Retour aux nouvelles et publications

Cyberattaques ciblant les cabinets comptables : comment sécuriser la réception des documents clients et éviter les faux portails

Vitrine CPA

Texte rédigé par doclinc

Plusieurs cabinets comptables québécois ont récemment été ciblés par une campagne d’hameçonnage particulièrement sophistiquée. Les pirates utilisaient des comptes courriel compromis pour transmettre à leurs clients et clientes de faux liens menant à une page imitant presque parfaitement l’interface de connexion de Microsoft 365. En saisissant leurs identifiants, les victimes leur donnaient involontairement accès à leur boîte de courriel, leur permettant ainsi de compromettre d’autres comptes et d’élargir rapidement leur attaque à d’autres organisations.

Cette attaque illustre une réalité incontournable : les méthodes traditionnelles de réception des documents clients, comme les courriels, les pièces jointes ou les liens de partage, n’offrent plus les protections nécessaires aux CPA. Elles exposent les cabinets à des risques réels de fuite de données, de fraude et de compromission de comptes.

Pourquoi ces attaques fonctionnent bien

Les individus qui s’adonnent à la cybercriminalité ciblent désormais les cabinets comptables, car ceux-ci détiennent des données financières et personnelles très recherchées. Les faux portails Microsoft fonctionnent particulièrement bien parce qu’ils exploitent trois vulnérabilités fréquentes :

  1. Les mots de passe saisis via des liens
    Dès que la connexion repose sur un lien cliquable envoyé par courriel, le risque d’hameçonnage augmente.
  2. Les échanges de documents par courriel
    Le courriel est un canal non chiffré, sans authentification forte, idéal pour imiter des messages officiels.
  3. Le manque de traçabilité
    Dans plusieurs cabinets, il est difficile de savoir précisément qui a envoyé, reçu ou ouvert un document confidentiel. Cette absence de visibilité facilite la propagation des attaques.

Le problème n’est pas l’humain, mais l’outil utilisé

Ce n’est pas l’erreur humaine qui est en cause, mais l’utilisation de canaux qui ne sont pas conçus pour la transmission sécurisée de documents financiers.

Les méthodes courantes comme les pièces jointes, les liens OneDrive ou SharePoint et les messages non authentifiés créent :

  • une conservation excessive des données dans les boîtes de réception;
  • une accessibilité des documents pour « toute personne ayant accès au lien »;
  • une absence d’authentification forte;
  • un manque de contrôle sur l’identité de la cliente ou du client;
  • une confusion entre espaces externes et espaces internes.

Dans un contexte où la Loi 25 exige des mesures de protection renforcées, ces méthodes ne suffisent plus.

Une approche simple : sécuriser la réception avec authentification forte

Pour réduire ces risques, la première étape consiste à retirer complètement les mots de passe de l’équation.

Une approche plus sécuritaire consiste à utiliser un canal dans lequel :

  • le client ou la cliente reçoit un lien unique;
  • l’accès est validé par un code SMS ou un appel vocal automatisé;
  • aucun mot de passe Microsoft n’est demandé;
  • chaque consultation est journalisée;
  • les documents expirent automatiquement après traitement.

Cette méthode réduit à la fois les risques d’hameçonnage et d’erreur humaine et la conservation excessive, tout en simplifiant la vie du personnel et de la clientèle.

Liste de contrôle pour protéger votre cabinet contre les faux portails

  1. Obligez l’ensemble du personnel de votre cabinet à activer l’authentification à deux facteurs pour tous leurs comptes courriel.
  2. Ne saisissez jamais votre mot de passe à partir d’un lien reçu par courriel.
  3. Évitez les pièces jointes non chiffrées.
  4. Centralisez la réception de documents dans un canal sécurisé.
  5. Limitez votre utilisation de l’option de partage « toute personne ayant accès au lien ».
  6. Utilisez un système d’authentification forte (authentification à deux facteurs).

Ce texte a été rédigé par un partenaire de la Vitrine CPA dans une optique d’information et ne constitue en rien une reconnaissance ou un endossement par l’Ordre de son contenu et des produits et services offerts ni de l’organisation elle-même.

Partager sur

Partager ce contenu sur Facebook Partager ce contenu sur Linkedin Partager ce contenu par courriel Copier le lien Voir les autres options de partage
Desjardins
La Personnelle
Vigilis
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.