Dans son numéro de septembre 2013 (n° 243), Economie & comptabilité (publication éditée par l’IFEC) publie un dossier spécial sur les nouvelles technologies.

L’article intitulé “Prévenir la cybercriminalité” est l’occasion de rappeler que la pérennité de l’entreprise est fortement compromise en cas de sinistre informatique majeur impliquant la compromission de ses données informatiques (faisant suite à une malveillance ou un incident fortuit). La cybercriminalité concerne toutes les entreprises et non plus seulement les grandes entreprises. Pourtant les entreprises sont souvent démunies face à de telles attaques. Les PME n’ont généralement pas les compétences en interne, ni conscience des risques (sur leur image, leurs données, celles de leurs partenaires commerciaux…) ; pourtant la criminalité informatique est une pratique ancienne qui est en pleine expansion.

Schéma du service Cyberprotect soutenu par l’ANSSI

Face à cette réalité, le commissaire aux comptes a un rôle important à jouer. Dans le cadre de la NEP 315 intitulée “Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives” le commissaire aux comptes prend connaissance du système d’information, évalue son contrôle interne et valide sa conformité avec la réglementation.

Ces travaux comprennent la validation des processus informatiques assurant l’intégrité des données :

• politique d’habilitations définissant les accès au système d’information (mise à jour des accès en fonction des mouvements du personnel, de l’évolution de chaque personne dans la hiérarchie, revue de la politique de définition des mots de passe…),
• analyse des journaux d’accès au système (tentatives d’accès frauduleux),
• politique de suivi des mises à jour des firmwares de l’infrastructure réseau (routeurs…) et des logiciels système (système d’exploitation, antivirus…) afin de maintenir un niveau élevé de sécurité et de limiter la vulnérabilité aux failles de sécurité,
• validation de l’origine des licences des logiciels et applications utilisés (les logiciels de provenance douteuse sont susceptibles de contenir des portes dérobées ou des codes malicieux)…
• prévention : tests d’intrusion,
• plan de continuation d’activité en cas d’incident,
• analyse de la police d’assurance (à noter : généralement, les polices d’assurance ne couvrent pas la reconstitution des données s’il s’avère que l’entreprise a été négligente en matière de politique de sauvegarde de données ou en matière de mise à jour de sécurité de ses systèmes informatiques).

Ces travaux sont réalisés par entretien avec le DSI ou un responsable qualifié ; le commissaire aux comptes n’a pas vocation à auditer lui-même les systèmes. Toutefois en cas de doute sérieux sur un processus informatique critique et de risque fort sur la pérennité de l’entreprise, le commissaire aux comptes peut se faire assister d’un expert indépendant (dans le cadre de la NEP 620. Intervention d’un expert).

Le respect de ces quelques principes élémentaires de sécurité informatique doit limiter les risques d’intrusion dans les systèmes informatiques des entreprises.

Les autorités européennes et françaises commencent à prendre conscience de l’ampleur du problème et du risque pour la compétitivité des entreprises. Au niveau européen, le Centre européen de lutte contre la cybercriminalité (Europol) a été créé en 2013 ; en France, c’est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui est chargée de coordonner la lutte contre ce fléau des temps modernes.

Découvrir tous les articles en rapport avec la fraude.

Expert-comptable, Commissaire aux comptes : Prévenir la cybercriminalité
Eco & Compta - Prévenir la cybercriminalité 09-2013.pdf

Expert-comptable, Commissaire aux comptes : Prévenir la cybercriminalité par Stéphane BELLANGER - Economie & Comptabilité n° 243 (septembre 2013)

Auteur:	Stéphane BELLANGER - Economie & Comptabilité n° 243 (septembre 2013)
Date:	mardi 7 janvier 2014

263 KiB
1997 téléchargements
Détails...

The following two tabs change content below.

• Bio
• Derniers articles

Benoît RIVIERE

Après seize années passées en cabinet d’expertise-comptable et de commissariat aux comptes (où j’ai exercé comme expert-comptable et chef de mission audit), j’ai pris le poste de directeur comptable d’un groupe de distribution automobile en novembre 2014. Au cours de ma carrière, j’ai acquis une expérience significative en audit et en exploitation des systèmes d’information (analyse de données, automatisation des tâches, programmation informatique) au service de la production des comptes annuels et consolidés. C’est cette expérience personnelle et ma passion pour l’informatique que je partage sur ce blog. Mon CV / Réalisations personnelles et projets informatiques / Ma collection / Me contacter

Derniers articles parBenoît RIVIERE (voir tous)

• Excel : collecter des données juridiques sur les entreprises avec l’API SIRENE – 1ère partie : base SIREN (entreprises) - lundi 15 avril 2024
• Obtenir les données financières de sociétés au format Excel - mardi 2 avril 2024
• Robotic Process Automation (RPA) et Python : piloter des applications web - dimanche 24 mars 2024
• Initiation à la programmation en Basic : nouveau compilateur FreeBASIC - lundi 18 mars 2024
• Retrogaming : (re)jouer aux jeux vidéo d’antan - lundi 11 mars 2024