Face à la cybercriminalité, le commissaire aux comptes a un rôle majeur à jouer auprès de ses clients au fur et à mesure que la société et les échanges se modernisent. L’audit qu’il pratique doit intégrer plus systématiquement les notions de cybercriminalité.
Dans un siècle de révolution numérique et d’augmentation des risques cyber, le commissaire aux comptes se retrouve face au défi de moderniser ses méthodes de travail afin d’être au plus proche des attentes de ses clients. Profession en perpétuel mouvement et remise en cause par les nouveautés techniques et financières, la cybersécurité provoquera un changement de fond. L’audit de demain sera un audit plus informatisé et devra répondre aux nouveaux enjeux de la sécurité informatique. Le rôle de certification des comptes ne disparaît pas, mais sera renforcé.
La nouvelle charge de l'auditeur face à la nouvelle dynamique imposée par la cybercriminalité est multiple : prévention, contrôle et encadrement. Ils ont tout intérêt à se positionner sur ces pratiques pour « prendre le train en marche ». Dans ce contexte, le commissaire aux comptes doit inclure la lutte contre la cybercriminalité dans ses diligences prioritaires.
Certaines NEP justifient le nouveau rôle de l'auditeur auprès des clients sur les notions de cybersécurité
La NEP 240 demande au commissaire aux comptes d’être acteur dans la détection de fraude interne ou externe. De par son obligation de moyen, il doit tout mettre en œuvre pour s’assurer qu’il n’y a pas de fraudes avérées. Les fraudes étant de plus en plus informatiques, de fait, la cybercriminalité se trouve au cœur des éventuelles fraudes. Selon la NEP 570, le CAC à un rôle d’alerte en cas de menace pour la continuité d’exploitation de l’entreprise auditée. Les cybercriminels peuvent menacer la continuité d’exploitation des entreprises ciblées de par l'ampleur des attaques. Dès lors, le commissaire aux comptes se doit de prévenir ces risques et de vérifier que la continuité de l’exploitation n’est pas inquiétée.
Concrètement, lors de l’acceptation de la mission, l'auditeur doit prendre connaissance de l’environnement de l’entité contrôlée et de son système d’information. Cette étape peut se faire par des entretiens reposant sur des « questionnaires de prise de connaissance ». L’objectif est de cerner le profil informatique de l’entité auditée : existe-t-il une direction des systèmes d’information ? Si oui, quel est son champ d’intervention ? Quels sont les logiciels et outils utilisés ? Quelle connaissance en ont les utilisateurs ? Que contiennent la charte informatique et le plan de reprise des activités ?
L’objectif est d’évaluer l’environnement informatique de l’entité et de déterminer les risques
En cas de cyberattaque, le rôle du commissaire aux comptes prend une nouvelle dimension. Il rend compte à ses instances dans le cadre des normes d'exercice professionnel. Il peut également réaliser une analyse critique de la procédure de sauvegarde et suivre son incidence sur les comptes de l’entité, ou encore s’assurer du correct suivi de l’après-attaque.
Yannick Nadjingar-Ouvaev