Dans le Doubs, un cabinet d'expertise comptable renforce sa cybersécurité et sensibilise ses clients aux risques cyber

Chaque année, les Trophées numériques de la CPME, dont France Num est partenaire, distinguent des TPE et des PME qui ont su s’approprier les outils et les potentialités offertes par l’ère numérique pour grandir, développer les compétences de leurs salariés, acquérir de nouveaux marchés, attirer de nouveaux clients, réduire leurs coûts, développer leur notoriété, être vecteurs d’inclusion, etc.

Lauréat du Prix « Cybersécurité » 2025 des Trophées numériques de la CPME

Cette année, le prix « Cybersécurité » qui récompense l’entreprise qui a renforcé ses systèmes pour anticiper les cybermenaces, sensibilisé ses équipes et pris des mesures pour assurer la continuité de ses activités, a été décerné à Pierre-Luc Soeur, qui dirige La Comptabilité, une PME d'expertise comptable, qui compte 80 collaborateurs. 

Basé à Baume-les-Dames, dans le Doubs, le cabinet est aussi présent à Besançon et Morteau. Il intervient sur un spectre large : comptabilité, fiscalité, droit des sociétés, droit social, gestion RH, protection du dirigeant, courtage en assurance. Une complémentarité d'expertises qui fait sa force. 

Son activité implique de manipuler quotidiennement des données sensibles pour des centaines de clients ce qui fait de la question de la sécurité des données une priorité absolue. Mais c'est face à l'attaque subie par un de ses clients que Pierre-Luc Soeur, décide de faire la cybersécurité une priorité. 

Le défi ?

• Sécuriser les accès aux outils (internes et clients) sans alourdir les processus.
• Garantir la continuité d’activité pour les 1 800 clients, dont beaucoup sont des TPE PME peu équipées en cybersécurité.
• Anticiper les risques liés à la digitalisation accélérée : facturation électronique, intelligence artificielle (IA), télétravail.

Avec son équipe ils bâtissent une stratégie cybersécurité structurée en 3 axes : des outils dédiés, une gouvernance pour formaliser les règles et surtout la formation des collaborateurs et des clients. 

Le déclencheur : un client victime d'une fraude au virement, au bout du fil

La prise de conscience ne vient pas d'un audit interne ou d'une circulaire réglementaire. Elle arrive un matin par téléphone. Un de ses client l'appelle au secours après avoir été victime d'une fraude au virement. 

L'incident illustre une réalité souvent sous-estimée : les cabinets d'expertise comptable sont des cibles privilégiées pour les cybercriminels, non pas seulement pour les données qu'ils détiennent, mais parce qu'ils constituent un point d'entrée potentiel vers leurs clients. 

La confiance que ces derniers leur accordent, en leur transmettant données bancaires, bulletins de salaire, déclarations fiscales, doit être protégée à la hauteur de ce qu'elle représente.

Une stratégie en trois axes : outils, gouvernance et sensibilisation

La réponse du cabinet est structurée et méthodique. Elle s'articule autour de 3 piliers complémentaires, déployés de manière cohérente : 

1. Investir dans des solutions de sécurisation

Le cabinet décide de s'équiper de plusieurs outils pour sécuriser l'entreprise : 

Un gestionnaire de mots de passe certifié par l'Anssi est déployé pour l'ensemble des collaborateurs. Il permet à chaque salarié de stocker de façon sécurisée ses mots de passe, soit dans son espace personnel soit dans un espace partagé pour les accès communs. Seuls l'administrateur et la direction peuvent consulter les mots de passe. Les salariés peuvent les utiliser sans les lire, ce qui supprime le risque de transmission ou de divulgation involontaire.

En parallèle, le cabinet impose la double authentification obligatoire pour accéder aux comptes emails ou de signature électronique. 

La gestion des accès est aussi intégralement revue avec une attribution des droits calée sur le portefeuille clients géré par chaque salarié. 

Les pièces-jointes font l'objet d'une analyse systématique et tous les fichiers suspects sont automatiquement bloquée. 

Des pare-feux sont installés sur tous les sites pour contrôler le trafic entrant et sortant, et bloquent par défaut les connexions depuis l'étranger.

2. Formaliser une gouvernance interne

La politique de cybersécurité ne se limite pas aux outils : elle implique de mettre à plat l'organisation. Le cabinet s’apprête à mettre à jour sa charte informatique et son règlement intérieur, pour y intégrer des règles de sécurité plus strictes et un cadre d'usage de l'intelligence artificielle pour prévenir tout risque de fuite d'informations sensibles. 

Le déploiement d'un système de gestion des Identités et des Accès (IAM) permettra aussi à terme une gestion centralisée des utilisateurs et des postes, avec des stratégies de sécurité uniformes.

3. Sensibiliser et former les équipes et les clients

Troisième pilier, indispensable à la réussite d'une stratégie cyber : la sensibilisation et la formation. 90 % des cyberattaques trouvent leur origine dans une erreur humaine ! C'est pourquoi il est impératif de ne pas négliger la sensibilisation pour se prémunir contre les menaces en ligne. 

Le cabinet a organisé des sessions régulières auprès des collaborateurs sur les risques numériques (phishing, ingénierie sociale, fuites de données) et les bonnes pratiques à adopter. 

Il a aussi décidé de sensibiliser ses clients, via l'envoi régulier de mailings dédiés à la cybersécurité et aux gestes essentiels pour sécuriser leur propre environnement informatique.

Des résultats concrets et mesurables dès les premiers mois

Les effets de la démarche sont déjà quantifiables. Plus de 7 000 mots de passe ont été importés et centralisés dans le gestionnaire de mot de passe sécurisé. La totalité des 80 collaborateurs est désormais équipée et formée à son utilisation.

En août 2025, la sécurisation des mails a permis de bloquer 97 tentatives d'usurpation d'identité, sans qu'aucun compte email ne soit compromis. Dans le même mois, une tentative de connexion depuis l'étranger a été automatiquement bloquée. Des chiffres qui parlent d'eux-mêmes et qui justifient amplement l'investissement consenti.

Au-delà des indicateurs techniques, le bénéfice est aussi organisationnel : les mouvements de personnel, départs ou arrivées) ne génèrent plus de rupture dans la gestion des accès clients. La continuité de service est assurée sans compromettre la sécurité.

Les prochaines étapes : MDM, EDR et encadrement de l'IA

La feuille de route cybersécurité du cabinet est déjà tracée pour les prochains mois. Une solution de gestion des appareils mobiles (ou MDM pour Mobile Device Management) sera déployée pour sécuriser les téléphones des salariés : vérification de la conformité des appareils, blocage en cas de perte, cloisonnement strict des données professionnelles et personnelles.

L'antivirus actuel sera remplacé par une solution de détection et réponse des terminaux (ou EDR pour Endpoint detection and response), capable de détecter les menaces avancées en temps réel et d'isoler immédiatement un poste compromis pour limiter la propagation d'une attaque. 

Enfin, le règlement intérieur et la charte informatique seront mis à jour pour intégrer des règles d'usage de l'intelligence artificielle, afin de prévenir tout risque de fuite d'informations sensibles via ces nouveaux outils.

En savoir plus

• Protection des données
• Cybersécurité
• Innovation en régions : six entrepreneurs sacrés lauréats des Trophées Numériques CPME !