Nancy · 03 72 61 04 67 WhatsApp
Cybersécurité

Après Coaxis : comment sécuriser vraiment un cabinet comptable

·Par Sébastien Rattanatay
Cabinet comptable nancéien renforçant sa sécurité après l'attaque Coaxis avec l'équipe YSY ONE

Décembre 2023, un lundi matin pas comme les autres

Des centaines d’experts-comptables se connectent comme d’habitude. Sage ne répond pas. Les liasses de la veille sont inaccessibles. Les mails non plus. Pendant près d’un mois, environ 1 200 cabinets vont travailler en mode dégradé, et leurs 350 000 clients PME avec eux. La cause : une attaque par rançongiciel LockBit 3.0 sur Coaxis, l’un des hébergeurs spécialisés du secteur.

Si vous dirigez un cabinet de 5 à 30 collaborateurs, deux questions remontent : est-ce que ça peut nous arriver, et qu’est-ce qu’on fait concrètement pour éviter ça ? Cet article ne va pas vous parler de ransomware théorique ni vous vendre la peur. Il va lister les chantiers prioritaires pour les cabinets d’expertise comptable du Grand Est, dans l’ordre où on les pose, avec un ordre de grandeur de coût et de délai.

L’objectif : que la prochaine alerte ne vous trouve pas à découvert, sans pour autant tout refaire en pleine période fiscale.

Coaxis, décembre 2023 : ce qui s’est vraiment passé

Une attaque LockBit 3.0 sur un hébergeur de référence

Le 7 décembre 2023, le rançongiciel LockBit 3.0 chiffre environ 25 % des systèmes de Coaxis. L’hébergeur, qui fait tourner les solutions ACD (logiciels métier comptables), bascule en cellule de crise. Les cabinets clients perdent l’accès au logiciel, aux dossiers, aux mails. La restauration prendra environ un mois pour redevenir totalement opérationnelle, raconte Compta-online qui a suivi l’affaire au jour le jour.

Bonne nouvelle : les sauvegardes sont restées intactes, et Coaxis a confirmé le 14 décembre qu’aucune donnée client n’avait fuité. Mauvaise nouvelle : pendant ce mois, certains cabinets ont travaillé sur dossiers papier, en plein travaux de fin d’année.

1 200 cabinets, 350 000 entreprises, un mois sans accès

L’addition est rude : environ 1 200 cabinets d’expertise comptable et 350 000 entreprises clientes touchés, selon l’analyse publiée par DPO Partage. Tous les types de structures, du cabinet rural de 4 personnes au cabinet régional de 80. La taille n’a rien protégé, parce que ce n’était pas la taille du cabinet qui était attaquée, c’était son hébergeur.

Pourquoi votre sécurité ne tient jamais à un seul tiers

C’est le vrai enseignement de Coaxis. “Mes données sont chez un spécialiste du métier”, c’est rassurant tant qu’aucun spécialiste ne se fait attaquer. Le CNOEC a publié plusieurs communications post-incident invitant les cabinets à diversifier leurs dépendances et à tester leurs plans de reprise. Le retour terrain publié par Lesexpertes.fr raconte aussi la difficulté de communication pendant la crise : ne pas savoir, attendre, improviser.

Concrètement, pour vous, ça veut dire : vos sauvegardes ne doivent jamais se trouver dans le même environnement que votre production, et votre cabinet doit avoir une procédure papier minimale pour tenir 48 h sans logiciel.

Ce qu’un dirigeant de cabinet doit vérifier cette semaine

Quelques vérifications, faisables sans gros investissement, qui couvrent à elles seules 80 % du risque.

Vos sauvegardes ont-elles été testées récemment ?

La question piège n’est pas “avez-vous une sauvegarde”, mais “quand avez-vous restauré un fichier pour vérifier qu’elle marche”. Beaucoup de cabinets découvrent en situation de crise que leur sauvegarde tournait en boucle sur un disque cassé depuis 4 mois. Selon le baromètre 2025 de Cybermalveillance.gouv.fr, 16 % des TPE-PME ont subi un incident cyber sur les 12 derniers mois, et 80 % se déclarent non préparées. Pour passer à l’action, on a listé 5 actions concrètes pour protéger sa PME des ransomwares.

Test minimum : sortez 3 fichiers d’un dossier client au hasard, restaurez-les depuis votre sauvegarde sur un poste distinct. Si vous y arrivez en moins de 30 minutes, vous êtes au-dessus de la moyenne.

Avez-vous déployé le MFA sur Sage, Cegid, Silae et Microsoft 365 ?

L’authentification forte (MFA, double facteur) coûte 0 € à activer chez Microsoft, Sage Génération Experts, Cegid Loop, Silae. C’est la seule mesure qui rend une attaque par phishing presque inoffensive. Et c’est aussi la première chose que votre assureur cyber va exiger en cas de sinistre.

Cas terrain : un collaborateur clique sur un faux mail Microsoft, son mot de passe part. Sans MFA, l’attaquant entre dans la boîte et redirige les mails vers son adresse pendant des semaines, sans bruit. Avec MFA, l’attaquant a le mot de passe mais ne peut rien en faire.

Avez-vous un plan B documenté pour la période fiscale ?

Janvier-mai, c’est la zone rouge. Une panne de 48 h en pleine clôture, c’est des liasses retardées, des pénalités client, une équipe qui craque. Le plan B, c’est trois pages dans un classeur (ou un PDF imprimé) :

  • Qui appelle qui en cas d’incident
  • Quels dossiers urgents sortir en priorité
  • Quelle procédure papier pour les déclarations TVA et la DSN

Selon le guide Lefebvre Dalloz, les cabinets qui passent une demi-journée à formaliser ce plan gagnent en moyenne 2 jours sur la sortie de crise. Le calcul est vite fait.

Que faire si un cabinet comptable est attaqué pendant les liasses ?

Trois actions dans les premières heures : isoler les postes touchés (débrancher le câble réseau, pas éteindre, pour préserver les traces), prévenir l’équipe et les clients potentiellement concernés, déclarer l’incident sur Cybermalveillance.gouv.fr et à la CNIL si des données personnelles sont exposées. Ne payez pas la rançon : dans la majorité des cas documentés par l’ANSSI, les clés de déchiffrement reçues sont incomplètes ou défectueuses.

Comment construire un socle durable, sans dépendre d’un seul prestataire

Une fois le bilan d’urgence fait, la vraie question, c’est l’architecture. Quelques principes structurants à poser.

La règle 3-2-1 : 3 copies, 2 supports, 1 hors site

C’est le standard depuis 20 ans, et il tient encore : 3 copies de vos données, sur 2 types de supports différents, dont 1 conservée hors site. Chez nous, ça donne souvent : Sage tourne dans le Cloud, sauvegarde quotidienne sur un cloud différent (Wasabi, OVH), copie hebdomadaire chiffrée sur un NAS local au cabinet. Trois acteurs distincts. Un attaquant qui prend Coaxis ne prend pas Wasabi en même temps.

Une sauvegarde testée et externalisée sort par exemple vers 35 € par mois pour un cabinet de 15 postes, options incluses. C’est moins cher qu’une demi-journée de panne en clôture.

Supervision proactive vs modèle “break/fix”

Le modèle break/fix, c’est : ça casse, on appelle le prestataire, il facture l’intervention. Le modèle MSP (services managés), c’est : un agent installé sur chaque poste remonte les anomalies avant qu’elles cassent. Disque qui faiblit, mise à jour critique en attente, tentative de connexion suspecte : on intervient avant la panne.

Pour un dirigeant de cabinet, la différence se mesure à un endroit précis : combien de fois par mois un collaborateur appelle pour dire “ça rame, ça plante”. Avec une supervision proactive et EDR, ce nombre tend vers zéro.

30 minutes de sensibilisation par mois suffisent

Le maillon faible, c’est l’humain. Pas la technique. Un collaborateur fatigué, en plein mois de mai, qui clique sur un mail “URSSAF” très bien imité, c’est plus probable qu’une faille zero-day exotique.

30 minutes par mois sur des cas concrets (faux mails, faux RIB, faux appels) suffisent à diviser par 5 le taux de clic sur des phishings réels. Ça se déploie en vidéos courtes, intégrées dans la routine du lundi matin.

RGPD, secret professionnel et NIS2, des obligations qui s’empilent

Beaucoup de dirigeants confondent obligations juridiques et obligations techniques. Les deux existent, mais ne sont pas portées par les mêmes acteurs.

Qui fait quoi entre volet technique et volet juridique ?

Côté technique : chiffrement, sauvegarde, gestion des accès, journalisation, hébergement France, procédure de notification. C’est l’infrastructure. Un partenaire IT qui connaît le métier comptable sait ce qu’un cabinet doit avoir, et le pose.

Côté juridique : registre des traitements, durées de conservation, désignation d’un référent RGPD, contrats de sous-traitance. C’est de la doctrine et du droit. Votre avocat ou un cabinet RGPD spécialisé est mieux placé qu’un MSP.

Welyb rappelle dans son guide RGPD experts-comptables que la CNIL a déjà sanctionné des cabinets pour des manquements de base : pas de procédure d’effacement, données de salariés conservées 10 ans après leur départ, accès non révoqués.

Quel impact de la facture électronique 2026-2027 sur votre infrastructure ?

Réception obligatoire : septembre 2026. Émission : septembre 2027. Pour vous, ça veut dire : des flux automatiques avec les Plateformes de Dématérialisation Partenaires, des connexions sécurisées, des sauvegardes longue durée des factures (10 ans). Si votre infrastructure n’est pas prête à recevoir ces flux dès l’été 2026, vous aurez à le faire sous pression.

Le RGPD est-il vraiment contrôlé pour un cabinet de 15 personnes ?

Oui. La CNIL a annoncé que les professions du chiffre et du droit faisaient partie de ses contrôles thématiques. Le risque n’est pas la grosse amende médiatique, c’est plutôt : un client exerce son droit d’accès, vous ne savez pas comment lui répondre dans les 30 jours, plainte CNIL, rappel à l’ordre, dossier dans votre historique. Le coût de ne rien faire est invisible, jusqu’au jour où il devient public.

Le rôle d’un partenaire IT qui parle votre langue

Une fois le diagnostic posé, qui vous accompagne ?

Pourquoi un prestataire généraliste ne suffit plus

Le “gars de l’info” qui passe quand ça casse a une vraie limite : il ne connaît pas vos outils. Quand vous lui dites “Sage rame”, “Cegid Loop ne se synchronise pas”, “Silae a un blocage en clôture sociale”, il vous regarde. Résultat : vous faites l’intermédiaire entre lui et l’éditeur, vous perdez un temps considérable, et personne n’est responsable de bout en bout.

Ce qu’apporte un MSP qui connaît Sage, Cegid et Silae

Un partenaire qui a déjà 5 cabinets comptables clients, c’est un partenaire qui connaît les périodes sensibles (janvier-mai, septembre, novembre), les manipulations délicates (changement d’exercice, migration Quadra vers Loop), et les pièges classiques (impressions à jour qui plantent en clôture). Ça change le quotidien.

Côté YSY ONE, nos formules par utilisateur démarrent à 39 € (Essentiel) et la formule Standard recommandée est à 59 € par utilisateur par mois. Pour un cabinet de 15 collaborateurs, on est à 885 € par mois tout compris, sans facturation horaire, sans surprise. La formule Standard inclut supervision proactive, EDR, sauvegarde des postes et de Microsoft 365, intervention sur site (usage raisonnable), patch management automatisé.

Réservez un diagnostic gratuit (valeur 500 €, sans engagement) pour cartographier votre cabinet et chiffrer les écarts.

Questions fréquentes des dirigeants de cabinet

Combien coûte une vraie protection pour un cabinet de 15 postes ?

Compter entre 590 et 885 € par mois selon la formule (39 à 59 € par utilisateur), plus un setup unique (799 € pour la formule Standard, jusqu’à 10 postes). À comparer aux 15 000 à 25 000 € annuels qu’un cabinet “moyen” investit en cybersécurité d’après Cegid : on est dans le même ordre de grandeur, mais ramené à un forfait par utilisateur, sans surprise.

Faut-il sortir de Coaxis (ou d’un hébergeur centralisé) ?

Pas forcément. Coaxis, Partitio et autres hébergeurs métier offrent un vrai service, et ils ont durci leurs systèmes après l’incident. La vraie question, c’est plutôt : êtes-vous capable de fonctionner si Coaxis retombe demain ? Si la réponse est non, il faut compléter, pas remplacer.

Combien de temps pour mettre tout ça en place ?

Pour le socle (sauvegarde 3-2-1 testée, MFA partout, sensibilisation, plan B documenté) : 4 semaines, en travaillant en dehors des périodes fiscales. Le diagnostic prend 1h30. Ensuite, on planifie selon votre calendrier.

Et si on est en pleine clôture, on attend ?

Non. On démarre quand même par les chantiers à risque zéro pour la production : activation MFA (15 minutes par utilisateur), mise en place de la sauvegarde externalisée (transparent pour les utilisateurs), formalisation du plan B sur 1 page. Les chantiers plus lourds (migration, refonte réseau) attendent juin.

On en parle ?

Coaxis n’est ni un cas isolé ni une fatalité. C’est un avertissement qu’il vaut mieux prendre maintenant, à froid, plutôt que dans la panique de votre prochain incident. Pour un cabinet d’expertise comptable du Grand Est, la trajectoire saine, c’est : poser le diagnostic dans les 15 jours, traiter les 3 chantiers prioritaires en 4 semaines, formaliser un plan B pour la prochaine clôture. Sans tout casser, sans budget délirant, et en gardant votre prestataire actuel si vous le souhaitez.