Sécurité 11 min de lecture

Sauvegarde expert-comptable : se protéger des ransomwares

6 juin 2026

Une erreur. Un clic. Un malware.

Vendredi, 17 h 30, en pleine période fiscale. Un collaborateur reçoit un courriel d'apparence légitime, prétendument envoyé par l'administration fiscale, qui demande de valider en urgence un formulaire joint. Un double-clic machinal suffit. Aucun message d'erreur ne s'affiche, mais en arrière-plan un script chiffre silencieusement le serveur de production : bilans, liasses fiscales et fiches de paie de centaines d'entreprises clientes deviennent illisibles.

La paralysie est immédiate. Sans accès aux dossiers, le cabinet s'arrête net, au pire moment de l'année. Cette situation n'a rien d'exceptionnel : les cabinets d'expertise comptable concentrent un volume rare de données critiques — secrets d'affaires, données financières, informations personnelles au sens du RGPD. Pour un cybercriminel, c'est un point d'entrée idéal, à la fois pour extorquer le cabinet et pour rebondir vers ses clients. Face à cette exposition, une sauvegarde expert-comptable externe, souveraine et réellement étanche n'est plus une option technique : c'est le socle de la continuité d'activité du cabinet.

Pourquoi les cabinets comptables sont des cibles prioritaires

Un cabinet détient, pour chacun de ses clients, une concentration de données à très haute valeur :

Bilans et comptes de résultat : la santé financière complète de l'entreprise
Déclarations fiscales : TVA, IS, IR, liasses fiscales
Données bancaires : RIB, relevés, flux de trésorerie
Données sociales : bulletins de paie, DSN, données des salariés
Documents juridiques et personnels : statuts, PV d'AG, contrats, données des dirigeants

Un seul cabinet de 200 clients donne ainsi accès aux données financières de 200 entreprises et de centaines de personnes physiques. Cette valeur s'accompagne d'une surface d'attaque étendue : logiciels de production (Cegid, ACD, Sage, Agiris), portails d'échange avec les clients, télédéclaration (impots.gouv, Net-Entreprises, URSSAF), banques en ligne. Chaque connexion est un point d'entrée potentiel — et dans une structure de 10 à 30 personnes, l'équipe informatique dédiée est souvent inexistante.

S'ajoute le facteur calendaire. Les attaquants savent que de janvier à avril (clôtures, liasses) et en décembre (arrêtés des comptes, dernières déclarations), un cabinet ne peut pas se permettre un arrêt prolongé. Une attaque pendant ces fenêtres maximise la pression — et la probabilité de paiement.

Synchronisation n'est pas sauvegarde

Une confusion fréquente s'avère fatale : assimiler la synchronisation cloud (OneDrive, Google Drive, Dropbox) à une sauvegarde. La synchronisation est un miroir en temps réel. Si un fichier local est supprimé par erreur ou chiffré par un rançongiciel, la modification est instantanément répliquée vers le cloud : la version saine est écrasée par sa version corrompue.

Une véritable sauvegarde repose sur deux principes opposés. D'abord l'isolation : les données sont stockées hors de portée du réseau de production, ce qui empêche un rançongiciel de se propager d'un poste compromis vers les archives. Ensuite le versioning historique : on peut restaurer l'état des bases à une date précise, antérieure à l'infection.

Cette nuance est aggravée par le modèle de responsabilité partagée des suites bureautiques cloud. Le fournisseur garantit la disponibilité de son infrastructure ; la protection, la conformité et la sauvegarde des données que vous y créez restent à votre charge. En cas de piratage de compte, de corruption ou de suppression malveillante, les mécanismes natifs sont structurellement insuffisants (voir notre article Synchronisation vs sauvegarde).

Les limites des protections natives et des coffres intégrés

La plupart des outils collaboratifs proposent une corbeille ou un coffre-fort (« Vault »). Ces dispositifs n'ont pas les propriétés requises face à un incident d'envergure.

La rétention par défaut de la corbeille OneDrive ou Google Drive est limitée à 30 jours. Passé ce délai, les fichiers supprimés sont purgés définitivement. Or, dans le cas d'un chiffrement silencieux — où l'attaquant modifie les fichiers discrètement, au fil de l'eau —, la compromission peut mettre des mois à être découverte. Le rapport Cost of a Data Breach d'IBM (2025) établit qu'il faut en moyenne 181 jours pour seulement identifier une violation de données. Lorsque l'attaque est découverte, les versions saines ont disparu des corbeilles natives depuis longtemps.

Les limites sont aussi juridiques et réglementaires :

Disponibilité (RGPD) : l'article 32 du RGPD impose au responsable de traitement de garantir « la capacité de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident ». Une perte définitive due à une sauvegarde défaillante caractérise un manquement direct.
Souveraineté : stocker ses sauvegardes sur des serveurs soumis à des lois extraterritoriales (Cloud Act américain) crée un risque de confidentialité pour des données fiscales et personnelles françaises.
NIS2 : la directive impose aux entreprises de plus de 50 salariés ou réalisant plus de 10 M€ de chiffre d'affaires de sécuriser leur chaîne de sous-traitance. Les experts-comptables, tiers de confiance manipulant des données critiques, entrent dans ce périmètre par effet de cascade.

Le recours à une sauvegarde souveraine, chiffrée localement selon un protocole Zero-Knowledge, est le seul moyen de neutraliser simultanément ces risques techniques et juridiques (voir notre article Chiffrement Zero-Knowledge).

Schéma comparant la synchronisation cloud, qui réplique un fichier chiffré par un rançongiciel, à une sauvegarde isolée conservant une version saine antérieure

Trois scénarios vécus en cabinet

La réalité du terrain illustre la diversité des menaces — et la parade qu'apporte une sauvegarde adaptée.

Scénario 1 : le chiffrement silencieux d'une base de production

Profil : Marc, responsable administratif et informatique d'un cabinet de 15 collaborateurs.

Le problème : un collaborateur ouvre une pièce jointe contenant un rançongiciel. Marc se croit protégé par sa synchronisation OneDrive. Le logiciel chiffre silencieusement les écritures de la liasse fiscale en cours, ce qui écrase aussitôt les versions saines stockées dans le cloud.

La conséquence : trois semaines de travail sur 45 dossiers clients sont perdues. Les délais de déclaration sont dépassés, exposant les clients à des pénalités de retard.

La résolution : grâce à une sauvegarde externe à versioning immuable, Marc remonte 22 jours en arrière pour extraire les bases dans leur état d'origine. La restauration prend moins de 4 heures, et les pénalités sont évitées.

Scénario 2 : l'erreur humaine lors de la clôture annuelle

Profil : Sophie, collaboratrice comptable senior en charge des grands comptes.

Le problème : lors d'une restructuration complexe, Sophie supprime par inadvertance un sous-dossier contenant sept années de pièces justificatives. La suppression se répercute sur tous les postes synchronisés.

La conséquence : l'erreur n'est constatée que 45 jours plus tard, au moment d'un contrôle fiscal du client. Le délai de 30 jours de la corbeille cloud est dépassé : la récupération native est impossible.

La résolution : le cabinet dispose d'une sauvegarde externe à rétention longue. L'administrateur localise la copie exacte du dossier tel qu'il était deux mois plus tôt et restaure les pièces à temps pour le contrôle.

Scénario 3 : l'hameçonnage ciblé d'un collaborateur

Profil : Thomas, alternant au pôle social du cabinet.

Le problème : Thomas clique sur un lien de phishing imitant un logiciel d'aide à la déclaration sociale. Le lien installe un logiciel qui dérobe les identifiants de session et contourne les protections d'accès classiques.

La conséquence : les attaquants pénètrent le système, dérobent les fiches de paie et les coordonnées bancaires des salariés de 80 PME clientes, puis menacent de les publier. Le cabinet doit notifier la CNIL sous 72 heures (article 33 du RGPD).

La résolution : la sauvegarde externe du cabinet utilise un chiffrement Zero-Knowledge dont la clé n'appartient qu'au cabinet. Les archives dérobées restent illisibles pour les attaquants, et les données de production sont restaurées en interne, permettant de poursuivre l'activité tout en collaborant avec les autorités.

L'impact financier et légal d'une perte de données

Une cyberattaque n'est pas un simple incident informatique : c'est un choc économique. Selon le cabinet Asterès (2023), une cyberattaque réussie coûte en moyenne 58 600 € à une organisation française, et les PME concentrent plus de 90 % de ces attaques. À l'échelle mondiale, le rapport IBM (2025) chiffre le coût moyen d'une violation de données à 4,44 millions de dollars ; en France, ce coût moyen atteignait 4,8 millions de dollars dans l'édition précédente (IBM, 2024). Et la menace se concentre sur les petites structures : l'ANSSI (Panorama de la cybermenace 2025) indique que 48 % des victimes de rançongiciel en France sont des TPE, PME et ETI — la première catégorie touchée.

L'incident Coaxis illustre la sévérité de ces répercussions pour la profession. En décembre 2023, cet hébergeur, qui fait tourner l'infrastructure de production de centaines de cabinets via la suite ACD, a été paralysé par le rançongiciel LockBit 3.0 (environ 25 % de ses systèmes chiffrés). Plus de 1 200 cabinets d'expertise comptable et près de 350 000 entreprises clientes ont perdu l'accès à leurs logiciels métier et à leurs messageries, en pleine échéance des déclarations sociales de décembre. L'indisponibilité s'est prolongée plusieurs semaines pour de nombreux cabinets, et l'Ordre des experts-comptables a dû obtenir des délais auprès de la DGFiP et de l'URSSAF pour éviter des pénalités de retard à leurs clients.

Au-delà du coût direct, le cabinet engage sa responsabilité réglementaire :

Secret professionnel (article 21 de l'ordonnance du 19 septembre 1945) : l'expert-comptable y est tenu. Une fuite de données constitue une violation potentielle de cette obligation.
Notification (RGPD, articles 33-34) : en cas de violation de données personnelles, le cabinet doit notifier la CNIL sous 72 heures et informer les personnes concernées si le risque est élevé.
Conservation 10 ans (article L123-22 du Code de commerce) : les documents comptables doivent être conservés une décennie. Une perte de données peut compromettre cette obligation.

S'ajoute le risque réputationnel. Un cabinet qui perd les données de ses clients perd aussi leur confiance — et une sanction CNIL s'accompagne d'une publication officielle (« name and shame ») dans les cas les plus graves. Dans un métier où la réputation se construit sur des années, c'est un risque existentiel (voir notre article Coût d'une perte de données).

Comment mettre en place une sauvegarde expert-comptable résiliente

Renforcer la sécurité de ses dossiers ne demande pas un budget démesuré, mais l'application rigoureuse de pratiques éprouvées. La règle 3-2-1 en est le standard (voir notre article La règle 3-2-1) :

3 copies des données : la production et au moins deux sauvegardes distinctes.
2 supports différents : par exemple un stockage local (NAS) et un cloud externe.
1 copie externalisée : hors site, idéalement dans un cloud souverain, immuable et protégé en Zero-Knowledge.

Schéma des écritures comptables chiffrées de bout en bout avant leur stockage dans un coffre cloud souverain français dont le cabinet détient seul la clé

Quatre mesures complètent cette architecture :

Automatiser et chiffrer. Des sauvegardes qui s'exécutent la nuit, sans intervention humaine, garantissent la fraîcheur des données ; le chiffrement Zero-Knowledge assure que vous seul détenez la clé. Testez une restauration au moins une fois par semestre.
Verrouiller les accès. Authentification multifacteur (MFA) sur tous les comptes Google/Microsoft, associés inclus ; mots de passe uniques via un gestionnaire ; vérification des applications tierces connectées.
Segmenter. Principe du moindre privilège : chaque collaborateur n'accède qu'aux dossiers qu'il gère ; les comptes administrateurs sont séparés des comptes quotidiens.
Préparer un plan de réponse. Qui prévenir (prestataire IT, CNIL, Ordre), quoi faire immédiatement (isoler, couper les accès, préserver les preuves), comment restaurer. Ce plan doit être écrit, partagé et testé une fois par an.

Checklist d'auto-évaluation du cabinet

Pour mesurer la maturité de votre structure, posez-vous ces questions :

[ ] Vos données clients sont-elles sauvegardées indépendamment de votre hébergeur IT (emails, Drive et logiciels de production inclus) ?
[ ] La sauvegarde est-elle chiffrée en Zero-Knowledge, avec une clé que vous êtes seul à détenir ?
[ ] Disposez-vous d'un historique de versions supérieur à 90 jours, pour parer un chiffrement silencieux qui s'étale sur plusieurs semaines ?
[ ] Avez-vous réalisé un test de restauration complet au cours des six derniers mois ?
[ ] Le MFA est-il actif sur tous les comptes (associés inclus) et les accès sont-ils segmentés par collaborateur ?
[ ] Existe-t-il un plan de réponse à incident écrit, partagé avec les associés ?

Si la réponse à l'une de ces questions est non, la pérennité de votre cabinet et la confidentialité de vos dossiers clients sont aujourd'hui vulnérables à un incident cyber.

En résumé

Les cabinets d'expertise comptable ne sont pas des cibles « comme les autres » : concentration de données financières, nombre de clients exposés et obligations réglementaires (secret professionnel, RGPD, conservation 10 ans) en font des cibles à très haute valeur. La protection repose sur trois piliers : une sauvegarde indépendante (la dernière ligne de défense quand tout le reste a échoué), une hygiène numérique (MFA, mots de passe forts, formation anti-phishing) et une préparation (plan de réponse écrit et testé).

Niveau de protection	Synchronisation cloud (OneDrive, Drive)	Sauvegarde externe non souveraine	Sauvegarde expert-comptable Zero-Knowledge souveraine
Résilience aux rançongiciels	Faible — le chiffrement se réplique en temps réel	Moyenne — dépend de la configuration	Maximale — versions immuables et isolation réseau
Confidentialité des données	Faible — l'hébergeur peut accéder aux données	Limitée — exposition au Cloud Act américain	Absolue — clé détenue par le seul cabinet
Historique de versions	14 à 30 jours par défaut	30 à 60 jours selon l'offre	Longue durée, paramétrable (> 90 jours)
Conformité RGPD / souveraineté	Partielle — transferts hors UE possibles	Incertaine — dépendance d'acteurs tiers	Totale — hébergement en France, article 32

Le coût de ces mesures est dérisoire face à celui d'un incident. Et pour un cabinet comptable, la confiance des clients reste le premier actif de l'entreprise : ériger la sauvegarde expert-comptable en pilier de sa politique informatique, c'est la protéger.

BackHub sauvegarde automatiquement vos comptes Google Workspace, Microsoft 365 et Dropbox avec un chiffrement Zero-Knowledge : même BackHub ne peut pas lire vos données. Vos dossiers clients restent confidentiels par construction technique, hébergés en France et conformes au RGPD. Découvrir BackHub

BackHub protège les données cloud et PC des entreprises françaises. Sauvegarde automatique, chiffrement Zero-Knowledge, restauration en un clic.

En savoir plus →

Protégez vos données avec BackHub

Sauvegarde automatique de vos fichiers cloud et PC. Chiffrement Zero-Knowledge. Restauration en un clic.

Commencer maintenant