La cybercriminalité continue à s’étendre : elle s’est attaquée à une entreprise française sur deux en 2024. Les experts-comptables ne sont pas épargnés. Pour l’instant, le niveau de cybersécurité entre rarement en compte quand on vend son cabinet. Mais les choses pourraient changer…
Les cabinets ne sont pas épargnés par la cybercriminalité
En décembre 2023, Coaxis, l’un des premiers hébergeurs français de données et de solutions métier pour les cabinets d’expertise-comptable, a été victime d’une cyberattaque, via un rançongiciel (ransomware) et l’utilisation de l’identifiant et du mot de passe d’un client. Les accès sont devenus indisponibles pour près de 1200 cabinets et leurs 350 000 entreprises. Malgré les efforts déployés, il faudra un mois pour que le service redevienne totalement opérationnel.
Laurent CHARRIER, associé.
Même si les données n’ont pas été détruites, cet exemple démontre à nouveau à quel point la cybersécurité constitue aujourd’hui un enjeu crucial. « Cette affaire a été un énorme signal d’alarme pour la profession », assure Laurent Charrier, associé de Viou & Gouron, le spécialiste français de la cession des cabinets d’Expertise comptable.
Les experts-comptables, des cibles de choix pour les hackers
Selon le baromètre du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique), une entreprise française sur deux a été l’objet d’au moins une cyberattaque en 2024, 60% utilisant le phishing, et la moitié reposant sur l’exploitation d’une faille logicielle.
« Les experts-comptables sont des cibles privilégiées pour les hackers, soit pour obtenir des informations clés qui pourraient être commercialisées auprès de tiers, soit pour récupérer des données permettant ensuite d’attaquer les clients du cabinet », préviennent les avocats du cabinet Haas Avocats₁. Selon l’Ordre des Experts-Comptables, plusieurs cabinets ont par exemple été victimes de « spoofing » qui consiste, pour un fraudeur, à se faire passer pour une administration publique (DGFiP, Urssaf, CCI, Greffe…) afin de soutirer des informations confidentielles, (RIB, informations personnelles).
Des risques multiples
« Face à la montée en puissance des cyberattaques, la sécurité des données est plus que jamais un impératif pour tous les cabinets d’Expertise comptable, c’est un enjeu de taille », souligne l’Ordre des Experts-Comptables, d’autant que six entreprises sur dix victimes de cyberattaques ne survivent pas ! De fait, les cabinets doivent à la fois anticiper les cyber-risques en interne et protéger les données de leurs clients. Car ces risques sont nombreux – et s’accumulent :
- La perturbation, voire l’arrêt des accès à un hébergeur de données et/ou d’applications : même une interruption de quelques jours a des répercussions sur les clients ;
- La destruction de données, qu’il faudra reconstituer ;
- La fuite de données confidentielles ;
- La mise en danger du secret professionnel ;
- Des pertes financières, directes (remise en état des systèmes et des applications, récupération des données…), et indirectes (mobilisation du personnel, honoraires d’experts, remises consenties aux clients …) ;
- Des atteintes à l’image et à la réputation du cabinet ;
Des risques juridiques, par exemple en cas de divulgation de données personnelles ou d’action en justice de la part de clients.
Autant de conséquences susceptibles de mettre en péril la pérennité du cabinet.
La cybersécurité, encore souvent négligée au moment de la cession
Pour autant, la cybersécurité n’est aujourd’hui pas ou peu abordée lors des opérations de cession ou de rapprochement. Les audits menés par les acquéreurs se concentrent essentiellement sur les risques sociaux (conformité des contrats de travail, risques Prud’hommes…), fiscaux, et sur l’activité métier des cabinets.
La valorisation du cabinet ne sera pas impactée, ou très peu, par le niveau de cybersécurité qui a été mis en place. Laurent Charrier explique : « Les contrats de vente ne prennent pas en compte les conséquences de cyberattaques qui pourraient survenir après la cession. Les risques sont considérés comme faibles, et n’entrent pas dans la garantie de passif ». Pour les cabinets dotés d’équipes dédiées aux systèmes d’information, l’audit se concentre généralement sur la faisabilité et les conditions de migration des applications et des données. Mais il doit également permettre d’identifier et de corriger les éventuels problèmes de sécurité. « La cybersécurité est donc traitée indirectement ».
La montée des périls et la digitalisation généralisée peuvent changer la donne. Car dans la perspective d’un achat, la pérennité et la bonne marche du cabinet racheté sont évidemment clés pour la réussite de l’investissement ! « Les acquéreurs veulent que tout fonctionne lors de la bascule d’un système à un autre ; savoir qu’un cabinet a, non seulement investi dans les bonnes technologies de l’information (dématérialisation, productivité, collaboration, portail clients…), mais a aussi porté une attention particulière à la cybersécurité rend la vente plus aisée », affirme le spécialiste des cessions, pour qui la cybersécurité peut « devenir un vrai sujet à moyen terme ».
Dans ce contexte, si disposer d’une cybersécurité « à l’état de l’art » ne va pas booster la valorisation, ses failles, si elles sont trop nombreuses, peuvent la faire baisser. Entre un cabinet sans politique de gestion des mots de passe d’accès, dont les PC sont équipés d’antivirus obsolètes, où les sauvegardes sont dans le tiroir du serveur, etc.,… et un autre, qui aura fait l’effort de se protéger correctement, un acquéreur fera vite la différence ! Et ne manquera pas de s’inquiéter des risques opérationnels, dont la probabilité de survenance sera beaucoup plus forte que la moyenne.
Comment anticiper ?
La cybercriminalité est devenue une menace concrète pour tous. Le Cloud n’est pas une garantie absolue. Il est indispensable d’anticiper, tant pour protéger la valeur du cabinet que les données du client.
Trois stratégies sont à privilégier pour garantir que les quatre prérequis de la sécurité soient respectés (disponibilité des applications, intégrité des données, confidentialité des informations et traçabilité des actions) :
- Sensibiliser les collaborateurs et les managers du cabinet. Elle est essentielle, surtout pour se protéger contre les tentatives de phishing, d’usurpation d’identités, et pour rappeler les bonnes pratiques.
- Auditer les vulnérabilités pour mettre en exergue les points faibles du cabinet et les manières de les corriger. Cet audit n’a pas besoin d’être approfondi, l’objectif est de prendre conscience des failles et de leurs conséquences.
- Investir dans des solutions de sécurité : des outils simples permettent d’améliorer considérablement le niveau de cybersécurité. De même que la mise en place de processus tels que l’obligation de changer régulièrement les mots de passe.
1 https://info.haas-avocats.com/droit-digital/cybersecurite-experts-comptables-cible-des-hackers
2 https://www.experts-comptables.fr/index.php/sic-emissions-evenements-presse/sic-webzine/cybersecurite-alerte-au-risque-de-spoofing
3 https://www.experts-comptables.fr/index.php/sic-emissions-evenements-presse/sic-webzine/la-cybersecurite-enjeu-de-taille-pour-l-expert
4 https://www.fiteco.com/actualites/bonnes-pratiques-cybersecurite-entreprise/
5 https://www.fiteco.com/wp-content/uploads/2025/02/Tous-responsables-face-aux-risques-cyber-FITECO.pdf
Vous vendez votre cabinet ?
