La majorité des attaques réussies contre les cabinets d’expertise comptable aurait pu être évitée avec quelques bonnes pratiques de base. Pourtant, la pression des délais fiscaux et le manque de temps consacrés à l’IT font que certaines failles demeurent ignorées. Voici les 7 erreurs les plus courantes — et surtout comment les corriger rapidement.
- 1 Erreur n°1 – Réutiliser les mêmes mots de passe
- 2 Erreur n°2 – Ne pas tester ses sauvegardes
- 3 Erreur n°3 – Absence de MFA sur les portails clients
- 4 Erreur n°4 – Logiciels métiers non mis à jour
- 5 Erreur n°5 – Formations ponctuelles plutôt que continues
- 6 Erreur n°6 – Manque de segmentation réseau
- 7 Erreur n°7 – Contrats fournisseurs sans clause sécurité
Erreur n°1 – Réutiliser les mêmes mots de passe
Risque : un mot de passe compromis sur un service ouvre l’accès à tous les autres (effet domino).
Solution : déployer un gestionnaire de mots de passe d’entreprise (LastPass Business, Bitwarden Teams) et imposer la MFA sur tous les comptes critiques.
Astuce bonus : activez la rotation automatique des mots de passe pour les coffres-forts partagés.
Erreur n°2 – Ne pas tester ses sauvegardes
Risque : découvrir le jour d’une attaque que la sauvegarde est corrompue ou incomplète.
Solution : plan de test trimestriel de restauration ; maintenir au moins une sauvegarde immuable hors ligne.
Astuce bonus : chronométrez chaque test pour estimer votre RTO (Recovery Time Objective).
Erreur n°3 – Absence de MFA sur les portails clients
Risque : vol d’identifiants = accès direct aux déclarations fiscales et sociales.
Solution : activer la MFA sur Sage, Cegid, MyUnisoft et portails DGFiP/Urssaf ; utiliser des clés FIDO2 pour les collaborateurs nomades.
Astuce bonus : offrir aux clients un tuto vidéo sur l’activation MFA — double bénéfice de confiance.
Erreur n°4 – Logiciels métiers non mis à jour
Risque : vulnérabilités exploitables à distance (ex. plugin d’export obsolète).
Solution : politique de patch management : veille mensuelle + application dans un bac à sable avant production.
Astuce bonus : abonnez‑vous aux flux RSS de sécurité des éditeurs pour recevoir les alertes directement.
Erreur n°5 – Formations ponctuelles plutôt que continues
Risque : l’effet d’oubli fait chuter la vigilance en 3‑4 semaines.
Solution : micro‑learning mensuel (vidéo 3 min), simulations de phishing trimestrielles avec tableau de bord.
Astuce bonus : gamifiez la sensibilisation ; récompensez les meilleurs scores.
Erreur n°6 – Manque de segmentation réseau
Risque : un poste infecté = propagation instantanée à tout le réseau.
Solution : VLAN séparés (production, invité, sauvegarde), firewall interne avec règles par rôle utilisateur.
Astuce bonus : coupez l’accès Internet direct pour les serveurs de sauvegarde.
Erreur n°7 – Contrats fournisseurs sans clause sécurité
Risque : responsabilité partagée floue en cas d’incident SaaS.
Solution : ajouter clauses : localisation des données, temps de restauration, notification d’incident < 24 h.
Astuce bonus : exigez le rapport de pentest annuel ou le certificat ISO 27001 du prestataire.
Éliminer ces sept erreurs, c’est fermer plus de 80 % des portes d’entrée utilisées par les attaquants. Fixez‑vous un plan d’action de 90 jours : corrigez une erreur par semaine et évaluez vos progrès avec des tests réguliers.