المصادقة ثنائية العاملين: دليل شامل للمحاسبة

لماذا تعتبر المصادقة ثنائية العاملين ضرورية في مجال الخبرة المحاسبية

تتعامل مكاتب الخبرة المحاسبية يوميًا مع بيانات مالية سرية للغاية: الملفات الضريبية والميزانيات العمومية وكشوف الرواتب والبيانات المصرفية لمئات الشركات العميلة. وفقًا لتقرير الجنة الوطنية للأمن المعلوماتي (ANSSI) لعام 2025، شهدت هجمات الحيل الاحتيالية عبر البريد الإلكترونيين الموجهة للمهن المنظمة زيادة بنسبة 37٪ في سنة واحدة. في مواجهة هذا التهديد، تعتبر المصادقة ثنائية العاملين (2FA) — المعروفة أيضًا بالمصادقة متعددة العاملين (MFA) — أول خط دفاع تقني موصى به.

تعتمد المصادقة ثنائية العاملين على مبدأ بسيط: للوصول إلى نظام ما، يجب على المستخدم إثبات هويته من خلال عنصرين مختلفين. الأول عادة ما يكون "شيء تعرفه" (كلمة مرور)، والثاني هو "شيء تملكه" (هاتف ذكي أو مفتاح فعلي) أو "شيء أنت عليه" (بيانات بيومترية). هذه الآلية تجعل من هجمات سرقة كلمات المرور وحدها غير محتملة عمليًا، والتي تمثل لا تزال 81٪ من انتهاكات البيانات وفقًا لتقرير Verizon DBIR 2024.

بالنسبة للخبراء المحاسبين، فإن الامتثال لائحة eIDAS ومتطلبات التعريف القوي لم يعد خيارًا: بل هو ضرورة تنظيمية وأخلاقية. توضح هذه المقالة، خطوة بخطوة، كيفية تكوين المصادقة ثنائية العاملين في مكتبك وأي أدوات تختار وكيفية مرافقة موظفيك في هذا الانتقال.

---

طرق المصادقة ثنائية العاملين المناسبة للقطاع المحاسبي

تطبيقات المصادقة (TOTP)

الطريقة الأكثر انتشارًا في مكاتب المحاسبة هي استخدام تطبيق ينتج رموز زمنية (TOTP — كلمة مرور لمرة واحدة على أساس الوقت). حلول مثل Google Authenticator و Microsoft Authenticator أو Authy تولد رمزًا من 6 أرقام يتم تحديثه كل 30 ثانية. يرتبط هذا الرمز بسر مشترك مخزن في التطبيق أثناء مرحلة التسجيل (مسح رمز QR).

المميزات للمكاتب: نشر بدون تكلفة إضافية، يعمل دون اتصال بالإنترنت، متوافق مع جميع برامج المحاسبة تقريبًا (Sage و Cegid و ACD و MyUnisoft). العيب: إذا فقد الموظف هاتفه، يجب توقع إجراء الاسترجاع (يجب الاحتفاظ برموز النسخ الاحتياطي في مكان آمن).

مفاتيح الأمان الفعلية (FIDO2/WebAuthn)

بالنسبة للمكاتب التي تتعامل مع أحجام كبيرة من البيانات الحساسة أو تخضع لتدقيقات متكررة، توفر مفاتيح الأمان المادية (من نوع YubiKey أو Feitian) أعلى مستوى حماية. بناءً على معايير FIDO2 و WebAuthn، فهي محصنة ضد هجمات التحايل بالتصميم: يتحقق المفتاح من النطاق بشكل تشفيري قبل المصادقة، مما يلغي هجمات "الرجل في الوسط".

يميل عدد متزايد من بوابات الضرائب ومنصات الإيداع الإلزامي (DGFiP و infogreffe) إلى قبول هذه المعايير. يمكن لمكتب يدير حوالي مائة ولاية تحقيق ربحية شراء المفاتيح (حوالي 50-80 يورو للوحدة الواحدة) في غضون أسابيع قليلة بفضل تقليل وقت إدارة حوادث الأمان.

رموز SMS OTP: يجب تجنبها للبيانات الحساسة

على الرغم من أن الرموز المرسلة عبر رسائل نصية قصيرة تبقى خيارًا في العديد من الأنظمة، إلا أن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) خفض تصنيفها في عام 2016 من فئة طرق المصادقة القوية. هجمات تبديل بطاقة SIM (نقل احتيالي لرقم هاتف إلى بطاقة SIM يتحكم بها مهاجم) أثرت على عدة مكاتب محاسبة فرنسية في السنوات الأخيرة. بالنسبة للوصول إلى البيانات الضريبية أو أدوات التوقيع الإلكتروني للمكاتب القانونية والمحاسبية، يجب اعتبار SMS OTP فقط كحل أخير.

---

كيفية تكوين المصادقة ثنائية العاملين: دليل خطوة بخطوة

الخطوة 1 — جرد التطبيقات وتحديد نطاق التطبيق

قبل أي نشر تقني، قم بإنشاء قائمة جرد شاملة لجميع التطبيقات المستخدمة في مكتبك:

• برامج المحاسبة: Cegid Loop و Sage 100 Cloud و ACD Inforce و Quadratus و MyUnisoft
• البريد الإلكتروني وأدوات التعاون: Microsoft 365 و Google Workspace و Slack
• أدوات إدارة المستندات والتوقيع: منصات الإيداع وأدوات سير العمل
• الوصول البعيد: VPN و RDP والمكاتب الافتراضية
• بوابات العملاء: مساحات تبادل الوثائق مع العملاء

لكل تطبيق، تحقق من توفر المصادقة ثنائية العاملين (قسم "الأمان" في الإعدادات) والطريقة المدعومة (TOTP أو FIDO2 أو SMS). صنف التطبيقات حسب الأهمية بناءً على حساسية البيانات المتاحة.

الخطوة 2 — النشر التقني وتسجيل الموظفين

بالنسبة لـ Microsoft 365، يتم التكوين عبر بوابة Azure Active Directory (Entra ID). فعّل "معايير الأمان" أو، بالنسبة للمكاتب التي يزيد عدد موظفيها عن 10، قم بتكوين سياسات الوصول الشرطي (المتاحة اعتبارًا من ترخيص Business Premium). تسمح هذه السياسات بفرض المصادقة ثنائية العاملين فقط في ظروف معينة: الوصول من خارج المكتب أو الاتصال من جهاز غير معروف أو وقت غير معتاد.

بالنسبة لبرامج المحاسبة، تختلف الإجراءات حسب الناشر:

• Cegid Loop: الإعدادات الأمنية > تفعيل المصادقة المزدوجة > توليد رموز QR لكل مستخدم
• MyUnisoft: الإدارة > الأمان > المصادقة القوية > فرض المصادقة ثنائية العاملين لجميع الملفات الشخصية
• Sage 100 Cloud: اتصل بمسؤول Sage أو موزعك لتفعيل وحدة MFA

خطط جلسة تسجيل مع كل موظف (15 إلى 20 دقيقة لكل شخص). وزع على كل مستخدم ورقة ملخصة مع رموز الاسترجاع الخاصة به، للاحتفاظ بها في مكان آمن وفعلي (خزنة المكتب، على سبيل المثال).

الخطوة 3 — سياسة الإدارة وإجراءات الطوارئ

النشر التقني هو فقط نصف العمل. يجب أن تحدد سياسة أمان موثقة:

• من يمكنه تعطيل المصادقة ثنائية العاملين مؤقتًا (فقط مسؤول النظام، وليس الموظف نفسه أبدًا)
• إجراء فقدان الجهاز: منع الحساب فورًا، إعادة إنشاء رموز النسخ الاحتياطي، إعادة تسجيل يشرف عليها
• تكرار المراجعة: تدقيق سنوي للوصول والطرق الموصى بها للمصادقة
• إدارة المغادرات: إلغاء الوصول الفوري والأسرار 2FA عند مغادرة أي موظف

تندمج هذه السياسة بشكل طبيعي في خطة استمرارية عملك (PCA) وفي سجل معالجة البيانات بموجب اللائحة العامة لحماية البيانات. استشارة مركز مساعدة Certyneo قد توفر لك نماذج سياسات مكيفة للهياكل الصغيرة والمتوسطة.

---

تكامل المصادقة ثنائية العاملين مع أدوات التوقيع الإلكتروني

يتطلب التوقيع الإلكتروني المتقدم أو المؤهل، كما هو محدد من قبل لائحة eIDAS، تعريفًا قويًا للموقِّع. عمليًا، عندما ينقل مكتبك خطاب تفويض أو عقد خدمة لتوقيعه من قبل عميل، يجب على منصة التوقيع التحقق من هوية الموقِّع بقوة. هذا بالضبط حيث تلعب المصادقة ثنائية العاملين دورها.

في منصات التوقيع الامتثالية eIDAS (المستوى المتقدم أو المؤهل)، يتلقى الموقِّع رابطًا عبر البريد الإلكتروني، ثم يجب أن يؤكد هويته عبر قناة ثانية (رسالة نصية أو تطبيق مصادقة أو شهادة مؤهلة). تنشئ هذه العملية مسار تدقيق بطابع زمني وتحقق من الناحية التشفيرية، مما يشكل إثباتًا لا يُنقض في حالة الخلاف — وهي قضية حاسمة للخبراء المحاسبين الذين يتعهدون بمسؤولياتهم المدنية المهنية في كل مهمة.

لفهم المستويات المختلفة للتوقيع واختيار ما يناسب تدفقات المستندات الخاصة بك، يُنصح بقراءة الدليل الكامل للتوقيع الإلكتروني. المكاتب التي تستخدم Certyneo تستفيد من تكامل أصلي للمصادقة ثنائية العاملين في رحلة التوقيع، مما يقلل الاحتكاك للموقِّع مع الحفاظ على مستوى الامتثال المطلوب.

يجب إيلاء اهتمام خاص لخطابات التفويض (المطلوبة وفقًا للمعيار المهني 2400 من الهيئة) وتقارير التدقيق: تتعهد هذه المستندات بمسؤولية شخصية للمتخصص وتتطلب تتبعًا لا تشوبه شائبة للمصادقة. يمكنك أيضًا استخدام مولد العقود بالذكاء الاصطناعي لأتمتة إنشاء هذه المستندات مع دمج متطلبات المصادقة القوية منذ البداية.

---

تدريب وحساسية الموظفين: العامل البشري

النشر التقني الأكثر صرامة يصبح غير فعال إذا لم يفهم الموظفون المخاطر أو يتجاوزون أجهزة الأمان. في مجال الخبرة المحاسبية، تتكون الفرق غالبًا من ملفات تعريف متنوعة جدًا: شركاء أكبر سنًا والمتعاونين الصغار والمتدربين ومساعدات الاتجاهات. يجب تكييف التدريب مع كل ملف شخصي.

برنامج التوعية الموصى به لمكتب من 5 إلى 30 شخصًا:

1. جلسة الإطلاق (ساعة واحدة): عرض للمخاطر الملموسة (أمثلة من الحوادث الفعلية بدون أسماء في القطاع) وعرض توضيحي مباشر للتكوين وأسئلة/إجابات
2. مقاطع فيديو تعليمية قصيرة (3-5 دقائق لكل واحدة): درس تعليمي واحد لكل تطبيق حاسم، متاح في الإنترانت بالمكتب
3. تمرين محاكاة للتحايل: إرسال بريد إلكتروني احتيالي مزيف بعد 3 أشهر من النشر لقياس اليقظة الفعلية وتحديد الموظفين الذين يحتاجون إلى دعم إضافي
4. التكامل في التوجيه: يقوم كل موظف جديد بتكوين المصادقة ثنائية العاملين في يومه الأول، مع وجود شخص مرجعي مخصص

يوفر الهيئة الفرنسية للخبراء المحاسبين (OEC) أيضًا موارد تدريبية متقدمة حول الأمن السيبراني كجزء من التزامات التدريب السنوي (40 ساعة للخبراء المحاسبين المسجلين في الجدول). يمكن إضفاء القيمة على هذه التدريبات في نهجك للجودة إذا كان مكتبك معتمدًا من ISO 9001 أو يسعى للحصول على شهادة الأمن السيبراني (علامة ExpertCyber من ANSSI، على سبيل المثال).

الإطار القانوني المنطبق على المصادقة القوية في الخبرة المحاسبية

يندرج تطبيق المصادقة ثنائية العاملين في مكتب خبرة محاسبية ضمن إطار تنظيمي كثيف يتمحور حول عدة نصوص أساسية.

اللائحة eIDAS رقم 910/2014 وتعديلها eIDAS 2.0 (اللائحة الأوروبية 2024/1183) تشكل الأساس المرجعي لكل ما يتعلق بالتعريف الإلكتروني في أوروبا. يحدد المقال 8 ثلاثة مستويات تأكيد لوسائل التعريف الإلكتروني: منخفضة وموضوعية وعالية. بالنسبة للأعمال التي تتعهد بمسؤولية متخصصة لخبير محاسبي (التوقيع على التقارير والتحقق من الملفات الضريبية على الإنترنت)، مستوى التأكيد "الموضوعي" أو "العالي" مطلوب، مما يتضمن بالضرورة مصادقة متعددة العاملين.

اللائحة العامة لحماية البيانات (RGPD) (اللائحة الأوروبية 2016/679)، في مادتها 32، تفرض على المسؤول عن المعالجة تطبيق "تدابير تقنية وتنظيمية مناسبة" لضمان أمان البيانات الشخصية. يتعامل مكتب خبرة محاسبي مع بيانات شخصية حساسة (بيانات مالية وبيانات صحية من خلال كشوف الرواتب مع إجازات مرضية، إلخ). يشكل عدم وجود المصادقة ثنائية العاملين على الوصول إلى برامج المحاسبة على الأرجح انتهاكًا لهذه المادة، مما يعرض المكتب لعقوبات قد تصل إلى 4٪ من إجمالي رقم الأعمال السنوي العالمي (المادة 83 من اللائحة العامة لحماية البيانات).

القانون المدني، المواد 1366 و 1367، تضع إطار القيمة القانونية للتوقيع الإلكتروني. تحدد المادة 1367 أن "يُفترض أن تكون موثوقية إجراء التوقيع الإلكتروني، بدون دليل على العكس، عندما ينفذ هذا الإجراء توقيعًا إلكترونيًا مؤهلًا". المصادقة القوية هي مكون أساسي من هذا التفترض بالموثوقية.

توجيه NIS2 (التوجيه الأوروبي 2022/2555)، المترجم إلى القانون الفرنسي بموجب القانون رقم 2024-449 بتاريخ 21 مايو 2024 وقراراته التطبيقية، يوسع التزامات الأمن السيبراني على نطاق واسع من الكيانات. على الرغم من أن مكاتب الخبرة المحاسبية لا تظهر مباشرة في القائمة كمؤسسات أساسية، قد يخضع أولئك الذين يقدمون خدمات رقمية للكيانات الأساسية أو المهمة لالتزامات من خلال عقودهم في الخدمة.

المعيار المهني 2400 من الهيئة الفرنسية للخبراء المحاسبين يفرض بدوره التزامًا معززًا للوسائل فيما يتعلق بأمان الأنظمة المعلوماتية للمكاتب التي تتعامل مع المهام القانونية. توصي ANSSI بصراحة بـ MFA كإجراء أدنى في دليلها "أمان الأنظمة المعلوماتية للشركات الصغيرة والمتوسطة" (الإصدار 2024).

المسؤولية المدنية المهنية: في حالة حدوث انتهاك للبيانات للعملاء نتيجة لعدم وجود المصادقة ثنائية العاملين، قد يستدعي المؤمن عليه للمكتب خطأ مميزًا لتقليل أو رفض ضمانه. يُنصح بقوة الاحتفاظ بالتوثيق التقني لنشر المصادقة ثنائية العاملين كإثبات للحرص.

سيناريوهات الاستخدام: المصادقة ثنائية العاملين في الممارسة العملية في مكاتب المحاسبة

السيناريو 1 — مكتب خبرة محاسبية بحجم متوسط

قرر مكتب يضم حوالي خمسة عشر موظفًا ويدير حوالي 400 ولاية نشطة نشر المصادقة ثنائية العاملين على جميع أدواته بعد حادثة احتيال عبر بريد إلكتروني كادت تؤثر على الوصول إلى برنامج الرواتب الخاص به. اختارت الإدارة Microsoft Authenticator على Microsoft 365 (البريد الإلكتروني و SharePoint و Teams) وتطبيقات TOTP الأصلية ببرنامج محاسبتها السحابي.

تم إجراء النشر على مدار ثلاثة أسابيع: أسبوع واحد من الجرد والتكوين وأسبوع واحد من تسجيل الموظفين في مجموعات من خمسة وأسبوع واحد من المتابعة وتصحيح المشاكل. النتيجة: صفر حادثة من اختراق الحساب في الأشهر الاثني عشر التالية مقابل حادثتين في السنة السابقة. تم تقليل وقت إدارة حوادث الأمان بحوالي 70٪. كان بإمكان المكتب أيضًا أن يبرر لعدة عملاء كبار (بما في ذلك شركة صناعية صغيرة ومتوسطة عميل تفرض ميثاق أمان للموردين) أن أنظمتها تحترم متطلبات MFA.

السيناريو 2 — مكتب متخصص في التدقيق القانوني للشركات الصغيرة والمتوسطة

واجه مكتب تدقيق يدير حوالي ستين ولاية تدقيق قانوني متطلبًا محددًا: عملاؤه بأعداد متزايدة يطالبون بإثبات الامتثال للائحة العامة لحماية البيانات عند تجديد المهام. اختار المكتب نشر مفاتيح أمان FIDO2 للشركاء (الوصول إلى أكثر الملفات حساسية) وتطبيقات TOTP للموظفين الأكبر سنًا، مع الاحتفاظ برموز SMS OTP فقط للوصول منخفض الحساسية.

بالتوازي، قام المكتب بدمج التوقيع الإلكتروني المتقدم في تدفقات تقاريره، مع المصادقة القوية المنتظمة للموقِّع. بفضل مسار التدقيق الذي تم إنشاؤه، استطاعت حالتا نزاع محتملتين مع العملاء يطعنون في التاريخ الفعلي لتسليم التقرير أن تُحل لصالح المكتب من خلال إنتاج سجلات المصادقة الموقوتة. سمح أيضًا بتقليل أوقات توقيع التقارير (من 5 أيام في المتوسط ​​إلى أقل من 24 ساعة) بتسهيل الفواتير وتحسين تدفق نقدي المكتب بحوالي 15٪.

السيناريو 3 — مكتب في مرحلة النمو الخارجي

وجد شبكة إقليمية من مكاتب المحاسبة التي امتصت ثلاث هياكل مستقلة خلال سنتين نفسها مع عدم تجانس كبير في الأنظمة: بعض المكاتب المُمتصة لم تكن لديها سياسة المصادقة ثنائية العاملين، والبعض الآخر استخدم رموز SMS OTP. استفادت المجموعة من هذا الاندماج لتوحيد حل موحد لإدارة الهويات (IAM) مع المصادقة ثنائية العاملين الإلزامية.

تم تقدير الاستثمار الأولي (تراخيص IAM والتدريب والدعم) بحوالي 8000 يورو لمجمل المجموعة (حوالي 45 موظفًا). في المقابل، تم تقدير تقليل التكاليف المرتبطة بحوادث الأمان