Les Commissaires aux comptes de Martinique et la cybercriminalité

Nathalie Malicet, présidente de la commission prospective et innovations de la compagnie nationale de la profession - Credit Photo Jean-Albert Coopmann
Alix Delmas

Le 27 octobre 2023 aura lieu la conférence des Commissaires aux comptes de Martinique sur le thème de la cybercriminalité. À cette occasion, interviendra Nathalie Maquet, présidente de la commission prospective et innovations de la compagnie nationale de la profession. Nous l’avons rencontrée au cours de l’été.

Texte Alix Delmas – Photo Jean-Albert Coopmann

Les pouvoirs publics ont fait des Commissaires aux comptes des acteurs de sensibilisation de premier plan.

Nathalie Maquet, présidente de la commission prospective et innovations de la compagnie nationale de la profession

En quoi les Commissaires aux comptes (CAC) sont-ils des acteurs de la cybersécurité des entreprises ?

Nathalie Maquet : Qu’il s’agisse d’une association, d’une entreprise ou maintenant d’une collectivité locale et territoriale, le CAC de l’entité a une très bonne connaissance des systèmes d’information. Cette vue d’ensemble lui permet de prendre de la hauteur sur l’organisation interne de l’entité et de voir comment fonctionnent plus spécifiquement les procédures qui permettent de construire les états financiers. La digitalisation de l’ensemble des process a fait naître un nouveau risque cyber. Depuis plus de 15 ans, je milite et appelle à la vigilance les chefs d’entreprise pour faire monter en compétences l’ensemble des acteurs face à ce risque. Je me félicite qu’on ose enfin en parler car être victime d’une cyberattaque, il n’y pas si longtemps était tu et perçu comme une honte.

Lire Aussi | Commissaire aux comptes : le sens du devoir 

L’entreprise serait attaquée car elle n’aurait pas fait ce qu’il fallait en amont ?

Exactement la victime se sent coupable d’avoir failli. Or je préfère inverser le discours. Ce n’est pas si un jour l’entreprise est attaquée, mais quand elle le sera. Car toutes l’ont été ou le seront. Et si l’une a déjà été attaquée, il y a une forte probabilité qu’elle le soit de nouveau.

Le CAC est en capacité d’évaluer les conséquences financières liées à une cyberattaque. Une entreprise privée d’activité connaîtra forcément des difficultés de trésorerie. Le CAC, en utilisant l’outil CyberAudit est capable de sensibiliser le chef d’entreprise sur cet aspect primordial. Attention, l’auditeur n’est pas un spécialiste de l’informatique ; son rôle n’est pas de préciser quel routeur ou antivirus utiliser, son rôle est d’alerter, sensibiliser et d’appeler à la vigilance. La démarche repose sur la mesure de l’exposition de l’entité au risque. Plus cette dernière est digitalisée, plus elle est exposée ; et en fonction de l’activité exercée, l’exposition peut être accrue, comme le fait de posséder des données critiques qui intéressent les pirates.

Face à ce phénomène d’exposition, il convient d’évaluer la maturité de l’entreprise, soit sa conscience d’être exposée et sa connaissance des bonnes pratiques à mettre en œuvre pour le réduire. Être en capacité de détecter une attaque, en limiter la progression, puis relancer son activité dans un mode le moins dégradé et le plus rapidement possible. C’est de la résilience. Les pouvoirs publics l’ont bien compris car ils ont fait des CAC, des acteurs de sensibilisation de premier plan avec un partenariat signé avec la direction centrale de la police judiciaire (police nationale). Un accord avec le commandement cyber de la gendarmerie nationale est en cours de finalisation.

Lire Aussi | Qu’est-ce qu’être commissaire aux comptes ?

Les risques de cyber attaque modifient-ils les méthodes de travail des CAC ?

L’avènement de la facture électronique, les market places comme Amazon pour vendre ses produits, les néo banques comme PayPal, tous ces changements font naitre des nouveaux risques et ont un impact sur la démarche d’audit. Le CAC doit monter en compétences grâce à la formation sur les nouveaux enjeux technologiques et numériques pour connaitre les contrôles de bon sens qu’il doit opérer.

Je fais un parallèle entre monde virtuel et monde réel : de même qu’on ne part pas de chez soi sans fermer à clé, il en va de même pour les armoires virtuelles sur les serveurs. Pour anticiper les conséquences d’une cyber-attaque, l’entreprise doit rédiger un plan de continuité d’activité (PCA) ou plan de reprise d’activité (PRA) si elle a cessé.

Depuis 18 mois, Bercy a considérablement renforcé l’ANSSI (Agence nationale pour la sécurité des systèmes d’information) car la cybercriminalité, ce sont des milliards d’euros détournés au profit de circuits criminels.

Quelles pistes de prospective pour les Commissaires aux comptes se dessinent selon vous ?

Les nouvelles technologies sont un atout, un avantage pour aller plus vite et plus loin, apporter encore plus de sécurité à l’ensemble de l’information financière comme extra financière. Je vois un CAC augmenté, un CAC 2.0, qui s’appuiera sur de l’Intelligence artificielle, le big data, le machine learning pour pouvoir proposer de l’audit en temps réel et répondre à des besoins d’analyse de notation. Les investisseurs sont de plus en plus sensibles à la sécurité et à la protection des données traitées par les entités. Ce sont des missions sur lesquelles le CAC peut porter son regard, et dont les investigations accomplies sur les mesures de cyber sécurité des entreprises permettent de rassurer les marchés. Le CAC est un acteur de la confiance, un tiers indépendant qui s’engage derrière sa signature.

Compagnie régionale des commissaires aux comptes de Fort-de-France
0596 64 02 26 
crcc-972@orange.fr