Data Security

par | Juin 1, 2021

Pourquoi mettre l’expert-comptable ou le commissaire aux comptes au cœur de votre stratégie de sécurité informatique

 

Tout chef d’entreprise ou DAF (Directeur Administrateur et Financier) devrait être convaincu du caractère absolument stratégique de la sécurité informatique et de la protection des données de son entreprise, quel que soit son secteur d’activité. Derrière le risque informatique se cache un risque économique majeur. Pas un jour ne passe sans qu’on apprenne que telle société a été rançonnée par un logiciel malveillant, que telle autre s’est fait pirater, ou que telle autre encore a été victime d’une fraude au président. Les auteurs de ces méfaits se sont professionnalisés avec le temps et ils prospèrent sur la digitalisation croissante de l’économie et de la société. Ils s’attaquent sans distinction aux entreprises de toute taille, TPE, PME ou grands groupes, pour piller ou détruire leurs données de toute sorte : données comptables et bancaires de l’entreprise, données sur les process d’innovation, données personnelles d’utilisateurs ou de clients…

 

Un risque majeur à prendre en compte

Les dommages de telles attaques peuvent être considérables, d’une interruption temporaire d’activité jusqu’à des pertes financières mettant en péril l’existence même de l’entreprise. Sans compter les effets dévastateurs sur son image lorsque l’attaque est rendue publique. Et un risque juridique de non-conformité au règlement européen RGPD si l’attaque a mis en évidence que la sécurité des données n’était pas assurée.

Le rappel de ces quelques faits devrait encourager les entreprises à tout mettre en œuvre pour se protéger efficacement contre les cybermenaces. D’autant plus que les pirates n’entrent pas de manière anodine dans les systèmes d’information : ils ne font qu’exploiter des faiblesses, des failles qui leur facilitent l’accès aux données les plus sensibles. Pour le dire simplement, ils n’ont qu’à passer par la porte qu’on leur a entrouverte par méconnaissance des risques, par des défauts d’organisation, des communications non protégées ou des mises à jour informatiques non effectuées. Et leur incursion n’aura que plus d’impact si les systèmes de sauvegarde sont défaillants. Sans aller jusqu’à affirmer que toutes les attaques pourraient être évitées, car le risque zéro n’existe pas, il est possible de réduire drastiquement la menace, et surtout de savoir quelle attitude adopter si elle vient à se concrétiser. Mais pour cela, il faut s’y être préparé.

 

Concilier vision stratégique et approche technique

Face à un problème d’une telle ampleur, la question essentielle est la suivante : vers qui se tourner pour optimiser la sécurité de ses données ? Même si elles n’y pensent pas spontanément, les TPE et PME ont à leurs côtés un interlocuteur particulièrement adapté pour évoquer la question des risques informatiques : leur expert-comptable ou, pour les plus grandes entreprises, leur commissaire aux comptes. Le préalable est bien sûr qu’il soit lui-même sensibilisé à ces questions, mais plusieurs groupes, parmi lesquels Axylis, ont développé une expertise spécifique dans ce domaine. Partenaire naturel des performances de l’entreprise, l’expert-comptable ou le commissaire aux comptes a toute légitimité pour la conseiller en intégrant la sécurité des données dans une réflexion globale. Il est même à la meilleure place pour le faire en raison de sa parfaite connaissance des process, qui sont une source principale de vulnérabilité, et des enjeux stratégiques de l’entreprise. Cela lui permet d’acquérir une bonne compréhension des risques de l’entreprise liés à son organisation et à son activité, et de réfléchir avec le chef d’entreprise aux solutions qui permettraient de réduire ces risques.

Le commissaire aux comptes ou l’expert-comptable n’a pas vocation, bien entendu, à se substituer à la compétence technique d’un service informatique, qu’il soit interne ou externe. Mais il peut sensibiliser les dirigeants à la nécessité de mettre en place des réponses adaptées. Il a la capacité à faciliter les échanges entre la technique et la direction, et ainsi à aider la direction à appréhender toutes les facettes de l’enjeu informatique afin de concilier efficacité et sécurité. Une approche trop technique aura toujours tendance à rebuter les non-spécialistes, à l’inverse d’une approche par les risques, beaucoup plus immédiatement compréhensible. En se positionnant à l’interface de la stratégie et de la technique, le commissaire aux comptes ou l’expert-comptable peut ainsi apporter une véritable valeur ajoutée dans la problématique de la protection des données.

 

Maximilien SALLES, expert-comptable & commissaire aux comptes associé – référent Data Security

m.salles@axylis.fr