Les risques informatiques d’un site web du cabinet comptable

By 29 September 2012

La sécurité – Section 4 :

Dans un monde numérique, la sécurité des systèmes d’information est d’une importance vitale. Les organisations dépendent d’informations complètes, opportunes et fiables et le niveau de protection appliqué aux systèmes d’information doit prendre en compte les nombreuses menaces existantes. Cependant, les entreprises ne sont pas toujours pleinement conscientes de l’importance d’une sécurité effective et efficace et il existe un fossé entre ce qui doit être fait et ce qui a été fait pour protéger les systèmes.

Définition

La sécurité d’un système d’information peut être considérée comme 1’ensemble des moyens qui assurent, d’une part, que les informations qu’il contient, traite, transmet et reçoit ne sont accessibles qu’aux personnes autorisées et d’autre part que leur intégrité est assurée de façon permanente.

La sécurité ne se limite pas à la protection des équipements, elle concerne aussi la protection de l’information.
La compréhension de la nature des risques encourus, constitue une première étape pour la mise en place des sécurités nécessaires.

Sous section 1 : Les risques encourus

Le risque informatique est tout événement qui, affectant un système informatique, est susceptible d’entraîner des dommages et/ou des pertes à l’entreprise concernée. Ces événements peuvent être regroupés en trois grandes catégories selon que 1’origine principale est d’ordre technique, naturel ou humain.

Le cabinet d’expertise comptable qui ouvre aujourd’hui son système de communication, non seulement entre ses différents locaux mais aussi aux clients et aux partenaires via Internet, augmente sa vulnérabilité par rapport aux agressions externes.91 Il convient donc d’analyser les risques qui pèsent sur son système et de créer une politique de sécurité réaliste, qui protégera ses ressources des intrusions ou vols.92

Nous essayons dans ce qui suit de présenter ces risques et les moyens à mettre en œuvre pour minimiser leurs effets.

§ 1 : Les risques habituels des systèmes informatiques

Les risques informatiques sont nombreux et la figure suivante montre la fréquence de survenance de ces risques93 pour les systèmes informatiques dans le monde durant l’année 2001.

Figure : Risques informatiques durant 2001
Risques informatiques durant 2001

Par ailleurs, lorsqu’il s’agit d’un site Web les risques sont plus nombreux. En effet, l’expert comptable qui envisage réaliser un site Web qu’il soit dynamique ou statique doit être conscient de certains autres risques :
– En dehors des aspects de pure technique informatique, liés à la mise en place et à la maintenance du site, l’expert comptable doit avoir conscience que, ce faisant, il se borne à élargir l’activité du cabinet comptable le déplaçant avec ses risques habituels sur un nouveau terrain d’action. Simple vitrine virtuelle ou activité effective sur le Net, il doit mesurer avec rigueur la réalité des risques juridiques encourus lors de l’installation d’un site, de ses enrichissements et de son mode de vie. Internet a beau être un espace de commercialisation virtuel, ce n’est pas un espace sans droits ni obligations. En principe, l’auteur d’un site Web est responsable de son contenu et différentes décisions judiciaires sont là pour rappeler qu’une vigilance juridique s’impose.
– Certains cas de responsabilité sont plus typiques au Net et peuvent déboucher sur une condamnation à de lourds dommages et intérêts : la concurrence déloyale et le délit de contrefaçon, par exemple reproduire un logo, une marque ou autre création intellectuelle sans l’autorisation du propriétaire. A cet égard, il convient d’être très attentif aux droits d’autrui lors de la création de liens hypertextes qui, d’un simple clic sur un mot, permettent un accès direct aux sites d’autres entreprises ou organismes. Ces liens peuvent être source de litiges coûteux. Par prudence, il y a lieu de s’assurer de l’accord du propriétaire, sachant que certains sites exposent d’eux-mêmes les conditions d’utilisation de leur contenu.

§ 2 : Les agressions logiques

Les risques logiques atteignent les caractéristiques suivantes de l’information :

La Confidentialité

Un des risques induit par la communication d’informations par messagerie électronique sur Internet est l’interception des messages par une personne malveillante.

L’Authenticité

Certains programmes peuvent être introduits par messagerie pour récupérer les mots de passe :
• Le pirate peut se placer entre le site du cabinet comptable et l’internaute. Il lui fait croire qu’il est sur la bonne adresse et récupère son mot de passe. Cette méthode est dite Cheval de Troie. (Figure ci- dessous);
• Des vols de mots de passe sont possibles dans des cabinets de grande taille;
• Les intrus peuvent procéder par itération pour essayer de trouver des mots de passe.

piratage selon la méthode dite cheval de Troie (www.lmi.fr)
Figure : piratage selon la méthode dite cheval de Troie (www.lmi.fr)

L’Intégrité

Il s’agit de modifier le contenu d’un fichier envoyé par le système ce qui menace l’Intégrité de l’information contenue dans ledit fichier.

Outre les agressions logiques, le site du cabinet comptable risque une importation d’un virus quelconque. Ce risque est le plus connu des professionnels.

§ 3 : L’importation de virus sur le site

L’importation de virus est un problème à ne pas négliger. La recherche d’informations sur des bases de données externes au cabinet augmente les risques, ainsi que le téléchargement de fichiers documents ou d’applications informatiques.

L’utilisation d’un antivirus est obligatoire par le cabinet d’expertise comptable que son système soit ouvert à Internet ou fermé. Le cabinet comptable devrait disposer toujours de la version la plus récente des antivirus.

Lire le mémoire complet ==> (L’internet au service de l’expert-comptable : le site web dynamique du cabinet)
Mémoire en vue de l’obtention du diplôme d’expertise comptable – Commission d’Expertise Comptable
Université DE SFAX – Faculté des Sciences Economiques et de Gestion
______________________________________
90 Cédric LAVERDRINE, « Conditions de mise en œuvre et perspectives pour les nouveaux médias dans un cabinet d’expertise comptable », Mémoire d’expertise comptable, France, novembre 1997, page 57
91 Moez KAMOUN L’audit de la sécurité des systèmes d’information et de communication. L’Economiste n° 323 septembre 2002
92 CHRISTOPHE Jean (2000), Commerce électronique et risque client : RF Comptable N° 14 mois 04/2000
93 Source : Etude Clusif 2001 www.clusif.asso.fr