Un cabinet, basé à Lyon, accompagne plus de 400 TPE/PME depuis 15 ans. En 2024, lors de sa migration vers une plateforme SaaS comptable, l’équipe a découvert plusieurs failles de sécurité susceptibles d’exposer des données sensibles. Retour sur un projet de sécurisation mené tambour battant qui a permis d’éviter le pire : une fuite de données client.
1. Contexte et enjeux
- Effectif : 12 collaborateurs, 3 experts‑comptables associés.
- Enjeux : conformité RGPD, continuité d’activité, sécurisation de 1 To de documents fiscaux.
- Déclencheur : audit interne révélant des identifiants partagés et un accès VPN sans MFA.
« Nous gérions des dossiers ultra‑sensibles, mais notre posture cyber n’était pas au niveau » — Valérie Mercier, associée gérante.
2. Audit & plan d’action en 5 semaines
| Semaine | Action clé | Objectif |
| 1 | Audit technique (EDR, réseaux, cloud) | Cartographier les vulnérabilités |
| 2 | Mapping RGPD & analyse de risques EBIOS | Prioriser les données critiques |
| 3 | Déploiement MFA + rotation des mots de passe | Sécuriser les accès |
| 4 | Segmentation réseau + durcissement firewall | Limiter la propagation |
| 5 | Formation phishing + test de restauration | Préparer l’équipe & valider le PRA |
3. Solutions déployées
- MFA universel : activation sur logiciel comptable, messagerie, portail DGFiP.
- Segmentation réseau : VLAN « Production », « Sauvegarde », « Invité ».
- EDR géré (MSSP) : supervision 24/7 et containment automatisé.
- Sauvegarde immuable cloud + hors ligne avec test de restauration trimestriel.
- Programme de sensibilisation continue : micro‑learning mensuel + phishing simulé.
4. Incident évité : l’attaque de phishing ciblé (février 2025)
- Vecteur : e‑mail usurpant l’Urssaf exigeant une « reconnexion urgente ».
- Détection : l’utilisateur clique, l’EDR bloque la redirection, alerte le SOC.
- Réaction : compte immédiatement isolé, investigation ; aucune donnée exfiltrée.
- Temps d’indisponibilité : 17 minutes, aucun impact client.
5. Résultats mesurables
| KPI | Avant projet | 6 mois après |
| Accès sans MFA | 68 % | 0 % |
| Tentatives de phishing réussies | 3 / mois | 0 |
| Temps moyen de détection (TtD) | > 4 h | 9 min |
| Satisfaction client (NPS) | 41 | 56 |
| Prime cyber‑assurance | 2 800 €/an | 2 100 €/an (‑25 %) |
« La sérénité apportée par la supervision 24/7 n’a pas de prix » — Valérie Mercier.
6. Leçons à retenir pour les cabinets similaires
- Ne négligez pas les accès partagés : un identifiant unique = un risque unique.
- Testez vos sauvegardes… puis testez‑les encore !
- La formation est un projet continu, pas un séminaire annuel.
- Un MSSP spécialisé métier comprend vos workflows comptables et réagit plus vite qu’un prestataire généraliste.
En moins de deux mois, le cabinet Mercier est passé d’une exposition critique à un niveau de sécurité avancé, validé par un faux‑phishing bloqué. Leur histoire prouve qu’il n’est jamais trop tard pour renforcer sa cyberdéfense.