Authentification deux facteurs : guide pour la comptabilité

Pourquoi l'authentification deux facteurs est indispensable en expertise comptable

Les cabinets d'expertise comptable traitent quotidiennement des données financières hautement confidentielles : liasses fiscales, bilans, bulletins de salaire, coordonnées bancaires de centaines d'entreprises clientes. En 2025, selon le rapport annuel de l'ANSSI, les attaques par phishing ciblant les professions réglementées ont augmenté de 37 % en un an. Face à cette menace, l'authentification à deux facteurs (2FA) — aussi appelée authentification multifacteur (MFA) — constitue la première ligne de défense technique recommandée.

L'authentification deux facteurs repose sur un principe simple : pour accéder à un système, l'utilisateur doit prouver son identité via deux éléments distincts. Le premier est généralement « quelque chose que l'on sait » (un mot de passe), le second est « quelque chose que l'on possède » (un smartphone, une clé physique) ou « quelque chose que l'on est » (données biométriques). Ce mécanisme rend quasiment impossibles les attaques par vol de mot de passe seul, qui représentent encore 81 % des violations de données selon le rapport Verizon DBIR 2024.

Pour les experts-comptables, la mise en conformité avec le règlement eIDAS et ses exigences d'identification forte n'est plus une option : c'est une nécessité réglementaire et éthique. Cet article vous explique, étape par étape, comment configurer la 2FA dans votre cabinet, quels outils choisir et comment accompagner vos collaborateurs dans cette transition.

---

Les méthodes d'authentification deux facteurs adaptées au secteur comptable

Les applications d'authentification (TOTP)

La méthode la plus répandue dans les cabinets comptables est l'utilisation d'une application générant des codes temporels (TOTP — Time-based One-Time Password). Des solutions comme Google Authenticator, Microsoft Authenticator ou Authy génèrent un code à 6 chiffres renouvelé toutes les 30 secondes. Ce code est associé à un secret partagé stocké dans l'application lors de la phase d'enrôlement (scan d'un QR code).

Avantages pour les cabinets : déploiement sans coût supplémentaire, fonctionne hors connexion, compatible avec la quasi-totalité des logiciels comptables (Sage, Cegid, ACD, MyUnisoft). Inconvénient : si le collaborateur perd son téléphone, la procédure de récupération doit être anticipée (codes de secours à conserver en lieu sûr).

Les clés de sécurité physiques (FIDO2/WebAuthn)

Pour les cabinets traitant des volumes importants de données sensibles ou soumis à des audits fréquents, les clés de sécurité matérielles (type YubiKey ou Feitian) offrent le niveau de protection le plus élevé. Basées sur les standards FIDO2 et WebAuthn, elles sont résistantes au phishing par conception : la clé vérifie cryptographiquement le domaine du site avant de s'authentifier, ce qui neutralise les attaques de type « man-in-the-middle ».

De plus en plus de portails fiscaux et de plateformes de dépôt obligatoire (DGFiP, infogreffe) tendent à accepter ces standards. Un cabinet gérant une centaine de mandats peut rentabiliser l'achat de clés (environ 50-80 € l'unité) en quelques semaines grâce à la réduction du temps de gestion des incidents de sécurité.

Les SMS OTP : à éviter pour les données sensibles

Bien que les codes envoyés par SMS restent une option dans de nombreux systèmes, le NIST américain (National Institute of Standards and Technology) les a déclassifiés en 2016 de la catégorie des méthodes d'authentification fortes. Les attaques par SIM swapping (transfert frauduleux d'un numéro de téléphone vers une carte SIM contrôlée par un attaquant) ont touché plusieurs cabinets comptables français ces dernières années. Pour les accès aux données fiscales ou aux outils de signature électronique pour les cabinets juridiques et comptables, le SMS OTP ne doit être considéré que comme solution de dernier recours.

---

Comment configurer l'authentification à deux facteurs : guide pas à pas

Étape 1 — Inventaire des applications et définition du périmètre

Avant tout déploiement technique, dressez un inventaire exhaustif de toutes les applications utilisées dans votre cabinet :

• Logiciels comptables : Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Messageries et outils collaboratifs : Microsoft 365, Google Workspace, Slack
• Outils de gestion documentaire et de signature : plateformes de dépôt, outils de workflow
• Accès distants : VPN, RDP, bureaux virtuels
• Portails clients : espaces d'échange de documents avec les clients

Pour chaque application, vérifiez si la 2FA est disponible (section « Sécurité » des paramètres) et quelle méthode est supportée (TOTP, FIDO2, SMS). Classez les applications par criticité en fonction de la sensibilité des données accessibles.

Étape 2 — Déploiement technique et enrôlement des collaborateurs

Pour Microsoft 365, la configuration se fait via le portail Azure Active Directory (Entra ID). Activez la « Security Defaults » ou, pour les cabinets de plus de 10 collaborateurs, configurez des politiques d'Accès conditionnel (disponibles dès la licence Business Premium). Ces politiques permettent d'exiger la 2FA uniquement dans certaines conditions : accès depuis l'extérieur du bureau, connexion depuis un appareil inconnu, horaire inhabituel.

Pour les logiciels comptables, la procédure varie selon l'éditeur :

• Cegid Loop : paramètres de sécurité > activer la double authentification > générer les QR codes pour chaque utilisateur
• MyUnisoft : administration > sécurité > authentification forte > forcer la 2FA pour tous les profils
• Sage 100 Cloud : contacter l'administrateur Sage ou votre revendeur pour activer le module MFA

Prévoyez une session d'enrôlement avec chaque collaborateur (15 à 20 minutes par personne). Distribuez à chaque utilisateur une fiche récapitulative avec ses codes de récupération, à conserver dans un endroit sécurisé et physique (coffre du cabinet, par exemple).

Étape 3 — Politique de gestion et procédures d'urgence

La mise en place technique n'est que la moitié du travail. Une politique de sécurité documentée doit préciser :

• Qui peut désactiver temporairement la 2FA (uniquement l'administrateur système, jamais le collaborateur lui-même)
• Procédure de perte d'appareil : blocage immédiat du compte, régénération des codes de secours, réenrôlement supervisé
• Fréquence de révision : audit semestriel des accès et des méthodes d'authentification
• Gestion des départs : révocation immédiate des accès et des secrets 2FA lors de tout départ de collaborateur

Cette politique s'intègre naturellement dans votre plan de continuité d'activité (PCA) et dans votre registre de traitement des données au sens du RGPD. Consulter le centre d'aide Certyneo peut vous fournir des modèles de politiques adaptés aux petites et moyennes structures.

---

Intégration de la 2FA avec les outils de signature électronique

La signature électronique avancée ou qualifiée, telle que définie par le règlement eIDAS, exige une identification forte du signataire. Concrètement, lorsque votre cabinet transmet une lettre de mission ou un contrat de prestation à signer à un client, la plateforme de signature doit vérifier l'identité du signataire de manière robuste. C'est précisément là qu'intervient la 2FA.

Dans les plateformes de signature conformes eIDAS (niveau avancé ou qualifié), le signataire reçoit un lien par email, puis doit valider son identité via un second canal (SMS, application d'authentification ou certificat qualifié). Ce processus crée une piste d'audit horodatée et cryptographiquement vérifiable, ce qui constitue une preuve irréfutable en cas de litige — un enjeu crucial pour les experts-comptables qui engagent leur responsabilité civile professionnelle sur chaque mission.

Pour comprendre les différents niveaux de signature et choisir celui adapté à vos flux documentaires, la lecture du guide complet de la signature électronique est recommandée. Les cabinets qui utilisent Certyneo bénéficient d'une intégration native de la 2FA dans le parcours de signature, ce qui réduit la friction pour le signataire tout en maintenant le niveau de conformité requis.

Une attention particulière doit être portée aux lettres de mission (obligatoires selon la norme professionnelle 2400 de l'OEC) et aux rapports de commissariat aux comptes : ces documents engagent la responsabilité personnelle du professionnel et nécessitent une traçabilité d'authentification irréprochable. Vous pouvez d'ailleurs utiliser un générateur de contrats par IA pour automatiser la création de ces documents tout en intégrant dès la conception les exigences d'authentification forte.

---

Former et sensibiliser les collaborateurs : le facteur humain

Le déploiement technique le plus rigoureux est rendu inefficace si les collaborateurs ne comprennent pas les enjeux ou contournent les dispositifs de sécurité. En expertise comptable, les équipes sont souvent composées de profils très variés : associés seniors, collaborateurs juniors, stagiaires, assistantes de direction. La formation doit être adaptée à chaque profil.

Programme de sensibilisation recommandé pour un cabinet de 5 à 30 personnes :

1. Session de lancement (1h) : présentation des risques concrets (exemples d'incidents réels anonymisés dans le secteur), démonstration live de la configuration, questions/réponses
2. Tutoriels vidéo courts (3-5 minutes chacun) : un tutoriel par application critique, disponibles dans l'intranet du cabinet
3. Exercice de phishing simulé : envoi d'un faux email de phishing à 3 mois du déploiement pour mesurer la vigilance réelle et identifier les collaborateurs nécessitant un accompagnement supplémentaire
4. Intégration dans l'onboarding : tout nouveau collaborateur configure sa 2FA lors de sa première journée, avec un référent dédié

L'Ordre des Experts-Comptables (OEC) propose également des ressources de formation continue sur la cybersécurité dans le cadre des obligations de formation annuelle (40 heures pour les experts-comptables inscrits au tableau). Ces formations peuvent être valorisées dans votre démarche qualité si votre cabinet est certifié ISO 9001 ou vise une certification de cybersécurité (label ExpertCyber de l'ANSSI, par exemple).

Cadre légal applicable à l'authentification forte en expertise comptable

La mise en place de l'authentification à deux facteurs dans un cabinet d'expertise comptable s'inscrit dans un cadre réglementaire dense, articulé autour de plusieurs textes fondamentaux.

Le Règlement eIDAS n°910/2014 et sa révision eIDAS 2.0 (Règlement UE 2024/1183) constituent le socle de référence pour tout ce qui concerne l'identification électronique en Europe. L'article 8 définit trois niveaux d'assurance pour les moyens d'identification électronique : faible, substantiel et élevé. Pour les actes engageant la responsabilité professionnelle d'un expert-comptable (signature de rapports, validation de liasses fiscales en ligne), le niveau d'assurance « substantiel » ou « élevé » est requis, ce qui implique obligatoirement une authentification multifacteur.

Le RGPD (Règlement UE 2016/679), en son article 32, impose aux responsables de traitement de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité des données personnelles. Un cabinet d'expertise comptable traite des données personnelles sensibles (données financières, données de santé via les bulletins de salaire avec arrêts maladie, etc.). L'absence de 2FA sur les accès aux logiciels comptables constitue très probablement un manquement à cet article, exposant le cabinet à des sanctions pouvant atteindre 4 % du chiffre d'affaires annuel mondial (article 83 RGPD).

Le Code civil, articles 1366 et 1367, encadrent la valeur juridique de la signature électronique. L'article 1367 précise que « la fiabilité d'un procédé de signature électronique est présumée, jusqu'à preuve contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée ». L'authentification forte est un composant essentiel de cette présomption de fiabilité.

La directive NIS2 (Directive UE 2022/2555), transposée en droit français par la loi n°2024-449 du 21 mai 2024 et ses décrets d'application, étend les obligations de cybersécurité à un large spectre d'entités. Bien que les cabinets d'expertise comptable ne soient pas directement listés comme entités essentielles, ceux qui fournissent des services numériques à des entités essentielles ou importantes (établissements de santé, collectivités locales, entreprises d'infrastructure critique) peuvent être soumis à des obligations par ricochet via leurs contrats de prestation.

La norme professionnelle 2400 de l'Ordre des Experts-Comptables impose par ailleurs une obligation de moyens renforcée en matière de sécurité des systèmes d'information pour les cabinets traitant des missions légales. L'ANSSI recommande explicitement la MFA comme mesure minimale dans son guide « Sécurité des systèmes d'information pour les TPE/PME » (édition 2024).

Responsabilité civile professionnelle : en cas de violation de données clients résultant d'une absence de 2FA, l'assureur RCP du cabinet peut invoquer une faute caractérisée pour réduire ou refuser sa garantie. Il est fortement conseillé de conserver la documentation technique de déploiement de la 2FA comme preuve de diligence.

Scénarios d'usage : la 2FA en pratique dans les cabinets comptables

Scénario 1 — Un cabinet d'expertise comptable de taille intermédiaire

Un cabinet regroupant une quinzaine de collaborateurs et gérant environ 400 mandats actifs a décidé de déployer la 2FA sur l'ensemble de ses outils suite à un incident de phishing ayant failli compromettre l'accès à son logiciel de paie. La direction a opté pour Microsoft Authenticator sur Microsoft 365 (messagerie, SharePoint, Teams) et pour les applications TOTP natives de son logiciel comptable cloud.

Le déploiement a été réalisé en trois semaines : une semaine d'inventaire et de paramétrage, une semaine d'enrôlement des collaborateurs par groupes de cinq, une semaine de suivi et de correction des problèmes. Résultat : zéro incident de compromission de compte dans les 12 mois suivants, contre deux incidents l'année précédente. Le temps de gestion des incidents de sécurité a été réduit d'environ 70 %. Le cabinet a également pu justifier auprès de plusieurs clients grands comptes (dont une PME industrielle cliente imposant une charte de sécurité fournisseurs) que ses systèmes respectaient les exigences MFA.

Scénario 2 — Un cabinet spécialisé dans l'audit légal de PME

Un cabinet de commissariat aux comptes gérant une soixantaine de mandats d'audit légal a été confronté à une exigence spécifique : ses clients sont de plus en plus nombreux à demander une preuve de conformité RGPD lors du renouvellement des missions. Le cabinet a choisi de déployer des clés de sécurité FIDO2 pour les associés (accès aux dossiers les plus sensibles) et des applications TOTP pour les collaborateurs seniors, tout en maintenant les SMS OTP uniquement pour les accès à faible sensibilité.

Parallèlement, le cabinet a intégré la signature électronique avancée dans ses flux de rapports de commissariat, avec authentification forte systématique du signataire. Grâce à la piste d'audit générée, deux litiges potentiels avec des clients contestant la date effective de remise d'un rapport ont pu être résolus en faveur du cabinet en produisant les logs d'authentification horodatés. La réduction des délais de signature des rapports (de 5 jours en moyenne à moins de 24 heures) a également permis de fluidifier la facturation et d'améliorer la trésorerie du cabinet d'environ 15 %.

Scénario 3 — Un cabinet en phase de croissance externe

Un réseau régional de cabinets comptables ayant absorbé trois structures indépendantes en deux ans s'est retrouvé avec une hétérogénéité importante de systèmes : certains cabinets absorbés n'avaient aucune politique de 2FA, d'autres utilisaient des SMS OTP. Le groupe a profité de cette intégration pour harmoniser sur une solution unifiée de gestion des identités (IAM — Identity and Access Management) avec 2FA obligatoire.

L'investissement initial (licences IAM, formation, accompagnement) a été estimé à environ 8 000 € pour l'ensemble du groupe (environ 45 collaborateurs). En contrepartie, la réduction des coûts liés aux incidents de sécurité (interventions prestataire informatique, gestion de crise) a été estimée à 15 000-20 000 € sur la première année. Le groupe a également pu négocier une réduction de sa prime d'assurance cyber de l'ordre de 20 % en fournissant à son assureur la documentation de déploiement de la 2FA.

Conclusion

L'authentification à deux facteurs n'est plus un luxe réservé aux grandes structures : c'est un impératif de sécurité et de conformité pour tout cabinet d'expertise comptable, quelle que soit sa taille. Entre les exigences du RGPD, les recommandations de l'ANSSI, les obligations eIDAS pour la signature électronique et la pression croissante des clients sur les normes de sécurité de leurs prestataires, la 2FA est devenue un standard incontournable du secteur.

La bonne nouvelle : le déploiement est aujourd'hui accessible, rapide et peu coûteux. En suivant les étapes décrites dans cet article — inventaire des applications, choix de la méthode adaptée, enrôlement des collaborateurs, rédaction d'une politique documentée — votre cabinet peut atteindre un niveau de sécurité robuste en quelques semaines.

Certyneo intègre nativement l'authentification forte dans ses flux de signature électronique, vous permettant de combiner conformité eIDAS et sécurité MFA sans complexité supplémentaire. Découvrez nos offres et tarifs ou contactez notre équipe pour un accompagnement personnalisé à la mise en conformité de votre cabinet.