Cybersécurité pour les cabinets comptables et de conseil : protégez vos clients contre le phishing

Pourquoi les cabinets sont des cibles prioritaires

Un cabinet comptable ou de conseil gère les données financières de dizaines, parfois de centaines de clients. Bilans, liasses fiscales, déclarations de TVA, coordonnées bancaires, relevés de comptes, fiches de paie — tout transite par les boîtes email et les portails collaboratifs du cabinet. Pour un attaquant, compromettre un seul compte dans un cabinet, c’est obtenir un accès direct aux données de l’ensemble de ses clients.

Ce mécanisme porte un nom : l’attaque supply chain. Au lieu d’attaquer une entreprise cible directement, l’attaquant passe par un intermédiaire de confiance — le cabinet — et utilise cette position pour atteindre tous les clients en aval. Un cabinet comptable compromis devient un vecteur de propagation.

Des données à forte valeur sur un périmètre concentré

Un collaborateur de cabinet manipule chaque jour des informations que la plupart des entreprises protègent derrière plusieurs niveaux d’accès :

• Données bancaires : RIB, IBAN, relevés de comptes professionnels et personnels des dirigeants
• Données fiscales : liasses fiscales, déclarations de résultats, avis d’imposition
• Données sociales : bulletins de paie, déclarations sociales nominatives (DSN), attestations Pôle Emploi
• Documents contractuels : cessions de parts, pactes d’associés, contrats de prêt

Ces données sont réunies dans un même environnement de travail — souvent une combinaison de Microsoft 365 ou Google Workspace, d’un logiciel métier (Cegid, Sage, ACD) et d’échanges par email. La surface d’attaque est concentrée.

La saisonnalité joue en faveur des attaquants

Les périodes de forte activité du cabinet sont prévisibles : clôture annuelle en janvier-avril, déclarations de TVA mensuelles ou trimestrielles, campagne de déclaration des revenus en mai-juin, échéances URSSAF. Les attaquants le savent et programment leurs campagnes de phishing pendant ces pics. Un faux email de la DGFiP envoyé en pleine période de déclaration a beaucoup plus de chances d’être ouvert qu’en août.

La confiance comme arme

Quand un client reçoit un email de son cabinet comptable, il l’ouvre sans hésiter. Cette relation de confiance est exactement ce qu’exploite le BEC (Business Email Compromise) : un attaquant qui prend le contrôle de la boîte email d’un collaborateur du cabinet peut envoyer des demandes de virement, des faux RIB ou des liens piégés à tous les clients du cabinet. Les destinataires ne se méfient pas — l’email vient de leur comptable.

Les attaques qui visent votre secteur

Les campagnes de phishing qui ciblent les cabinets ne sont pas génériques. Elles reprennent les codes, les outils et le vocabulaire du métier. Voici les scénarios que nous observons le plus fréquemment.

Fraude au changement de RIB

Un email qui semble provenir d’un client demande au cabinet de modifier ses coordonnées bancaires pour les prochains virements. Le message est poli, professionnel, et arrive souvent en début de mois — quand les virements de salaires et de fournisseurs sont en préparation. Le nouveau RIB appartient aux attaquants. Ce scénario relève du spear-phishing : l’email est personnalisé avec le nom du client, le nom du collaborateur en charge du dossier, parfois une référence à un échange récent.

Faux emails de l’administration fiscale

Des emails imitant la DGFiP (impots.gouv.fr), l’URSSAF ou la Banque de France demandent de « régulariser une situation », de « confirmer une déclaration » ou de « télécharger un avis ». Le lien mène vers une page de connexion factice qui capture les identifiants. Ces campagnes s’intensifient mécaniquement pendant les périodes de déclaration (janvier-avril pour les bilans, mai-juin pour l’IR).

Faux portails de logiciels métier

Un email demande de « réinitialiser votre mot de passe Cegid » ou de « valider votre accès Sage ». La page de connexion est une copie conforme du portail réel. Une fois les identifiants capturés, l’attaquant accède au logiciel métier et à toutes les données clients qu’il contient. Le même schéma fonctionne avec SharePoint, OneDrive et les autres outils collaboratifs utilisés en cabinet.

Vol d’identifiants Microsoft 365 / Google Workspace

Les cabinets utilisent massivement Microsoft 365 ou Google Workspace pour l’email, le stockage de documents et la collaboration. Les campagnes de credential stuffing et les pages de connexion factices ciblent ces plateformes en priorité. Un compte Microsoft 365 compromis donne accès à l’email, aux fichiers OneDrive, aux conversations Teams et aux sites SharePoint — soit l’ensemble du périmètre numérique du collaborateur.

Fraude au président adaptée aux cabinets

La fraude au président (BEC) prend une forme spécifique dans les cabinets : un email qui semble provenir de l’expert-comptable associé ou du managing partner demande à un collaborateur de transmettre un document confidentiel, de procéder à un virement ou de partager des identifiants. L’email invoque l’urgence et la confidentialité pour court-circuiter les procédures de vérification.

Pièce jointe piégée d’un « nouveau client »

Un email de prospection contient un document présenté comme un bilan prévisionnel, un business plan ou une demande de mission. Le fichier (souvent un PDF ou un fichier Excel avec macros) contient un malware qui s’exécute à l’ouverture. Ce scénario exploite un réflexe naturel des cabinets : ouvrir les documents des prospects pour évaluer la mission.

Ce que disent les chiffres

Les données que nous collectons confirment ce que les rapports sectoriels décrivent à l’échelle nationale.

Notre analyse interne : nous avons analysé les domaines email de 5 295 cabinets et entreprises de conseil. 56 % ont un score de sécurité email de C ou pire. Cela signifie que la majorité de ces cabinets présentent des lacunes dans la configuration de leurs enregistrements SPF, DKIM et DMARC — les trois protocoles qui protègent contre l’usurpation d’identité par email. Un cabinet dont le DMARC n’est pas configuré en mode « reject » permet à n’importe qui d’envoyer des emails en se faisant passer pour le cabinet. Vous pouvez tester la configuration de votre domaine gratuitement.

Le phishing reste le vecteur d’attaque n°1. Le baromètre 2024 du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) indique que le phishing est le premier mode d’entrée des cyberattaques, cité par 60 % des entreprises ayant subi un incident. Pour les cabinets comptables, ce chiffre est probablement sous-estimé : les PME du secteur ne disposent généralement pas des outils de détection qui permettent d’identifier l’origine exacte d’une compromission.

Les services professionnels sont ciblés. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) relève dans ses rapports annuels que les prestataires de services — cabinets comptables, avocats, bureaux de conseil — sont ciblés en tant que vecteurs d’accès vers leurs clients. La logique est celle de l’attaque supply chain : compromettre un intermédiaire de confiance pour atteindre plusieurs cibles à moindre effort.

Le coût d’une compromission dépasse largement la rançon. Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d’une violation de données dans le secteur des services professionnels s’élève à 4,47 millions de dollars au niveau mondial. Pour un cabinet français de taille moyenne, les conséquences se déclinent en notification CNIL (obligatoire sous 72 heures), perte de clients, procédures disciplinaires devant l’Ordre, et atteinte durable à la réputation.

Vos obligations réglementaires

Les cabinets comptables et de conseil opèrent sous un double régime d’obligations : le droit commun de la protection des données (RGPD) et les règles déontologiques propres à la profession.

RGPD : obligations du sous-traitant et du responsable de traitement

Un cabinet comptable agit comme sous-traitant au sens du RGPD quand il traite les données personnelles des salariés ou des clients de son client. Il peut aussi être responsable de traitement pour ses propres fichiers clients.

Dans les deux cas, le RGPD impose :

• Des mesures techniques et organisationnelles appropriées (article 32) pour garantir la sécurité des données personnelles traitées. La sensibilisation des collaborateurs au phishing entre dans cette catégorie.
• Une notification à la CNIL sous 72 heures (article 33) en cas de violation de données à caractère personnel. Un compte email compromis qui expose des données clients constitue une violation notifiable.
• Une notification aux personnes concernées (article 34) si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

Le défaut de sécurité peut entraîner des sanctions CNIL allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé. Pour une PME, la sanction sera proportionnée, mais la procédure elle-même (contrôle, mise en demeure, publicité de la décision) a un impact réputationnel direct.

Secret professionnel et déontologie

L’article 21 du Code de déontologie des experts-comptables impose une obligation de discrétion et de confidentialité sur les informations recueillies dans l’exercice des missions. Une compromission par phishing qui entraîne la fuite de données clients constitue un manquement à cette obligation.

Le Conseil supérieur de l’Ordre des experts-comptables publie régulièrement des recommandations sur la sécurité informatique des cabinets. La formation des collaborateurs à la détection du phishing fait partie des mesures préconisées. L’Ordre peut engager des procédures disciplinaires en cas de manquement grave à la confidentialité.

NIS2 : une applicabilité croissante

La directive NIS2, transposée en droit français, élargit le périmètre des entités soumises à des obligations de cybersécurité renforcées. Si votre cabinet n’est pas directement concerné, vos clients qui sont des entités « importantes » ou « critiques » au sens de NIS2 peuvent exiger de leurs prestataires (dont leur cabinet comptable) des garanties de sécurité. La conformité de votre cabinet devient un critère de sélection pour ces clients.

Des scénarios de simulation adaptés à votre métier

Les simulations de phishing génériques — faux colis DHL, fausse loterie — ne testent pas les vrais risques d’un cabinet comptable. Les collaborateurs repèrent ces emails grossiers, mais se font piéger par un faux email DGFiP arrivé en pleine période fiscale. C’est pourquoi nophi.sh propose des scénarios de simulation conçus pour le quotidien des cabinets.

Scénario 1 — Changement de RIB client

Un email usurpe l’identité d’un client réel du cabinet (nom, société, signature email) et demande la mise à jour de ses coordonnées bancaires avant le prochain règlement. Le message est envoyé un lundi matin, quand l’activité reprend. Ce scénario teste la capacité du collaborateur à vérifier par un autre canal (téléphone, face-à-face) avant de modifier un RIB.

Scénario 2 — Notification DGFiP / URSSAF

Un email imite une notification officielle de la Direction générale des finances publiques ou de l’URSSAF. Objet : « Incohérence détectée sur la déclaration n° XXXX — action requise sous 48h. » Le lien renvoie vers une page de connexion factice qui réplique le portail impots.gouv.fr. Ce scénario est déployé pendant les périodes de déclaration pour maximiser le réalisme.

Scénario 3 — Réinitialisation mot de passe Cegid / Sage

Un email signale une « tentative de connexion suspecte » sur le compte Cegid ou Sage du collaborateur et propose un lien de réinitialisation. La page de destination capture les identifiants. Ce scénario teste la vigilance face aux faux alertes de sécurité sur les outils métier.

Scénario 4 — Document d’un nouveau prospect

Un email de « prospection » contient une pièce jointe présentée comme un bilan prévisionnel ou une lettre de mission à examiner. Le fichier déclenche un signalement (dans un environnement de simulation, aucun malware réel n’est exécuté). Ce scénario mesure le réflexe d’ouverture de pièces jointes non sollicitées.

Scénario 5 — Demande confidentielle du managing partner

Un email interne semble provenir de l’associé principal. Il demande l’envoi « en urgence et en toute discrétion » d’un fichier client ou d’un relevé bancaire. Ce scénario reproduit la fraude au président et teste la capacité du collaborateur à résister à la pression hiérarchique et à vérifier la demande.

Scénario 6 — Partage SharePoint / OneDrive

Un email indique qu’un collaborateur a partagé un document via SharePoint ou OneDrive. Le bouton « Ouvrir le document » renvoie vers une fausse page de connexion Microsoft 365. Ce scénario est efficace car les notifications de partage SharePoint font partie du quotidien de la plupart des cabinets.

Chaque scénario est paramétrable : nom de l’expéditeur, contenu du message, période d’envoi, population ciblée (associés, collaborateurs, secrétariat). Les résultats sont mesurés par collaborateur et par campagne : taux de clic, taux de saisie d’identifiants, taux de signalement.

Protéger votre cabinet en 4 étapes

La mise en place d’une stratégie de protection contre le phishing ne nécessite pas un budget sécurité à six chiffres ni une équipe IT à temps plein. Voici un parcours en quatre étapes, conçu pour un cabinet de 20 à 300 collaborateurs.

Étape 1 — Auditer la sécurité email de votre domaine

Avant de former vos collaborateurs, vérifiez que votre infrastructure email ne facilite pas le travail des attaquants. Un domaine sans DMARC correctement configuré permet à n’importe qui d’envoyer des emails en se faisant passer pour votre cabinet.

Action : testez la configuration SPF, DKIM et DMARC de votre domaine en 30 secondes. Vous recevez un diagnostic et des recommandations concrètes. C’est gratuit et ne nécessite aucune installation.

Étape 2 — Lancer une première campagne de simulation

Envoyez une première vague de simulations de phishing à l’ensemble du cabinet, sans prévenir les collaborateurs. Cette campagne de référence (baseline) établit le taux de clic initial — le pourcentage de collaborateurs qui cliquent sur un lien ou ouvrent une pièce jointe piégée. Dans les cabinets que nous accompagnons, le taux de clic moyen de la première campagne se situe entre 25 % et 40 %.

Action : sélectionnez 2 à 3 scénarios parmi ceux décrits ci-dessus et lancez la campagne via la plateforme nophi.sh. Le déploiement prend 15 minutes.

Étape 3 — Former les collaborateurs qui se font piéger

Quand un collaborateur clique sur un lien de simulation, il reçoit immédiatement un micro-module de formation : 3 à 5 minutes, contextualisé par rapport au scénario qui l’a piégé. Pas une formation générique de 2 heures sur la cybersécurité — un module court qui explique les signaux d’alerte spécifiques à l’email sur lequel il a cliqué.

Cette approche de formation contextuelle a un taux de rétention supérieur aux formations classiques : le collaborateur vient de vivre l’expérience, le contenu pédagogique est ancré dans un moment concret.

Action : activez les micro-modules de formation dans la configuration de campagne. Les collaborateurs qui ne cliquent pas ne reçoivent rien — inutile de former ceux qui détectent déjà les menaces.

Étape 4 — Suivre les progrès et documenter pour le RGPD

Après chaque campagne, la plateforme génère des rapports : taux de clic par service, par scénario, évolution dans le temps. Ces rapports servent deux objectifs :

1. Piloter la progression : identifier les services ou les profils les plus exposés et adapter les scénarios
2. Documenter la conformité : le RGPD exige des mesures « appropriées » de sécurité. Un historique de campagnes de sensibilisation avec des résultats mesurables constitue une preuve tangible de votre démarche de protection des données

Action : programmez des campagnes mensuelles ou trimestrielles. Évitez les périodes de clôture fiscale (janvier-avril) pour ne pas perturber l’activité. Exportez les rapports pour votre documentation RGPD et pour les éventuelles demandes de vos clients soumis à NIS2.

---

Vos clients vous confient leurs données les plus sensibles. Vérifiez que votre cabinet est prêt à les protéger. Testez gratuitement la sécurité email de votre domaine, puis lancez votre première simulation de phishing en 15 minutes.