cabinets, on a
renvoyé nos collaborateurs chez eux, on a modifié nos manières d’échanger les
informations. Quand on a eu besoin de renseignements pendant le confinement, on
a échangé par mails, parfois sans faire attention. » Sur ce point,
Daniel Cohen s’inquiète : l’année 2020 et ses différents confinements avec le télétravail forcé représentent
« cinq années de gagnées » pour les cybercriminels :
« d’un seul coup, la digitalisation a été demandée à tout le monde,
alors que tout le monde n’était pas prêt, ni conscient des risques ».
Nathalie
Malicet invite donc ses pairs à se poser la question de la façon dont ils
échangent avec leurs clients. « Vous n’envoyez rien par mail, n’est-ce
pas ? Aucune pièce-jointe ; pas de bulletin de salaire, d’échanges de
contrats, de données financières ? Vous n’avez jamais envoyé de mot de
passe par mail non plus, on est bien d’accord ? » interroge-t-elle,
sur le ton de l’humour. La commissaire aux comptes prévient : un e-mail,
c’est comme une carte postale qui n’est pas sous enveloppe. « Quand
vous envoyez une carte postale à votre grand-mère avec écrit “Bisous de
l’Île de Ré”, vous savez que tout le monde va vous lire. Quand vous écrivez
un mail, c’est pareil. Vous pouvez facilement alimenter un pirate qui va
faire de l'ingénierie sociale et pourra attaquer votre client car il saura
beaucoup de choses sur lui grâce à vous. » De la même manière, beaucoup
de cabinets se sont trouvés récemment au centre d’attaques via SharePoint
(plateforme collaborative de Microsoft), et « arrosent » toutes leurs
relations professionnelles, informe Nathalie Malicet. Cette dernière en sait
quelque chose puisqu’elle a déjà reçu des messages de cabinets amis lui
demandant de récupérer un document dans un dossier SharePoint.
La
commissaire aux comptes recommande donc vivement de ne pas hésiter à prévenir
ses confrères lorsque l’on est témoin d’une telle attaque. Elle conseille
également à ses collègues de faire une déclaration de sinistre dès qu’ils
pensent faire l’objet d’un piratage, d’autant que les CAC sont assurés
automatiquement grâce à leur assurance obligatoire, qui comporte un volet
cyber. « L’avantage étant que vous allez bénéficier de l’assistance
immédiate de professionnels en forensic, c’est-à-dire en recherche et en
enquête sur vos réseaux, pour comprendre d’où vient l’attaque et quelle est son
ampleur. Ne vous privez surtout pas de cette aide », insiste Nathalie
Malicet.
Elle souligne
par ailleurs qu’une intrusion dans un système se fait souvent en toute
discrétion. Les pirates sont tranquillement installés et sortent peu à
peu des données. D’ailleurs, le délai moyen pour détecter une intrusion sur un
système d’information est de 190 jours. « Je suis pas sûre que beaucoup de cabinets ici se soient
équipés pour mesurer ce qui sort de leur système toutes les nuits »,
estime la commissaire aux comptes.
« Si
j’étais pirate, le maillon faible serait donc les cabinets d’expertise
comptable et les CAC, car on a le nez dans le guidon en permanence, des
collaborateurs avec fort turn over, des données éminemment stratégiques et
confidentielles sur nos clients, des systèmes d'information qui ne sont pas les
meilleurs du monde, détaille Nathalie Malicet, qui estime que les
commissaires aux compte deviendront bientôt des cibles privilégiées. Alors
protégeons-nous, montons en compétences, et profitons-en pour sensibiliser nos
clients. »
Bérengère
Margaritelli