Skip to content
Retour au blog
comptabilité secteur phishing PME

Cabinets comptables : pourquoi vous êtes une cible

Un cabinet comptable compromis expose les données de tous ses clients. Vecteurs d'attaque, obligations RGPD, alertes de l'Ordre et plan de protection.

Thomas Ferreira 16 min de lecture

Ce scénario, reconstitué à partir de cas réels, le 15 décembre 2023, un cabinet d’expertise comptable de Nouvelle-Aquitaine découvre que sa messagerie est compromise depuis trois semaines. Pendant cette période, un attaquant a intercepté les échanges avec les clients du cabinet, remplacé les RIB sur plusieurs factures sortantes, et redirigé des règlements vers des comptes bancaires qu’il contrôle. Préjudice estimé : 187 000 euros, répartis entre le cabinet et sept de ses clients.

Ce cabinet n’a pas été ciblé par hasard. Il a été ciblé précisément parce que c’est un cabinet comptable.

Les cabinets d’expertise comptable occupent une position singulière dans le tissu économique des PME françaises. Ils détiennent les données financières les plus sensibles de dizaines, parfois de centaines d’entreprises clientes. Bilans, liasses fiscales, déclarations sociales, coordonnées bancaires, bulletins de salaire, tableaux de trésorerie. Tout transite par le cabinet. Pour un cybercriminel, compromettre un seul cabinet revient à ouvrir un coffre-fort qui contient les clés de cinquante autres coffres.

Cet article analyse pourquoi les cabinets comptables figurent parmi les cibles les plus rentables pour les attaquants, quels vecteurs d’attaque ils utilisent, quelles obligations réglementaires pèsent sur la profession, et comment structurer une défense adaptée.

L’effet multiplicateur : une brèche, des dizaines de victimes

Le premier facteur qui fait d’un cabinet comptable une cible de choix, c’est la concentration de données.

Un cabinet d’expertise comptable de taille moyenne en France gère entre 50 et 300 dossiers clients. Pour chaque client, le cabinet détient :

  • Les coordonnées bancaires complètes : RIB, IBAN, comptes de domiciliation des salaires
  • Les liasses fiscales : bilan, compte de résultat, annexes, données patrimoniales pour les dirigeants
  • Les déclarations sociales : DPAE, DSN, données salariales nominatives, numéros de Sécurité sociale
  • Les justificatifs d’identité : copies de pièces d’identité des dirigeants, Kbis, mandats de gestion
  • La correspondance avec l’administration : échanges avec la DGFiP, l’URSSAF, les greffes de tribunaux de commerce

Cette masse de données crée ce que les spécialistes en sécurité appellent l’effet multiplicateur. Un attaquant qui compromet le compte email d’un collaborateur d’un cabinet comptable n’accède pas aux données d’une seule entreprise. Il accède aux données financières de tout le portefeuille.

Le ratio effort/gain est imbattable

Comparons deux scénarios du point de vue d’un attaquant. Scénario A : cibler une PME de 30 salariés via du spear phishing. Résultat : accès aux données financières d’une seule entreprise. Scénario B : cibler le cabinet comptable qui gère cette PME et 80 autres. Même effort. Résultat : accès aux données financières de 80 entreprises. Le rapport Verizon DBIR 2025 confirme que les attaquants ciblent de manière disproportionnée les organisations qui traitent les données de tiers.

La France compte environ 19 000 cabinets d’expertise comptable, employant plus de 150 000 salariés (source : Atlas de l’Ordre des Experts-Comptables, 2024). Pour les cabinets de taille intermédiaire (10 à 50 collaborateurs), le profil de risque est particulièrement élevé : assez gros pour gérer un portefeuille client conséquent, rarement équipés d’un responsable sécurité. C’est cette asymétrie entre la valeur des données détenues et le niveau de protection qui attire les attaquants.

Les vecteurs d’attaque qui ciblent les cabinets comptables

Les cybercriminels adaptent leurs techniques à chaque secteur. Pour les cabinets comptables, quatre vecteurs dominent.

1. Le faux document client

C’est l’attaque la plus fréquente. Un collaborateur reçoit un email d’apparence normale d’un client habituel : « Facture février - nouveau RIB » ou « Pièces complémentaires pour le bilan ». Le message contient un PDF infecté ou demande de mettre à jour des coordonnées bancaires.

L’attaque fonctionne parce qu’elle s’inscrit dans le flux de travail quotidien. Les collaborateurs reçoivent des dizaines de documents clients par jour. Un email de plus ne déclenche aucun signal d’alarme. Le CSOEC a publié des alertes spécifiques sur les arnaques au changement de RIB ciblant les cabinets en 2023 et 2024. La procédure anti-fraude au virement est un minimum à mettre en place.

2. L’usurpation de l’administration fiscale

Les périodes de déclaration fiscale (janvier-mai pour les déclarations de résultats, avril-juin pour les liasses fiscales) sont des périodes de stress pour les cabinets. Les collaborateurs jonglent entre des dizaines de dossiers, des échéances impératives, et des échanges constants avec la DGFiP.

Les attaquants le savent. Les campagnes d’usurpation de l’identité de l’administration fiscale se concentrent sur ces périodes. Les emails imitent les notifications d’impots.gouv.fr, de l’URSSAF ou de la DGFIP. Objet type : « Anomalie détectée sur la déclaration n°2065 - Action requise sous 48h ». Le lien renvoie vers une page de connexion factice qui capture les identifiants du portail fiscal du cabinet.

La compromission d’un accès au portail impots.gouv.fr d’un cabinet comptable est une mine d’or. L’attaquant accède aux déclarations fiscales de tous les clients du cabinet pour lesquels le cabinet dispose d’un mandat de télédéclaration.

3. Le faux portail logiciel comptable

Les cabinets comptables utilisent des logiciels métier spécialisés : Cegid, Sage, ACD, Agiris, Pennylane, Dext, Receipt Bank. Beaucoup de ces outils sont désormais en mode SaaS, accessibles via un navigateur web.

L’attaque consiste à envoyer un email imitant une notification du logiciel. « Votre session Cegid a expiré. Reconnectez-vous pour accéder à vos dossiers. » ou « Mise à jour de sécurité requise sur votre compte Sage. » Le lien mène à une page de connexion factice. L’attaquant récupère les identifiants et accède à l’ensemble des données client stockées dans le logiciel.

Ce vecteur est d’autant plus efficace que les collaborateurs comptables se connectent et se déconnectent de ces portails des dizaines de fois par jour. La demande de reconnexion ne surprend personne.

4. Les clés USB clients

Les clients (artisans, commerçants, TPE) apportent régulièrement des documents sur clé USB. Une clé infectée branchée sur le poste d’un collaborateur peut déployer un ransomware en quelques secondes. L’ANSSI (cyber.gouv.fr) identifie les supports amovibles comme un vecteur d’infection persistant dans les secteurs où l’échange physique de documents reste courant.

Incidents et alertes : ce que la profession a déjà subi

Les cyberattaques contre les cabinets comptables ne font pas la une. La profession préfère la discrétion. Mais les signaux sont nombreux.

Les alertes de l’Ordre des Experts-Comptables

Le CSOEC et les Conseils Régionaux de l’Ordre des Experts-Comptables (CROEC) publient régulièrement des alertes de sécurité à destination de leurs membres. Parmi les plus significatives :

  • 2022-2023 : série d’alertes sur les emails frauduleux imitant les notifications du portail de l’Ordre lui-même, demandant aux experts-comptables de « mettre à jour leurs données d’inscription ». Les pages de phishing reproduisaient à l’identique le portail de l’Ordre.
  • 2023 : alerte nationale sur les arnaques au changement de RIB ciblant spécifiquement les cabinets comptables, avec des emails usurpant l’identité de clients réels.
  • 2024 : communication du CSOEC sur la recrudescence des attaques de type BEC (Business Email Compromise) visant les cabinets pendant la période fiscale. L’Ordre a recommandé la mise en place d’une procédure de contre-appel systématique pour toute modification de coordonnées bancaires.

L’attaque contre Cegid et le risque supply chain

En avril 2023, Cegid, l’un des principaux éditeurs de logiciels comptables en France, a subi une perturbation de service signalée sur certains de ses services cloud. L’événement a rappelé à la profession que la supply chain attack constitue un risque systémique : quand votre outil de production est compromis, ce sont les données de tous vos clients qui sont en jeu.

En parallèle, Cybermalveillance.gouv.fr a signalé une vague massive d’emails frauduleux imitant la DGFiP entre mars et mai 2024, en pleine campagne de déclaration fiscale. Les cabinets comptables, qui gèrent des dizaines de mandats de télédéclaration, sont des victimes naturelles de ces campagnes.

Les ransomwares qui paralysent les cabinets

Plusieurs cabinets comptables français ont été victimes de ransomwares ces dernières années. Le schéma est toujours le même : un collaborateur clique sur un lien ou ouvre une pièce jointe piégée, le ransomware se déploie sur le réseau du cabinet, et tous les fichiers client sont chiffrés. Le cabinet se retrouve dans l’impossibilité de travailler, de produire les déclarations en cours, de répondre aux demandes de l’administration fiscale.

Pour un cabinet comptable, un ransomware en période de clôture ou de déclaration fiscale, c’est une situation de crise absolue. Les échéances fiscales n’attendent pas. Les pénalités de retard commencent à courir. Les clients paniquent. Le coût total dépasse de loin le montant de la rançon. Pour mesurer ce que coûte réellement ce type d’incident : Combien coûte vraiment une cyberattaque pour une PME de 50 personnes.

Les vulnérabilités spécifiques des cabinets comptables

Au-delà des vecteurs d’attaque génériques, les cabinets comptables présentent des vulnérabilités structurelles liées à leur mode de fonctionnement.

Le télétravail et l’accès distant aux dossiers clients

La profession comptable a massivement adopté le télétravail depuis 2020. Les collaborateurs accèdent aux dossiers clients depuis leur domicile, via VPN, bureau distant ou applications SaaS. Chaque poste de travail distant est un point d’entrée potentiel pour un attaquant.

Le problème est amplifié quand le collaborateur utilise un équipement personnel (BYOD) ou un réseau Wi-Fi domestique non sécurisé. L’attaquant qui compromet le poste personnel d’un collaborateur comptable accède, de fait, aux mêmes données que s’il avait pénétré dans les locaux du cabinet. La configuration de Microsoft 365 est un premier rempart à mettre en place, mais il ne suffit pas seul.

Les boîtes email partagées et les adresses génériques

Beaucoup de cabinets utilisent des adresses email génériques : contact@cabinet.fr, comptabilite@cabinet.fr, fiscal@cabinet.fr. Ces boîtes sont consultées par plusieurs collaborateurs, avec des mots de passe partagés et rarement du MFA. L’attaquant qui compromet cette boîte accède à l’ensemble des échanges clients et peut s’insérer dans les conversations en cours pour détourner des virements. L’adresse générique aggrave le problème : elle est prévisible, facile à usurper, et le destinataire ne peut pas vérifier l’identité réelle de l’expéditeur.

La gestion des mots de passe et le turnover

Les cabinets gèrent des accès à de multiples portails pour le compte de leurs clients : impots.gouv.fr, URSSAF, Net-Entreprises, portails bancaires. Les identifiants sont souvent stockés dans des fichiers Excel ou transmis par email. Cette gestion artisanale crée autant de failles qu’il y a de clients. Le problème est aggravé par le fort taux de rotation du personnel dans la profession : chaque départ de collaborateur dont les accès ne sont pas révoqués laisse une porte ouverte.

Les obligations réglementaires des cabinets comptables

Les cabinets comptables ne sont pas seulement exposés techniquement. Ils sont aussi tenus par un cadre réglementaire strict qui aggrave les conséquences d’une cyberattaque.

Le secret professionnel

L’article 21 de l’ordonnance du 19 septembre 1945 impose le secret professionnel aux experts-comptables. Une cyberattaque entraînant la divulgation de données client constitue une violation de ce secret. Même si le cabinet n’est pas responsable de l’attaque, la question de la diligence se pose : le cabinet avait-il mis en place les mesures de protection raisonnables ?

Le RGPD : le cabinet comme sous-traitant

Le cabinet comptable agit en tant que sous-traitant au sens du RGPD (article 28). Cette qualification impose de garantir la sécurité des données traitées (article 32), de notifier le client sans délai en cas de violation, de tenir un registre des traitements, et de formaliser un contrat de sous-traitance. En cas de cyberattaque, le cabinet doit notifier ses clients, qui notifient eux-mêmes la CNIL sous 72 heures. Le non-respect des délais entraîne des sanctions.

Le Code de déontologie et la responsabilité civile

Le Code de déontologie (décret du 30 mars 2012) impose au professionnel de « veiller, tout au long de sa mission, à la protection des intérêts de son client » (article 145). Le Conseil Supérieur interprète cette obligation comme incluant la protection des systèmes d’information. Un cabinet sans mesure de cybersécurité s’expose à des poursuites disciplinaires : les sanctions vont du blâme à la radiation.

Côté assurance, beaucoup de polices RCP traditionnelles excluent ou limitent la couverture des risques cyber. Les cabinets sans extension cyber spécifique risquent de se retrouver sans couverture au pire moment.

Checklist de protection pour les cabinets comptables

Voici les mesures prioritaires, classées par ordre d’impact.

Mesures immédiates (semaine 1)

  1. Activer le MFA sur toutes les boîtes email, y compris et surtout les boîtes partagées. C’est la mesure qui bloque le plus grand nombre d’attaques pour le moindre effort.
  2. Supprimer les adresses email génériques ou les convertir en adresses nominatives avec alias. Chaque collaborateur doit communiquer avec les clients depuis une adresse identifiable.
  3. Instaurer une procédure de contre-appel pour toute demande de modification de RIB ou de coordonnées bancaires. Le contre-appel se fait sur un numéro déjà connu, jamais sur celui fourni dans l’email.
  4. Révoquer les accès des anciens collaborateurs : comptes email, portails fiscaux, logiciels métier, VPN.

Mesures à court terme (mois 1)

  1. Déployer un gestionnaire de mots de passe pour centraliser et sécuriser les identifiants des portails clients. Fini les fichiers Excel avec les mots de passe.
  2. Configurer SPF, DKIM et DMARC sur votre nom de domaine pour empêcher l’usurpation de votre adresse email. C’est gratuit et cela protège à la fois le cabinet et ses clients. Vous pouvez tester votre configuration actuelle en 30 secondes.
  3. Mettre en place une politique de sauvegardes avec au moins une copie hors ligne ou hors réseau. En cas de ransomware, la sauvegarde est votre seule issue.
  4. Segmenter les accès : chaque collaborateur ne doit avoir accès qu’aux dossiers clients dont il a la charge.

Mesures à moyen terme (trimestre 1)

  1. Lancer un programme de sensibilisation avec des simulations de phishing régulières. Les scénarios doivent reproduire les attaques réelles que subissent les cabinets : faux emails DGFiP, faux RIB client, fausses notifications Cegid/Sage. On revient en détail sur ce point dans la section suivante.
  2. Formaliser un plan de réponse à incident : qui fait quoi si une attaque est détectée ? Qui prévient les clients ? Qui contacte la CNIL ? Qui porte plainte ?
  3. Revoir les contrats de sous-traitance RGPD avec vos clients pour vérifier qu’ils couvrent les obligations de notification en cas de violation.
  4. Interdire les clés USB non contrôlées ou mettre en place un sas de décontamination (poste isolé avec antivirus à jour pour scanner les supports clients avant usage).

Adapter la simulation de phishing au métier comptable

La sensibilisation générique - « ne cliquez pas sur les liens suspects » - a une efficacité limitée. Pour qu’un programme de formation change réellement les comportements, il doit parler le langage du métier.

Un collaborateur comptable repère facilement un faux email de livraison de colis. Ce n’est pas son quotidien. Mais face à un faux email DGFiP signalant une anomalie sur la déclaration 2065 d’un client ? Le réflexe de méfiance disparaît. Un programme de simulation de phishing pour un cabinet comptable doit utiliser des scénarios qui reproduisent les menaces réelles du métier.

Les scénarios de simulation adaptés aux cabinets

Scénario 1 : Le changement de RIB client. Un email semble provenir d’un client existant du cabinet. Il informe que le compte bancaire a changé et transmet un nouveau RIB. L’email reproduit le style des échanges habituels avec ce client. Le collaborateur qui met à jour le RIB sans vérification expose le cabinet à une fraude au virement.

Scénario 2 : La notification DGFiP. Un email imite les notifications d’impots.gouv.fr. Il signale une anomalie sur une déclaration et demande une connexion immédiate pour correction. Le lien mène à une page de connexion factice. Le collaborateur qui saisit ses identifiants perd l’accès au portail fiscal de tous les clients pour lesquels le cabinet dispose d’un mandat.

Scénario 3 : Le portail comptable expiré. Un email imite une notification de Cegid, Sage ou ACD signalant l’expiration de la session ou une mise à jour de sécurité obligatoire. Le collaborateur est invité à se reconnecter via un lien. La page factice capture les identifiants.

Scénario 4 : Le faux confrère ou URSSAF. Un email semble provenir d’un commissaire aux comptes demandant des pièces, ou de l’URSSAF signalant un rejet de DSN. Ces scénarios exploitent la confiance interprofessionnelle et la pression des échéances sociales.

Le calendrier de simulation calqué sur le calendrier fiscal

L’efficacité des simulations est maximale quand elles coïncident avec les pics de charge :

  • Janvier-février : scénarios de clôture des comptes
  • Mars-mai : scénarios DGFiP (liasses fiscales, déclarations de résultats)
  • Juin-juillet : scénarios URSSAF, DSN, régularisations
  • Septembre-décembre : scénarios de rentrée, nouveaux mandats, faux audits

Les micro-formations post-simulation

Quand un collaborateur clique sur un lien de simulation, il ne reçoit pas un reproche. Il reçoit une explication en 3 à 5 minutes : qu’est-ce qui rendait cet email suspect ? Quels indices auraient dû déclencher la vérification ? Quelle procédure appliquer la prochaine fois ?

Cette pédagogie par l’erreur est la plus efficace documentée en sciences comportementales. Le collaborateur apprend au moment où il est le plus réceptif : juste après avoir réalisé qu’il s’est fait piéger. Pour comprendre les mécanismes psychologiques en jeu : Psychologie du phishing : pourquoi les plus intelligents cliquent.

Le coût de l’inaction vs le coût de la prévention

Les chiffres parlent d’eux-mêmes.

Le coût d’un incident pour un cabinet de 20 collaborateurs : forensics et remédiation (15 000 - 40 000 euros), perte d’exploitation (30 000 - 80 000 euros selon la période), notification et gestion de crise (5 000 - 15 000 euros), perte de 10 à 20 % du portefeuille client dans les 12 mois, sanctions disciplinaires, amendes CNIL jusqu’à 4 % du CA. Total : 50 000 à 200 000 euros, sans compter la perte de clientèle.

Le coût d’un programme de prévention : plateforme de sensibilisation (2 000 - 5 000 euros/an), gestionnaire de mots de passe (500 - 1 500 euros/an), SPF/DKIM/DMARC (gratuit), MFA (inclus dans la plupart des suites). Total : 3 000 - 7 000 euros/an.

La prévention coûte 10 à 30 fois moins cher qu’un incident.

Par où commencer

Si vous dirigez un cabinet comptable et que cet article vous a fait réaliser que votre niveau de protection est insuffisant, voici la séquence à suivre.

Étape 1 : Mesurez votre exposition. Testez la sécurité email de votre domaine en 30 secondes. Le diagnostic vérifie SPF, DKIM et DMARC. Gratuit, immédiat, sans engagement.

Étape 2 : Activez le MFA partout. Le MFA bloque 99,9 % des attaques par compromission de compte (source : Microsoft). Si vous ne faites qu’une seule chose, faites celle-ci.

Étape 3 : Instaurez les procédures de vérification. Contre-appel pour tout changement de RIB, double validation pour tout virement au-dessus d’un seuil.

Étape 4 : Lancez votre première simulation de phishing. Les cabinets comptables affichent des taux de clic initiaux de 25 à 35 % (estimation marché). Après 6 mois de programme régulier, ce taux tombe sous les 5 %.

Les attaquants ciblent les cabinets comptables aujourd’hui. La question n’est pas de savoir si votre cabinet sera ciblé, mais quand.

Testez la sécurité email de votre cabinet gratuitement - diagnostic SPF, DKIM et DMARC en 30 secondes, sans engagement.

Votre cabinet gère les données les plus sensibles de vos clients. Protégez-les avec un programme de sensibilisation adapté aux professions réglementées.

Articles similaires

Phishing en entreprise : statistiques 2026, exemples et solutions

Le phishing reste le vecteur n°1 des cyberattaques. Statistiques 2026, types d'attaques, exemples réels en France et solutions pour protéger votre PME.

Arnaque au changement de RIB : anatomie d'une fraude

Arnaque au faux RIB fournisseur : comment les escrocs détournent vos paiements, cas réels en France, et protocole de vérification pour PME.

Assurance cyber : ce qui change pour les PME en 2026

Primes en hausse, refus de couverture, nouvelles exigences : ce qui change pour l'assurance cyber des PME en 2026 et comment réduire votre prime.