Pourquoi les fiduciaires sont-elles particulièrement exposées ?
Les fiduciaires sont les coffres-forts numériques de l’économie suisse. Elles centralisent comptabilités, déclarations fiscales, fiches de salaire, coordonnées bancaires et numéros AVS de centaines d’entreprises et de particuliers. Pour un cybercriminel, compromettre une seule fiduciaire, c’est accéder d’un coup aux données financières les plus intimes de tout un portefeuille de clients.
En Suisse romande, le tissu des fiduciaires est constitué majoritairement de PME de 3 à 20 collaborateurs. Selon une enquête de Fiduciaire|Suisse, environ 40 % des fiduciaires ne disposent pas d’une stratégie formalisée de sécurité informatique. Beaucoup travaillent encore avec des logiciels comptables installés localement, dont les mises à jour de sécurité ne sont pas systématiquement appliquées.
La dépendance aux solutions comme Abacus, Bexio, Crésus ou Sage les rend vulnérables aux attaques ciblant spécifiquement ces plateformes. L’interconnexion avec les banques, les administrations fiscales cantonales et la Caisse de compensation ajoute autant de vecteurs d’attaque potentiels.
La nLPD impose une notification au PFPDT dans un délai de 72 heures en cas de violation de données. Les manquements peuvent entraîner des amendes pouvant aller jusqu’à CHF 250’000.
Les 3 principales menaces
1. Rançongiciel en période fiscale
Les cybercriminels choisissent délibérément les périodes de forte activité — bouclements annuels, déclarations fiscales — pour maximiser la pression. Quand l’ensemble des données comptables et fiscales de centaines de clients est chiffré à quelques jours de l’échéance, la tentation de payer la rançon est énorme. Le coût d’un retard fiscal pour chaque client amplifie considérablement le dommage.
2. Détournement de paiements (fraude BEC)
Les attaquants s’infiltrent dans la messagerie d’une fiduciaire et modifient systématiquement les coordonnées bancaires sur les factures émises au nom des clients. Ce type de fraude, connu sous le nom de Business Email Compromise (BEC), est particulièrement redoutable dans le secteur fiduciaire en raison des montants élevés et de la fréquence des transactions.
3. Vol de données AVS et salariales
L’accès aux systèmes de gestion des salaires permet de dérober en masse les numéros AVS, les montants des salaires, les coordonnées bancaires et les adresses de milliers d’employés. Ces données alimentent des réseaux d’usurpation d’identité et de fraude aux assurances sociales sur le long terme.
Scénario typique : attaque contre une fiduciaire à Neuchâtel
Une fiduciaire neuchâteloise gérant la comptabilité de 180 PME et les déclarations fiscales de 400 particuliers est victime d’un rançongiciel fin janvier, en pleine période de bouclement annuel. L’attaque est lancée via un courriel d’hameçonnage imitant une communication de l’administration fiscale cantonale.
En quelques heures, l’ensemble des serveurs est chiffré : comptabilités, documents fiscaux, fiches de salaire, tableaux de bord de gestion. Les sauvegardes en ligne sont également compromises car elles étaient connectées au réseau. La fiduciaire est totalement paralysée pendant 12 jours.
Les attaquants exigent CHF 350’000. Les conséquences sont en cascade : 65 entreprises ne peuvent pas déposer leur bouclement dans les délais, 220 déclarations fiscales sont en retard. Plusieurs clients de longue date rompent la collaboration. Le bilan final est accablant : forensique et restauration CHF 180’000, perte de chiffre d’affaires CHF 280’000, pénalités et dommages-intérêts clients CHF 150’000, perte de clientèle à moyen terme CHF 350’000. Dommage total : CHF 960’000.
Couverture recommandée
Une cyberassurance adaptée aux fiduciaires en Suisse devrait inclure :
- Dommages propres — Forensique informatique, restauration des données, réinstallation des logiciels comptables
- Interruption d’activité — Indemnisation du chiffre d’affaires perdu, y compris durant les pics saisonniers (période fiscale)
- Responsabilité civile — Prétentions de clients en cas de perte de données ou de détournement de paiements
- Cyberfraude — Couverture en cas de manipulation d’ordres de paiement et d’attaques BEC
- Frais de notification — Information de toutes les personnes concernées conformément à la nLPD
- Procédures réglementaires — Frais d’avocat lors de procédures auprès du PFPDT et amendes nLPD
- Gestion de crise — Hotline 24/7, conseil en communication, gestion de la relation client
- Surveillance du crédit — Services de monitoring pour les personnes dont les données ont été dérobées
Indication de prime
Pour une fiduciaire romande de 5 à 15 collaborateurs avec un chiffre d’affaires annuel de CHF 1 à 4 millions, les primes annuelles se situent généralement entre CHF 3’000 et CHF 9’000 pour une couverture de CHF 1 à 3 millions. Les fiduciaires gérant un grand nombre de dossiers salariaux ou travaillant avec des clients à haute valeur patrimoniale doivent prévoir des primes pouvant atteindre CHF 12’000 à CHF 20’000.
Protégez votre fiduciaire et les données de vos clients
Vos clients vous confient ce qu’ils ont de plus confidentiel : leurs finances. Cette confiance implique une responsabilité proportionnelle en matière de cybersécurité. Un seul incident peut compromettre des centaines de relations commerciales construites au fil des ans.
BTAG Versicherungsbroker AG à Berne, courtier indépendant spécialisé en cyberassurance, connaît les risques spécifiques du secteur fiduciaire. BTAG compare les offres de tous les assureurs pertinents pour trouver la couverture optimale, adaptée à votre volume de clients, vos logiciels et votre infrastructure.
Demandez dès maintenant une offre sans engagement et protégez les données financières de vos clients de manière complète.