La mission du commissaire aux comptes en matière de diagnostic de « cybersécurité »

Fraude aux notes de frais, dématérialisez!

Les entreprises sont de plus en plus exposées aux risques en matière de cybersécurité. Ceux-ci ont été accentués par la crise sanitaire et économique actuelle. Les commissaires aux comptes jouent un rôle essentiel d’alerte et de recommandations par un regard extérieur dans la prévention des attaques que leurs clients peuvent subir.

LES PME DE PLUS EN PLUS CONFRONTÉES AUX RISQUES « CYBER »

Cybersécurité : Les PME sont entrées dans l’ère de la numérisation de gré ou de force. Et cette numérisation est souvent source de gain de temps et réelles opportunités. Mais l’utilisation de ces nouveaux outils s’accompagne de nouveaux risques. Les médias nous informent régulièrement d’attaques informatiques touchant des hôpitaux, des ministères ou des grandes sociétés.

Mais les PME sont également, de plus en plus souvent, directement ou indirectement, victimes de ces attaques. Ces attaques revêtent plusieurs formes : demandes de rançon, vol de données, atteinte à l’image, sabotage, fraude au président…

Ces actes malveillants pénalisent lourdement les entreprises, quelle que soit leur taille. Et ils ont des conséquences de façon plus ou moins durables, voire définitives. Les PME sont conscientes des risques cyber, mais ne sont pas toujours prêtes à investir dans de réels systèmes de protection. Les règles de base sont difficilement transmises et appliquées.

C’est à travers la manipulation des personnes que la plupart des piratages informatiques peuvent également débuter. La plus célèbre des techniques se nomme « la fraude au président » et consiste à manipuler les personnes habilitées à réaliser des transferts de fonds pour des raisons confidentielles.

Il est donc important d’améliorer le niveau de sécurité et de sensibiliser les collaborateurs à ce qui se nomme « l’ingénierie sociale » ou « social engineering ». La sensibilisation de l’ensemble des collaborateurs permet à chacun de détecter les tentatives d’escroquerie menant souvent au chiffrement complet du système d’information.

Se poser les « 12 questions cybersécurité pour les TPE/PME » figurant dans le guide élaboré par l’Agence nationale de la sécurité des systèmes d’information (Anssi), et pouvoir y répondre, sont une bonne prise de conscience pour un chef d’entreprise sur les protections à mettre en place dans sa société. Par exemple, en plus des questions « évidentes » a priori sur l’utilisation d’un antivirus et la régularité des sauvegardes : comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?  ; Avez-vous fait évaluer la couverture de votre police d’assurance au risque cyber ?

L’accompagnement des dirigeants de PME à la cybersécurité est en développement et devient une priorité pour les autorités.

LE COMMISSAIRE AUX COMPTES VIGIE EN MATIÈRE DE CYBERSÉCURITÉ

 

En juin 2021, un rapport du Sénat relatif à la cybersécurité des entreprises confirme le rôle primordial d’alerte en matière de lutte contre la cybercriminalité des experts-comptables et des commissaires aux comptes.

Pour les commissaires aux comptes, cette obligation professionnelle résulte de leurs normes d’exercice professionnel (NEP) :

– La norme d’exercice professionnel (NEP) 240 demande aux commissaires aux comptes d’être acteurs dans la détection de fraude interne et externe (obligation de moyen),

– La NEP 570 leur confie également un rôle d’alerte en cas de menace pour la continuité d’exploitation.

– Dans la mission d’audit légal des petites entreprises (ALPE) en application de la NEP 911, le rapport sur les risques financiers, comptable et de gestion peut contenir une appréciation des risques de cybersécurité.

La commissaire aux comptes prend connaissance des contrôles généraux informatiques mis en place par l’entité, notamment sur la stratégie et la planification des contrôles, la sécurité informatique déployée, l’exploitation du système d’information, la gestion des sauvegardes pour assurer le maintien permanent des activités. Pour cela, il peut se faire assister d’un expert en systèmes d’information si celui-ci est complexe.

Le commissaire aux comptes va donc toujours chercher à vérifier si des moyens ont été mis en place par l’entité pour garantir la confidentialité, l’intégrité et la disponibilité des données. Cette démarche d’analyse est nécessaire pour conforter la fiabilité et l’intégrité des données financières utilisées dans l’établissement des comptes annuels.

Les commissaires aux comptes sont de plus en plus, sensibilisés à la cybersécurité.

Des outils spécifiques existent pour aider les commissaires aux comptes dans leurs travaux, notamment sur le contrôle interne.

Il est utile de pouvoir évaluer le niveau d’exposition d’une entreprise aux différents risques : compromission des données, extorsion, fraude, interruption métier, compromission de services ou de produits. L’entreprise peut avoir une couverture plus ou moins importante sur ces risques, en fonction notamment de son activité.

Suivant le risque, par exemple de modification de données ou de compromission de données, les conséquences financières doivent être évaluées. Et selon le montant (et la trésorerie de l’entreprise), ces conséquences peuvent être considérées comme critiques et conduire l’entreprise à sa disparition. Après ce diagnostic, le commissaire aux comptes émet des recommandations suite à ses travaux, sur par exemple :

– La gestion des accès : politique de sécurité des mots de passe, compte utilisateur d’un salarié parti…

– La gestion de certains contrats…

Cet état des lieux permet souvent d’appuyer les demandes du responsable des systèmes d’information et de convaincre le chef d’entreprise de la nécessité de consacrer des moyens financiers, et humains, appropriés à la cybersécurité. De plus, au-delà des conséquences financières d’une attaque cyber, une récente étude américaine montre que ce type d’attaque a un impact sur l’image de l’entreprise auprès de tiers, clients et fournisseurs, mais également de ses banquiers et investisseurs. Le commissaire aux comptes, sans être un expert de l’informatique, est capable de mettre à profit sa méthodologie de travail afin d’aider le chef d’entreprise à limiter les impacts d’une potentielle cyberattaque et à anticiper les éventuels coûts induits par une attaque.

Source : La Vie nouvelle

Et pour en savoir +