Mis à jour le 29 mars 2026

IT et cybersécurité pour les experts-comptables : au-delà de la conformité

Les cabinets d’expertise comptable gèrent les données financières les plus sensibles de leurs clients : bilans, déclarations fiscales, bulletins de paie, relevés bancaires. En 2025, l’Ordre des Experts-Comptables a recensé une augmentation de 67 % des cyberattaques ciblant la profession en trois ans. La conformité réglementaire ne suffit plus : il faut une véritable stratégie de cybersécurité pour protéger le cabinet et ses clients.

Sommaire

Les menaces qui pèsent sur les cabinets comptables

Un cabinet d’expertise comptable est une cible de choix pour les cybercriminels. Il concentre en un seul endroit les données financières de dizaines, voire de centaines d’entreprises. Compromettre un seul cabinet, c’est potentiellement accéder aux informations bancaires, fiscales et sociales de tout son portefeuille client.

Les attaques les plus fréquentes

Le phishing reste le vecteur d’attaque numéro un. Les emails frauduleux imitent parfaitement les communications de l’administration fiscale, des banques ou des organismes sociaux. Pendant les périodes de déclarations fiscales, ces tentatives se multiplient.

  • Fraude au président : un email prétendument envoyé par le dirigeant d’un client demandant un virement urgent
  • Ransomware : chiffrement de l’ensemble des fichiers comptables, paralysant le cabinet en pleine période fiscale
  • Usurpation d’identité : un attaquant se fait passer pour le cabinet auprès de ses clients
  • Interception de données : des échanges de fichiers non sécurisés interceptés par un tiers
  • Compromission de logiciel : exploitation d’une faille dans un logiciel comptable non mis à jour
67 %d’augmentation des cyberattaques sur la profession en 3 ans
250 k€coût moyen d’une cyberattaque pour un cabinet
72 hdurée moyenne d’interruption après un ransomware

Une infrastructure IT adaptée au métier

L’infrastructure informatique d’un cabinet comptable doit répondre à des exigences de performance, de fiabilité et de sécurité supérieures à la moyenne. Les périodes fiscales génèrent des pics d’activité où toute panne peut avoir des conséquences financières directes.

Serveur et stockage

La question du serveur local versus cloud se pose avec acuité pour les cabinets comptables. Le volume de données est souvent conséquent : dossiers permanents, archives légales sur 10 ans, fichiers d’écritures comptables (FEC), documents numérisés.

Une solution hybride est souvent la plus adaptée : un serveur local pour les applications métier exigeantes en performances (logiciel comptable, production de bilans), combiné à une réplication cloud pour la sauvegarde et l’accès distant sécurisé.

Postes de travail et ergonomie

Les collaborateurs d’un cabinet comptable passent en moyenne 8 heures par jour sur écran. L’ergonomie des postes de travail n’est pas un luxe mais un facteur de productivité et de santé. Des écrans doubles, des postes performants capables de faire tourner simultanément le logiciel comptable, le tableur et le portail de télédéclaration sont indispensables.

Point clé : Les logiciels comptables comme Sage, Cegid, ACD ou Agiris sont particulièrement gourmands en ressources. Un poste sous-dimensionné ralentit chaque collaborateur de 15 à 30 minutes par jour, soit plus de 100 heures perdues par an et par personne.

Sécuriser les échanges avec les clients

L’échange de documents entre le cabinet et ses clients est un maillon critique de la chaîne de sécurité. Trop de cabinets échangent encore des documents sensibles par email non chiffré, exposant les données à une interception.

Les solutions d’échange sécurisé

Plusieurs approches permettent de sécuriser ces échanges sans complexifier la relation client :

  • Portail client sécurisé : un espace en ligne où chaque client dépose et récupère ses documents via une connexion HTTPS avec authentification forte
  • Transfert de fichiers chiffré : des solutions comme LockTransfer ou Cryptshare permettent d’envoyer des fichiers volumineux de manière sécurisée
  • Messagerie chiffrée : le chiffrement de bout en bout des emails contenant des pièces jointes sensibles
  • Signature électronique : pour les lettres de mission, mandats et documents contractuels

La gestion des accès clients

Chaque client doit disposer d’accès individuels avec des droits limités à son propre dossier. L’authentification à deux facteurs (2FA) est fortement recommandée, en particulier pour les clients qui accèdent à des données bancaires ou fiscales.

La révocation des accès lors de la fin d’une mission est une procédure souvent négligée mais essentielle. Un audit régulier des comptes actifs permet de s’assurer qu’aucun accès obsolète ne subsiste.

Conformité et normes professionnelles

L’expert-comptable est soumis à un cadre réglementaire dense qui impacte directement sa gestion informatique. Le code de déontologie impose le secret professionnel, le RGPD encadre le traitement des données personnelles, et les normes professionnelles de l’Ordre fixent des exigences de conservation et de traçabilité.

Les obligations spécifiques

  • Conservation des dossiers : 10 ans minimum pour les dossiers de travail, avec intégrité garantie
  • FEC (Fichier des Ecritures Comptables) : format normalisé à produire en cas de contrôle fiscal
  • Piste d’audit fiable : traçabilité des modifications dans les écritures comptables
  • Secret professionnel : obligation de moyens techniques pour garantir la confidentialité
  • RGPD : registre des traitements, analyse d’impact, DPO si nécessaire

L’audit informatique comme outil de conformité

Un audit informatique annuel permet de vérifier la conformité du cabinet et d’identifier les vulnérabilités avant qu’elles ne soient exploitées. Cet audit doit couvrir l’infrastructure réseau, les postes de travail, les logiciels, les procédures de sauvegarde et les pratiques des collaborateurs.

Le rapport d’audit constitue également un élément de preuve en cas de contrôle ou de sinistre, démontrant que le cabinet a mis en oeuvre les mesures de sécurité raisonnables attendues d’un professionnel du chiffre.

Plan de continuité d’activité

Un cabinet comptable ne peut pas se permettre un arrêt prolongé, surtout pendant les périodes critiques de clôture ou de déclarations fiscales. Le plan de continuité d’activité (PCA) définit les procédures à suivre pour maintenir l’activité en cas de sinistre majeur.

Les scénarios à anticiper

Le PCA doit couvrir plusieurs scénarios : panne du serveur principal, cyberattaque avec chiffrement des données, destruction des locaux (incendie, dégât des eaux), indisponibilité de la connexion internet. Pour chaque scénario, une procédure de reprise doit être documentée et testée.

La sauvegarde externalisée est la pierre angulaire du PCA. Elle doit être quotidienne, chiffrée, et stockée dans un datacenter géographiquement distant. Un test de restauration trimestriel vérifie que les sauvegardes sont exploitables et que le temps de reprise est acceptable.

Le télétravail, désormais courant dans la profession, doit être intégré au PCA comme solution de repli. Un VPN sécurisé et des postes portables préconfigurés permettent aux collaborateurs de reprendre leur activité depuis leur domicile en cas d’indisponibilité des locaux.

Questions fréquentes
3 questions
Oui, en tant que responsable de traitement au sens du RGPD, vous restez responsable même si les données sont hébergées par un tiers. Vous devez vérifier que votre éditeur SaaS offre des garanties suffisantes (certifications, chiffrement, localisation des données, clauses contractuelles). Vous restez également responsable de la sécurité des accès côté cabinet (mots de passe, 2FA, gestion des départs).
Pour un cabinet de 10 collaborateurs, le budget IT annuel se situe généralement entre 20 000 et 40 000 euros, incluant le renouvellement matériel progressif, les licences logicielles, la maintenance, la sécurité et les sauvegardes. Ce budget représente environ 2 à 4 % du chiffre d’affaires du cabinet, un investissement largement compensé par les gains de productivité et la réduction des risques.
La sensibilisation la plus efficace combine des sessions courtes (30 minutes par trimestre) avec des exercices pratiques comme des simulations de phishing. Les résultats montrent une réduction de 70 % des clics sur les emails frauduleux après trois campagnes de simulation. L’idéal est de programmer ces sessions en dehors des périodes fiscales pour maximiser la disponibilité des équipes.

Besoin d’accompagnement ?

Odyssix accompagne les cabinets d’expertise comptable dans la sécurisation de leur infrastructure IT. Audit de sécurité, mise en conformité RGPD, plan de continuité : nous comprenons les enjeux spécifiques de votre profession.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter