Le commissaire aux comptes et la prévention de la cybercriminalité

Dans son numéro de septembre 2013 (n° 243), Economie & comptabilité (publication éditée par l’IFEC) publie un dossier spécial sur les nouvelles technologies.

L’article intitulé « Prévenir la cybercriminalité » est l’occasion de rappeler que la pérennité de l’entreprise est fortement compromise en cas de sinistre informatique majeur impliquant la compromission de ses données informatiques (faisant suite à une malveillance ou un incident fortuit). La cybercriminalité concerne toutes les entreprises et non plus seulement les grandes entreprises. Pourtant les entreprises sont souvent démunies face à de telles attaques. Les PME n’ont généralement pas les compétences en interne, ni conscience des risques (sur leur image, leurs données, celles de leurs partenaires commerciaux…) ; pourtant la criminalité informatique est une pratique ancienne qui est en pleine expansion.

Schéma du service Cyberprotect soutenu par l'ANSSI

Schéma du service Cyberprotect soutenu par l’ANSSI

Face à cette réalité, le commissaire aux comptes a un rôle important à jouer. Dans le cadre de la NEP 315 intitulée « Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives » le commissaire aux comptes prend connaissance du système d’information, évalue son contrôle interne et valide sa conformité avec la réglementation.

Ces travaux comprennent la validation des processus informatiques assurant l’intégrité des données :

  • politique d’habilitations définissant les accès au système d’information (mise à jour des accès en fonction des mouvements du personnel, de l’évolution de chaque personne dans la hiérarchie, revue de la politique de définition des mots de passe…),
  • analyse des journaux d’accès au système (tentatives d’accès frauduleux),
  • politique de suivi des mises à jour des firmwares de l’infrastructure réseau (routeurs…) et des logiciels système (système d’exploitation, antivirus…) afin de maintenir un niveau élevé de sécurité et de limiter la vulnérabilité aux failles de sécurité,
  • validation de l’origine des licences des logiciels et applications utilisés (les logiciels de provenance douteuse sont susceptibles de contenir des portes dérobées ou des codes malicieux)…
  • prévention : tests d’intrusion,
  • plan de continuation d’activité en cas d’incident,
  • analyse de la police d’assurance (à noter : généralement, les polices d’assurance ne couvrent pas la reconstitution des données s’il s’avère que l’entreprise a été négligente en matière de politique de sauvegarde de données ou en matière de mise à jour de sécurité de ses systèmes informatiques).

Ces travaux sont réalisés par entretien avec le DSI ou un responsable qualifié ; le commissaire aux comptes n’a pas vocation à auditer lui-même les systèmes. Toutefois en cas de doute sérieux sur un processus informatique critique et de risque fort sur la pérennité de l’entreprise, le commissaire aux comptes peut se faire assister d’un expert indépendant (dans le cadre de la NEP 620. Intervention d’un expert).

Le respect de ces quelques principes élémentaires de sécurité informatique doit limiter les risques d’intrusion dans les systèmes informatiques des entreprises.

Les autorités européennes et françaises commencent à prendre conscience de l’ampleur du problème et du risque pour la compétitivité des entreprises. Au niveau européen, le Centre européen de lutte contre la cybercriminalité (Europol) a été créé en 2013 ; en France, c’est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui est chargée de coordonner la lutte contre ce fléau des temps modernes.

Découvrir tous les articles en rapport avec la fraude.

Share Button
Expert-comptable, Commissaire aux comptes : Prévenir la cybercriminalité
Expert-comptable, Commissaire aux comptes : Prévenir la cybercriminalité
Eco & Compta - Prévenir la cybercriminalité 09-2013.pdf
262.7 KiB
803 téléchargements
Détails...
The following two tabs change content below.
Benoît RIVIERE
Après seize années passées en cabinet d’expertise-comptable et de commissariat aux comptes (où j’ai exercé comme expert-comptable et chef de mission audit), j’ai pris le poste de directeur comptable d’un groupe de distribution automobile en novembre 2014. Au cours de ma carrière, j’ai acquis une expérience significative en audit et en exploitation des systèmes d’information (analyse de données, automatisation des tâches, programmation informatique) au service de la production des comptes annuels et consolidés. C’est cette expérience personnelle et ma passion pour l’informatique que je partage sur ce blog. Mon CV / Réalisations personnelles et projets informatiques / Ma collection / Me contacter
Benoît RIVIERE

Derniers articles parBenoît RIVIERE (voir tous)

7 commentaires

  1. Pingback: Le commissaire aux comptes et la prévent...

  2. Pingback: Le commissaire aux comptes et la prévent...

  3. Pingback: Le commissaire aux comptes et la prévent...

  4. Pingback: Le commissaire aux comptes et la prévent...

  5. Pingback: Audit du système d'information: pr&eacut...

  6. Bonjour, le CAC peut-il donc se faire aider d’un expert en cybercriminalité en vertu du principe d’indépendance et de non immixtion ? Tant que celui-ci « n’implémente pas » la lutte contre la cybercriminalité en elle-même?
    Je m’intéresse à la valeur ajoutée que tirent les entreprise dans le cadre de la certification de leurs comptes et je me demande dans quelle mesure des offres telles que la cybercriminalité, le data analytics et l’audit it rentre dans ce périmètre en vertu du principe d’indépendance..

    L’audit IT est souvent réalisé dans ce cadre mais pour le reste c’est un peu flou…
    Merci par avance pour votre temps!

  7. Bonjour,
    Le CAC peut se faire aider d’experts indépendants (ceux-ci bénéficient des mêmes prérogatives) pour peu que la lettre de mission signée par le client le mentionne et que le cadre de leur mission s’inscrivent dans celle du CAC (répondre à la mission d’audit légal). L’intervention de ces experts ne doit pas se détourner de la mission du CAC, donc pas d’immixtion dans la gestion de l’entreprise, ni de prestations non DDL.
    Bien cordialement,
    Benoît RIVIERE

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *