Cyberattaque : Comment un cabinet peut-il assurer la continuité d’activité ?

"Depuis la secousse provoquée par la cyberattaque subie par l’hébergeur Coaxis en fin d’année dernière, la profession a pris conscience du risque cyber. Nous recevons de nombreuses demandes de conseils sur ce sujet", observe Boris Sauvage, expert-comptable associé du cabinet Xtremum et vice-président du Cnoec (conseil national de l'Ordre des experts-comptables) en charge des études numériques.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Deux méthodologies permettent aux entreprises de résister à une cyberattaque : le plan de continuité d’activité (PCA) et le plan de reprise d’activité (PRA). L’Agence nationale de la sécurité des systèmes d’information (Anssi) et le Club des directeurs de sécurité des entreprises (CDSE) ont publié «Les clés d’une gestion opérationnelle et stratégique» pour aider les organisations à se préparer et partager des bonnes pratiques. Ce document explique, en dix-huit fiches, comment se préparer et comment réagir rapidement. En janvier 2024, l’Anssi a également lancé une collection de guides dédiés à la remédiation permettant l’éviction de l’attaquant, la reprise de contrôle du système d’information (SI) compromis et la reconstruction de ses services. 

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Selon l’Anssi, le PCA prend en compte l’indisponibilité de plusieurs ressources. Construit en complément, le PRA assure la remise en route des applications suivant les priorités.

Nathalie Malicet, expert-comptable et commissaire aux comptes associée du cabinet Anexis à Bordeaux (2 associées, dix collaborateurs), et par ailleurs membre du bureau national de la CNCC, présidente de la commission Prospectives et innovation, indique s’être inspirée du guide de l’Anssi pour mettre en place une organisation en cas d’attaque.

Pour elle, pas question de choisir entre continuité et reprise, "les deux notions sont connexes", glisse-t-elle. Tout l’art étant d’avoir anticipé la cyberattaque et d’avoir calé une stratégie. "Si le cabinet est frappé, je dois savoir à l’instant T quelle activité peut supporter un arrêt et quelle autre doit être poursuivie, sachant qu’un cabinet délivre plusieurs types de mission qui n’ont pas la même saisonnalité", avance-t-elle. Par exemple, poursuit-elle, "en matière sociale, une rupture d’activité s’avèrerait catastrophique en fin de mois compte tenu de l’établissement des bulletins de paie. En revanche, elle peut être envisageable entre le 15 et le 20 du mois. Le secrétariat juridique connaît un pic d’activité en mai, juin, juillet mais peut, le cas échéant, être stoppé ponctuellement le reste de l’année. Il est nécessaire de s’interroger sur ses métiers et de déterminer combien de temps il est possible de les arrêter, afin de se concentrer sur la continuité des autres". Et de faire vivre cette organisation en fonction des évolutions des outils et de l’activité du cabinet. L’objectif étant de mettre en place une organisation mixant les deux plans : un PCA pour les activités jugées prioritaires et un PRA pour les autres.

"Il n’existe pas une méthodologie parfaite", note néanmoins Boris Sauvage. Le niveau de continuité d’activité envisageable dépend de la cible attaquée, le cabinet lui-même ou un de ses fournisseurs (éditeur, hébergeur). "Le cabinet peut être attaqué sur les données qu’il héberge en interne ou via son hébergeur. Dans le premier cas l’ampleur des dégâts dépend du volume et de la nature des données hébergées et la continuité ou la reprise d’activité des plans et des mesures prévues par anticipation. Dans le second cas la continuité de l’activité dépend de la stratégie du prestataire", explique Boris Sauvage.

Pour cet expert, face aux risques, "les experts-comptables ne doivent pas stocker toutes leurs données au même endroit mais les répartir afin qu’une attaque ne puisse pas nuire à l’ensemble". Dans son cabinet, Boris Sauvage confie avoir mis en place une procédure simplifiée, également inspiré du guide de l’Anssi. "Notre cabinet dispose d’un ordinateur neuf, nous avons un document listant les prestataires à contacter et notre carnet d’adresse est sauvegardé dans l’outil de marketing automation que nous utilisons pour envoyer nos newsletters", résume-t-il. Un dispositif qu’il estime suffisant pour poursuivre une partie de l’activité.