Un comptable d’entreprise chevronné détectera souvent d’abord un problème lorsqu’une situation ne réussit pas un « sniff test ». C’est-à-dire que l’ACP peut généralement sentir que quelque chose ne va pas dans les livres et registres de la société avant de déterminer la source et la nature du problème. Les CPA peuvent utiliser cette même intuition pour repérer les escroqueries d’ingénierie sociale que les pirates lancent pour voler des données aux entreprises ou pour geler leurs systèmes internes et leurs données avec des ransomwares.
Les CPA et les cabinets comptables sont devenus une cible de choix pour les pirates informatiques, en grande partie en raison de la quantité d’informations financières qu’ils détiennent pour plusieurs clients différents. Contrairement à leurs clients, les cabinets de CPA ont généralement moins de cyberdéfenses autour de leurs systèmes internes. Pendant la saison des impôts et à d’autres moments de l’année, les cybervoleurs s’appuient sur des moments d’inattention pour lancer des escroqueries d’ingénierie sociale qui pourraient leur donner accès à la mine de données d’un cabinet de CPA.
Comment fonctionne une escroquerie d’ingénierie sociale
De nombreuses escroqueries par ingénierie sociale suivent des modèles et des formes de faits courants. Ils contournent les défenses techniques, y compris les pare-feu et les logiciels antivirus, et s’appuient sur la vulnérabilité et les réponses émotionnelles des employés d’un cabinet de CPA. Une escroquerie d’ingénierie sociale peut sembler légitime au départ, mais le sens intuitif finement aiguisé d’un comptable peut l’aider à déceler le faux de l’authentique.
- Les escroqueries par « hameçonnage » proviennent de demandes par courrier électronique qui semblent provenir de sources légitimes et qui demandent au destinataire de cliquer sur un lien ou de transférer des données ou des fonds quelque part en dehors de l’entreprise. Les comptables typiques qui ont développé une approche plus conservatrice examineront plus en détail la demande avant de prendre des mesures.
- Les attaques de « ransomware » suivent un schéma similaire, dans lequel un employé au sein d’une organisation recevra un e-mail contenant un « PDF.zip » ou une pièce jointe similaire et une demande urgente pour prendre des mesures rapides. Lorsqu’elle est ouverte, la pièce jointe crypte les données et les systèmes du cabinet comptable et retient une clé de cryptage en attendant le paiement par le cabinet d’une rançon sur un compte désigné.
- Les cyber-voleurs détournent souvent des comptes de réseaux sociaux pour obtenir des informations sur l’emploi, les intérêts et les contacts d’un individu. Ces informations sont ensuite utilisées pour lancer des escroqueries d’ingénierie sociale qui sont plus crédibles car elles incluent des informations plus personnalisées.
Défenses
Les CPA peuvent se protéger, ainsi que leurs entreprises, contre les escroqueries d’ingénierie sociale et autres cyberattaques d’abord, avec leur sens intuitif de ce qui est légitime et de ce qui est faux, et deuxièmement, avec la formation et l’éducation, les défenses techniques et les stratégies de confinement post-violation.
Une formation et une éducation régulières sensibiliseront les employés d’un cabinet de CPA au type d’escroqueries par ingénierie sociale auquel ils sont susceptibles de faire face. Une formation régulière peut également inculquer l’importance de bonnes pratiques de cybersécurité aux employés, notamment en s’abstenant d’utiliser des réseaux Wi-Fi gratuits et en utilisant des mots de passe différents pour différentes connexions de compte. Étant donné que les escroqueries par ingénierie sociale évoluent constamment, une formation doit être dispensée régulièrement pour rester conscient des menaces actuelles.
Chaque cabinet de CPA devrait également installer des défenses techniques robustes et des stratégies de protection dans leurs réseaux de systèmes d’information, y compris des pare-feu, des logiciels antivirus et des logiciels de suivi qui enregistrent les données entrantes et sortantes.
Et si ça vous arrivait ?
Enfin, étant donné que les violations de données ne sont pas absolument évitables, chaque cabinet de CPA devrait avoir une stratégie de confinement post-violation avec une large police d’assurance cyber qui fournira des remboursements pour les pertes directes d’une entreprise et les responsabilités de tiers qui découlent d’une violation de données. Les associations comptables professionnelles nationales et internationales ont universellement conclu que la cyberassurance pour les comptables est un ajout nécessaire aux stratégies de cyberdéfense de chaque cabinet de CPA.
Un cabinet de CPA qui perd le contrôle des données et des informations financières de ses clients sera confronté à des responsabilités potentiellement ruineuses ainsi qu’à sa réputation de cabinet auquel on peut faire confiance pour détenir et maintenir la confiance de ses clients. La cyberassurance fournira des ressources pour aider un cabinet de CPA à endiguer ces pertes et à maintenir une réputation de qualité et de fiabilité.
.
Crédit image.