المصادقة ثنائية العاملين: دليل للمحاسبة

لماذا المصادقة ثنائية العاملين ضرورية في خبرة المحاسبة

تتعامل مكاتب خبرة المحاسبة بشكل يومي مع البيانات المالية السرية للغاية: الملفات الضريبية والميزانيات وكشوف الرواتب والإحداثيات المصرفية لمئات الشركات العميلة. في عام 2025، وفقاً لالتقرير السنوي لـ ANSSI، زادت هجمات التصيد الاحتيالي التي تستهدف المهن المنظمة بنسبة 37% في السنة. في مواجهة هذا التهديد، تشكل المصادقة ثنائية العاملين (2FA) — المعروفة أيضاً بالمصادقة متعددة العوامل (MFA) — خط الدفاع التقني الأول الموصى به.

تعتمد المصادقة ثنائية العاملين على مبدأ بسيط: للوصول إلى النظام، يجب على المستخدم إثبات هويته من خلال عنصرين مختلفين. الأول عادة ما يكون "شيء تعرفه" (كلمة مرور)، والثاني هو "شيء تمتلكه" (هاتف ذكي أو مفتاح فيزيائي) أو "شيء أنت عليه" (بيانات بيومترية). تجعل هذه الآلية الهجمات من خلال سرقة كلمة المرور وحدها شبه مستحيلة، والتي لا تزال تمثل 81% من انتهاكات البيانات وفقاً لتقرير Verizon DBIR 2024.

بالنسبة للخبراء المحاسبين، فإن الامتثال لنظام eIDAS ومتطلبات التعريف القوي لم يعد خياراً: إنها ضرورة تنظيمية وأخلاقية. توضح هذه المقالة، خطوة بخطوة، كيفية تكوين 2FA في مكتبك، وأي الأدوات تختار، وكيفية مساعدة زملائك في هذا الانتقال.

---

طرق المصادقة ثنائية العاملين المناسبة لقطاع المحاسبة

تطبيقات المصادقة (TOTP)

الطريقة الأكثر انتشاراً في المكاتب المحاسبية هي استخدام تطبيق يولد أكواد زمنية (TOTP — كلمة مرور لمرة واحدة مستندة إلى الوقت). تقوم حلول مثل Google Authenticator و Microsoft Authenticator و Authy بإنشاء رمز مكون من 6 أرقام يتجدد كل 30 ثانية. يرتبط هذا الرمز بسر مشترك يتم تخزينه في التطبيق أثناء مرحلة التسجيل (مسح رمز الاستجابة السريعة).

المميزات للمكاتب: نشر بدون تكلفة إضافية، يعمل بدون اتصال بالإنترنت، متوافق مع جميع برامج المحاسبة تقريباً (Sage و Cegid و ACD و MyUnisoft). العيب: إذا فقد الموظف هاتفه، يجب توقع إجراء الاسترجاع (الاحتفاظ برموز الطوارئ في مكان آمن).

مفاتيح الأمان الفيزيائية (FIDO2/WebAuthn)

بالنسبة للمكاتب التي تتعامل مع كميات كبيرة من البيانات الحساسة أو تخضع لعمليات تدقيق متكررة، توفر مفاتيح الأمان المادية (من نوع YubiKey أو Feitian) أعلى مستوى حماية. بناءً على معايير FIDO2 و WebAuthn، فهي مقاومة للتصيد الاحتيالي بحكم التصميم: يتحقق المفتاح من نطاق الموقع بشكل تشفيري قبل المصادقة، مما يحيد هجمات "الرجل الأوسط".

بشكل متزايد، تميل المزيد من بوابات الضرائب ومنصات الإيداع الإلزامي (DGFiP و infogreffe) إلى قبول هذه المعايير. يمكن لمكتب يدير حوالي مائة تفويض أن يسترد استثماره من شراء المفاتيح (حوالي 50-80 يورو للوحدة) في غضون بضعة أسابيع من خلال تقليل وقت إدارة حوادث الأمان.

SMS OTP: يجب تجنبها للبيانات الحساسة

على الرغم من أن الأكواس المرسلة عبر SMS تبقى خياراً في العديد من الأنظمة، إلا أن NIST الأمريكي (المعهد الوطني لمعايير والتكنولوجيا) قام بخفض درجتها في عام 2016 من فئة طرق المصادقة القوية. استهدفت هجمات SIM swapping (النقل الاحتيالي لرقم هاتف إلى بطاقة SIM يتحكم بها مهاجم) عدة مكاتب محاسبية فرنسية في السنوات الأخيرة. بالنسبة للوصول إلى البيانات الضريبية أو الأدوات الخاصة بـ التوقيع الإلكتروني للمكاتب القانونية والمحاسبية، يجب أن يعتبر SMS OTP فقط كحل أخير.

---

كيفية تكوين المصادقة ثنائية العاملين: دليل خطوة بخطوة

الخطوة 1 — جرد التطبيقات وتحديد النطاق

قبل أي نشر تقني، قم بإعداد جرد شامل لجميع التطبيقات المستخدمة في مكتبك:

• برامج المحاسبة: Cegid Loop و Sage 100 Cloud و ACD Inforce و Quadratus و MyUnisoft
• البريد الإلكتروني والأدوات التعاونية: Microsoft 365 و Google Workspace و Slack
• أدوات إدارة المستندات والتوقيع: منصات الإيداع وأدوات سير العمل
• الوصول عن بعد: VPN و RDP والمكاتب الافتراضية
• بوابات العملاء: مساحات تبادل المستندات مع العملاء

لكل تطبيق، تحقق مما إذا كانت 2FA متاحة (قسم "الأمان" في الإعدادات) وما هي الطريقة المدعومة (TOTP أو FIDO2 أو SMS). صنف التطبيقات حسب الحساسية بناءً على حساسية البيانات التي يمكن الوصول إليها.

الخطوة 2 — النشر التقني وتسجيل الموظفين

بالنسبة إلى Microsoft 365، يتم التكوين عبر بوابة Azure Active Directory (Entra ID). قم بتنشيط "Security Defaults" أو، بالنسبة للمكاتب التي يضم أكثر من 10 موظفين، قم بتكوين سياسات الوصول الشرطي (المتوفرة من ترخيص Business Premium). تسمح هذه السياسات بفرض 2FA فقط في ظروف معينة: الوصول من خارج المكتب أو الاتصال من جهاز غير معروف أو ساعة غير معتادة.

بالنسبة للبرامج المحاسبية، يختلف الإجراء حسب الناشر:

• Cegid Loop: إعدادات الأمان > تفعيل المصادقة الثنائية > توليد رموز الاستجابة السريعة لكل مستخدم
• MyUnisoft: الإدارة > الأمان > المصادقة القوية > فرض 2FA لجميع الملفات الشخصية
• Sage 100 Cloud: تواصل مع مسؤول Sage أو بائع الجملة الخاص بك لتنشيط وحدة MFA

خطط لجلسة تسجيل مع كل موظف (15 إلى 20 دقيقة لكل شخص). وزع على كل مستخدم ورقة ملخصة مع رموز الاسترجاع الخاصة به، للاحتفاظ بها في مكان آمن وفيزيائي (خزنة المكتب، على سبيل المثال).

الخطوة 3 — سياسة الإدارة وإجراءات الطوارئ

النشر التقني هو فقط نصف العمل. يجب أن توضح سياسة الأمان الموثقة:

• من يمكنه تعطيل 2FA مؤقتاً (مسؤول النظام فقط، وليس الموظف نفسه أبداً)
• إجراء فقدان الجهاز: حظر الحساب الفوري وإعادة إنشاء رموز الطوارئ وإعادة التسجيل بإشراف
• تكرار المراجعة: تدقيق نصف سنوي للوصول والطرق المصادقة
• إدارة المغادرات: إلغاء الوصول الفوري والأسرار 2FA عند أي مغادرة للموظف

تتكامل هذه السياسة بشكل طبيعي في خطة استمرارية عملك (PCA) وفي سجل معالجة البيانات بموجب GDPR. استشارة مركز مساعدة Certyneo يمكن أن تزودك بنماذج سياسات مكيفة مع الهياكل الصغيرة والمتوسطة.

---

دمج 2FA مع أدوات التوقيع الإلكتروني

يتطلب التوقيع الإلكتروني المتقدم أو المؤهل، كما هو محدد في نظام eIDAS، تعريف قوي للموقّع. عملياً، عندما ينقل مكتبك خطاب التفويض أو عقد الخدمة إلى عميل للتوقيع، يجب على منصة التوقيع التحقق من هوية الموقّع بقوة. هذا بالضبط حيث يأتي دور 2FA.

في منصات التوقيع المتوافقة مع eIDAS (مستوى متقدم أو مؤهل)، يتلقى الموقّع رابطاً عبر البريد الإلكتروني، ثم يجب عليه التحقق من هويته عبر قناة ثانية (SMS أو تطبيق مصادقة أو شهادة مؤهلة). ينتج عن هذه العملية مسار تدقيق مؤرخ وقابل للتحقق من الناحية التشفيرية، والذي يشكل دليلاً لا دحض فيه في حالة النزاع — مشكلة حاسمة للخبراء المحاسبين الذين يلتزمون مسؤوليتهم المدنية المهنية في كل مهمة.

لفهم المستويات المختلفة للتوقيع واختيار المستوى المناسب لتدفقات المستندات الخاصة بك، من المستحسن قراءة الدليل الشامل للتوقيع الإلكتروني. تستفيد المكاتب التي تستخدم Certyneo من التكامل الأصلي للـ 2FA في رحلة التوقيع، مما يقلل الاحتكاك للموقّع مع الحفاظ على مستوى الامتثال المطلوب.

يجب إيلاء اهتمام خاص لـ خطابات التفويض (إلزامية وفقاً للمعيار المهني 2400 من OEC) و تقارير مراقب الحسابات: تلتزم هذه الوثائق بالمسؤولية الشخصية للمحترف وتتطلب تتبعاً للمصادقة لا يمكن الطعن فيه. يمكنك استخدام مولد العقود بالذكاء الاصطناعي لأتمتة إنشاء هذه المستندات مع دمج متطلبات المصادقة القوية في التصميم منذ البداية.

---

تدريب وتوعية الموظفين: العامل البشري

أي نشر تقني صارم يتم تجريده من فعاليته إذا لم يفهم الموظفون القضايا أو يتجاوزون أجهزة الأمان. في خبرة المحاسبة، تتكون الفرق غالباً من ملفات شخصية متنوعة جداً: شركاء كبار وموظفين جونيين ومتدربين ومساعدات مدير. يجب تكييف التدريب مع كل ملف شخصي.

برنامج التوعية الموصى به لمكتب من 5 إلى 30 شخصاً:

1. جلسة الإطلاق (1 ساعة): عرض المخاطر الملموسة (أمثلة من الحوادث الفعلية المجهولة الهوية في القطاع) وعرض توضيحي حي للتكوين والأسئلة والأجوبة
2. دروس فيديو قصيرة (3-5 دقائق لكل منها): درس واحد لكل تطبيق حرج، متاح في إنترانت المكتب
3. تمرين تصيد محاكى: إرسال بريد إلكتروني تصيد مزيف في غضون 3 أشهر من النشر لقياس اليقظة الحقيقية وتحديد الموظفين الذين يحتاجون إلى مساعدة إضافية
4. التكامل في الإدراج: يقوم كل موظف جديد بتكوين 2FA الخاص به في يومه الأول، مع مرجع مخصص

يقدم الترتيب الفرنسي للخبراء المحاسبين (OEC) أيضاً موارد تدريبية حول الأمن السيبراني ضمن التزامات التدريب المستمر السنوية (40 ساعة للخبراء المحاسبين المسجلين في الجدول). يمكن أن تقيّم هذه التدريبات في نهجك بضمان الجودة إذا كان مكتبك معتمد ISO 9001 أو يسعى للحصول على شهادة الأمن السيبراني (علامة ExpertCyber من ANSSI، على سبيل المثال).

الإطار القانوني الواجب تطبيقه على المصادقة القوية في خبرة المحاسبة

يقع تنفيذ المصادقة ثنائية العاملين في مكتب خبرة محاسبية ضمن إطار تنظيمي كثيف، يتمحور حول عدة نصوص أساسية.

نظام eIDAS رقم 910/2014 وإعادة النظر فيه eIDAS 2.0 (اللائحة الأوروبية 2024/1183) يشكل الأساس المرجعي لكل ما يتعلق بالتعريف الإلكتروني في أوروبا. تعرّف المادة 8 ثلاثة مستويات من التأكيد لوسائل التعريف الإلكترونية: منخفضة وموضوعية وعالية. بالنسبة للأعمال التي تلتزم بمسؤولية خبير محاسب (توقيع التقارير والتحقق من الملفات الضريبية عبر الإنترنت)، يلزم مستوى ضمان "موضوعي" أو "عالي"، مما يعني بالضرورة المصادقة متعددة العوامل.

GDPR (اللائحة الأوروبية 2016/679)، في مادتها 32، تفرض على معالجي البيانات تنفيذ "تدابير تقنية وتنظيمية مناسبة" لضمان أمان البيانات الشخصية. يعالج مكتب خبرة محاسبة بيانات شخصية حساسة (بيانات مالية وبيانات صحية عبر كشوف الرواتب مع إجازات المرض، إلخ). يشكل عدم وجود 2FA على الوصول إلى برامج المحاسبة انتهاكاً محتملاً جداً لهذه المادة، مما يعرض المكتب لعقوبات قد تصل إلى 4% من إجمالي رقم الأعمال السنوي العالمي (المادة 83 من GDPR).

القانون المدني، المواد 1366 و 1367، تنظم القيمة القانونية للتوقيع الإلكتروني. توضح المادة 1367 أن "موثوقية إجراء التوقيع الإلكتروني يُفترض، حتى يثبت خلاف ذلك، عندما يطبق هذا الإجراء توقيعاً إلكترونياً مؤهلاً". المصادقة القوية هي مكون أساسي من هذا الافتراض للموثوقية.

توجيه NIS2 (التوجيه الأوروبي 2022/2555)، المدرجة في القانون الفرنسي بموجب القانون رقم 2024-449 المؤرخ 21 مايو 2024 ومراسيمها التطبيقية، توسع التزامات الأمن السيبراني لطيف واسع من الكيانات. على الرغم من أن مكاتب خبرة المحاسبة غير مدرجة مباشرة كمؤسسات أساسية، إلا أن تلك التي توفر خدمات رقمية لكيانات أساسية أو مهمة (مؤسسات الرعاية الصحية والجماعات المحلية والشركات البنية التحتية الحرجة) قد تخضع للالتزامات بشكل غير مباشر عبر عقود التزويد الخاصة بها.

المعيار المهني 2400 من الترتيب الفرنسي للخبراء المحاسبين يفرض بالإضافة إلى ذلك التزام الوسائل المعززة فيما يتعلق بأمان أنظمة المعلومات للمكاتب التي تتعامل مع المهام القانونية. توصي ANSSI بشكل صريح بـ MFA كإجراء أدنى في دليلها "أمان أنظمة المعلومات للشركات الصغيرة والمتوسطة" (الإصدار 2024).

المسؤولية المدنية المهنية: في حالة انتهاك البيانات الناتج عن غياب 2FA، قد يستحضر المؤمن عليه RCP للمكتب خطأً متميزاً لتقليل أو رفض الضمان. يُنصح بقوة بالاحتفاظ بالتوثيق التقني لنشر 2FA كدليل على الجهد.

سيناريوهات الاستخدام: 2FA عملياً في المكاتب المحاسبية

السيناريو 1 — مكتب خبرة محاسبية بحجم متوسط

قرر مكتب يضم حوالي 15 موظفاً وإدارة حوالي 400 تفويض نشط نشر 2FA على جميع أدواته بعد حادث تصيد اقترب من تعريض الوصول إلى برنامج الرواتب. اختارت الإدارة Microsoft Authenticator على Microsoft 365 (البريد الإلكتروني و SharePoint و Teams) والتطبيقات TOTP الأصلية لبرنامج المحاسبة السحابي.

تم النشر في ثلاثة أسابيع: أسبوع من الجرد والإعدادات وأسبوع من تسجيل الموظفين في مجموعات من خمسة وأسبوع من المتابعة وتصحيح المشاكل. النتيجة: لا حوادث من اختراق الحساب في الـ 12 شهراً التالية، مقابل حادثتين في السنة السابقة. تم تقليل وقت إدارة حوادث الأمان بحوالي 70%. كان المكتب قادراً أيضاً على تبرير عدة عملاء من العملاء الكبار (بما في ذلك شركة صناعية صغيرة ومتوسطة تفرض ميثاق أمان الموردين) أن أنظمته تحترم متطلبات MFA.

السيناريو 2 — مكتب متخصص في التدقيق القانوني للشركات الصغيرة والمتوسطة

واجه مكتب مراقب حسابات يدير حوالي 60 تفويض تدقيق قانوني متطلباً محدداً: يطلب عدد متزايد من عملائه إثباتاً على الامتثال لـ GDPR عند تجديد المهام. اختار المكتب نشر مفاتيح أمان FIDO2 للشركاء (الوصول إلى الملفات الأكثر حساسية) وتطبيقات TOTP للموظفين الكبار، مع الحفاظ على SMS OTP فقط للوصول إلى حساسية منخفضة.

بالتوازي، قام المكتب بدمج التوقيع الإلكتروني المتقدم في تدفقات تقارير مراقب الحسابات، مع المصادقة القوية للموقّع. بفضل مسار التدقيق الذي تم إنشاؤه، تمكنت نزاعات محتملة مع عملاء طعنوا في التاريخ الفعلي لتسليم التقرير من أن تُحل لصالح المكتب بإنتاج سجلات المصادقة المؤرخة. كما أدى تقليل وقت توقيع التقارير (من 5 أيام بالمتوسط إلى أقل من 24 ساعة) إلى تسهيل الفواتير وتحسين تدفق النقد للمكتب بحوالي 15%.

السيناريو 3 — مكتب في مرحلة النمو الخارجي

وجد شبكة إقليمية من المكاتب المحاسبية التي استحوذت على ثلاث هياكل مستقلة في عامين نفسها بعدم تجانس كبير في الأنظمة: لم يكن لدى بعض المكاتب المستحوذ عليها أي سياسة 2FA، بينما كان لدى البعض الآخر استخدام SMS OTP. استفادت المجموعة من هذا التكامل لتوحيد حل موحد لإدارة الهوية (IAM — Identity and Access Management) مع 2FA الإلزامية.

تم تقدير الاستثمار الأولي (تراخيص IAM والتدريب والمساعدة) بحوالي 8000 يورو للمجموعة بأكملها (حوالي 45 موظفاً). في المقابل، تم تقدير تقليل التكاليف المرتبطة بحوادث الأمان (تدخلات مقدم الخدمات الحاسوبية وإدارة الأزمات) بـ 15000-20000 يورو في السنة الأولى. كانت المجموعة قادرة أيضاً على التفاوض على تخفيض قسط التأمين السيبراني بنسبة تبلغ حوالي 20% بتزويد المؤمن لديها بتوثيق نشر 2FA.

الخلاصة

المصادقة ثنائية العاملين لم تعد من الرفاهيات المحفوظة للهياكل الكبيرة: إنها ضرورة أمنية وامتثال لأي مكتب خبرة محاسبية، بغض النظر عن حجمه. بين متطلبات GDPR وتوصيات ANSSI والالتزامات eIDAS للتوقيع الإلكتروني والضغط المتزايد من العملاء على معايير أمان مزودي الخدمات، أصبح