Autentikasi Dua Faktor: Panduan untuk Akuntansi

Mengapa autentikasi dua faktor sangat penting dalam keahlian akuntansi

Kantor keahlian akuntansi menangani data keuangan yang sangat rahasia setiap hari: dokumen fiskal, neraca, slip gaji, koordinat perbankan dari ratusan perusahaan klien. Pada tahun 2025, menurut laporan tahunan ANSSI, serangan phishing yang menargetkan profesi yang diatur mengalami peningkatan 37% dalam satu tahun. Menghadapi ancaman ini, autentikasi dua faktor (2FA) — juga disebut autentikasi multifaktor (MFA) — merupakan lini pertahanan teknis pertama yang direkomendasikan.

Autentikasi dua faktor didasarkan pada prinsip sederhana: untuk mengakses sistem, pengguna harus membuktikan identitasnya melalui dua elemen berbeda. Yang pertama biasanya "sesuatu yang Anda ketahui" (kata sandi), yang kedua adalah "sesuatu yang Anda miliki" (smartphone, kunci fisik) atau "sesuatu yang Anda adalah" (data biometrik). Mekanisme ini membuat serangan pencurian kata sandi saja hampir tidak mungkin terjadi, yang masih merupakan 81% dari pelanggaran data menurut laporan Verizon DBIR 2024.

Bagi akuntan profesional, keselarasan dengan regulasi eIDAS dan persyaratan identifikasi kuatnya bukan lagi pilihan: ini adalah kebutuhan peraturan dan etika. Artikel ini menjelaskan, langkah demi langkah, cara mengonfigurasi 2FA di kantor Anda, alat apa yang harus dipilih, dan cara mendampingi kolaborator Anda dalam transisi ini.

---

Metode autentikasi dua faktor yang sesuai untuk sektor akuntansi

Aplikasi autentikasi (TOTP)

Metode paling umum di kantor akuntansi adalah penggunaan aplikasi yang menghasilkan kode temporal (TOTP — Time-based One-Time Password). Solusi seperti Google Authenticator, Microsoft Authenticator, atau Authy menghasilkan kode 6 digit yang diperbarui setiap 30 detik. Kode ini dikaitkan dengan rahasia bersama yang disimpan di aplikasi selama fase pendaftaran (pemindaian kode QR).

Keuntungan untuk kantor: penerapan tanpa biaya tambahan, berfungsi offline, kompatibel dengan hampir semua perangkat lunak akuntansi (Sage, Cegid, ACD, MyUnisoft). Kerugian: jika kolaborator kehilangan ponselnya, prosedur pemulihan harus diantisipasi (kode cadangan disimpan di tempat yang aman).

Kunci keamanan fisik (FIDO2/WebAuthn)

Untuk kantor yang menangani volume besar data sensitif atau tunduk pada audit sering, kunci keamanan materi (tipe YubiKey atau Feitian) menawarkan tingkat perlindungan tertinggi. Berdasarkan standar FIDO2 dan WebAuthn, mereka tahan terhadap phishing secara desain: kunci memverifikasi domain situs secara kriptografis sebelum melakukan autentikasi, yang menghilangkan serangan tipe "man-in-the-middle".

Semakin banyak portal fiskal dan platform pengajuan wajib (DGFiP, infogreffe) cenderung menerima standar ini. Kantor yang mengelola seratus mandat dapat menguntungkan pembelian kunci (sekitar 50-80 € per unit) dalam beberapa minggu berkat pengurangan waktu manajemen insiden keamanan.

SMS OTP: hindari untuk data sensitif

Meskipun kode yang dikirim via SMS tetap menjadi pilihan di banyak sistem, NIST Amerika (Lembaga Standar dan Teknologi Nasional) menurunkan pangkatnya pada tahun 2016 dari kategori metode autentikasi kuat. Serangan SIM swapping (transfer penipuan nomor telepon ke kartu SIM yang dikontrol oleh penyerang) telah menyentuh beberapa kantor akuntansi Perancis beberapa tahun terakhir. Untuk akses ke data fiskal atau alat tanda tangan elektronik untuk kantor hukum dan akuntansi, SMS OTP hanya boleh dianggap sebagai solusi upaya terakhir.

---

Cara mengonfigurasi autentikasi dua faktor: panduan langkah demi langkah

Langkah 1 — Inventaris aplikasi dan definisi ruang lingkup

Sebelum penerapan teknis apa pun, buat inventaris lengkap semua aplikasi yang digunakan di kantor Anda:

• Perangkat lunak akuntansi: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Pesan dan alat kolaboratif: Microsoft 365, Google Workspace, Slack
• Alat manajemen dokumen dan tanda tangan: platform pengajuan, alat alur kerja
• Akses jarak jauh: VPN, RDP, desktop virtual
• Portal klien: ruang pertukaran dokumen dengan klien

Untuk setiap aplikasi, periksa apakah 2FA tersedia (bagian "Keamanan" pengaturan) dan metode apa yang didukung (TOTP, FIDO2, SMS). Klasifikasikan aplikasi berdasarkan kritikalitas berdasarkan sensitivitas data yang dapat diakses.

Langkah 2 — Penerapan teknis dan pendaftaran kolaborator

Untuk Microsoft 365, konfigurasi dilakukan melalui portal Azure Active Directory (Entra ID). Aktifkan "Security Defaults" atau, untuk kantor dengan lebih dari 10 kolaborator, konfigurasikan kebijakan Akses Bersyarat (tersedia mulai lisensi Business Premium). Kebijakan ini memungkinkan memerlukan 2FA hanya dalam kondisi tertentu: akses dari luar kantor, login dari perangkat yang tidak dikenal, jam yang tidak biasa.

Untuk perangkat lunak akuntansi, prosedurnya berbeda-beda tergantung editor:

• Cegid Loop: pengaturan keamanan > aktifkan autentikasi ganda > hasilkan kode QR untuk setiap pengguna
• MyUnisoft: administrasi > keamanan > autentikasi kuat > paksa 2FA untuk semua profil
• Sage 100 Cloud: hubungi administrator Sage atau reseller Anda untuk mengaktifkan modul MFA

Rencanakan sesi pendaftaran dengan setiap kolaborator (15-20 menit per orang). Distribusikan ke setiap pengguna lembar ringkasan dengan kode pemulihan mereka, disimpan di tempat yang aman dan fisik (brankas kantor, misalnya).

Langkah 3 — Kebijakan manajemen dan prosedur darurat

Penerapan teknis hanya setengah dari pekerjaan. Kebijakan keamanan yang didokumentasikan harus menentukan:

• Siapa yang dapat menonaktifkan 2FA sementara (hanya administrator sistem, tidak pernah kolaborator itu sendiri)
• Prosedur kehilangan perangkat: pemblokiran akun segera, regenerasi kode cadangan, pendaftaran ulang di bawah pengawasan
• Frekuensi tinjauan: audit enam bulanan akses dan metode autentikasi
• Manajemen keberangkatan: pencabutan akses segera dan rahasia 2FA saat keberangkatan kolaborator

Kebijakan ini terintegrasi secara alami dalam rencana kontinuitas bisnis Anda (PCA) dan dalam registri pemrosesan data menurut RGPD. Konsultasi pusat bantuan Certyneo dapat memberikan Anda template kebijakan yang disesuaikan untuk struktur kecil dan menengah.

---

Integrasi 2FA dengan alat tanda tangan elektronik

Tanda tangan elektronik lanjutan atau berkualitas, seperti yang didefinisikan oleh regulasi eIDAS, memerlukan identifikasi kuat dari penandatangan. Secara konkret, ketika kantor Anda mengirimkan surat perjanjian atau kontrak layanan kepada klien untuk ditandatangani, platform tanda tangan harus memverifikasi identitas penandatangan dengan cara yang kuat. Itulah yang dilakukan 2FA.

Di platform tanda tangan yang mematuhi eIDAS (tingkat lanjutan atau berkualitas), penandatangan menerima tautan melalui email, kemudian harus memvalidasi identitas mereka melalui saluran kedua (SMS, aplikasi autentikasi atau sertifikat berkualitas). Proses ini menciptakan jejak audit dengan cap waktu dan dapat diverifikasi secara kriptografi, yang merupakan bukti pasti dalam kasus sengketa — masalah penting bagi akuntan profesional yang menaggung tanggung jawab sipil profesional mereka untuk setiap misi.

Untuk memahami tingkat tanda tangan yang berbeda dan memilih yang sesuai dengan alur dokumen Anda, membaca panduan lengkap tanda tangan elektronik direkomendasikan. Kantor yang menggunakan Certyneo mendapat manfaat dari integrasi asli 2FA dalam alur tanda tangan, yang mengurangi gesekan bagi penandatangan sambil mempertahankan tingkat kepatuhan yang diperlukan.

Perhatian khusus harus diberikan pada surat perjanjian (wajib menurut standar profesional 2400 OEC) dan laporan komite pengaudit: dokumen ini mengganggu tanggung jawab pribadi profesional dan memerlukan ketertelusuran autentikasi yang sempurna. Anda juga dapat menggunakan generator kontrak dengan AI untuk mengotomatisasi pembuatan dokumen ini sambil mengintegrasikan kebutuhan autentikasi kuat sejak awal desain.

---

Melatih dan meningkatkan kesadaran kolaborator: faktor manusia

Penerapan teknis paling ketat menjadi tidak efektif jika kolaborator tidak memahami pertaruhan atau menghindari perangkat keamanan. Dalam keahlian akuntansi, tim sering terdiri dari profil yang sangat beragam: mitra senior, kolaborator junior, magang, asisten direktur. Pelatihan harus disesuaikan dengan setiap profil.

Program kesadaran yang direkomendasikan untuk kantor 5 hingga 30 orang:

1. Sesi peluncuran (1 jam): presentasi risiko konkret (contoh insiden nyata anonim di sektor), demonstrasi langsung konfigurasi, tanya jawab
2. Tutorial video pendek (3-5 menit masing-masing): satu tutorial per aplikasi kritis, tersedia di intranet kantor
3. Latihan phishing simulasi: pengiriman email phishing palsu 3 bulan setelah penerapan untuk mengukur kewaspadaan nyata dan mengidentifikasi kolaborator yang memerlukan dukungan tambahan
4. Integrasi dalam onboarding: setiap kolaborator baru mengonfigurasi 2FA pada hari pertama mereka, dengan referensi khusus

Ordre des Experts-Comptables (OEC) juga menawarkan sumber daya pelatihan berkelanjutan tentang keamanan siber sebagai bagian dari kewajiban pelatihan tahunan (40 jam untuk ahli-ahli akuntansi terdaftar di dewan). Pelatihan ini dapat dihargai dalam pendekatan kualitas Anda jika kantor Anda bersertifikat ISO 9001 atau menargetkan sertifikasi keamanan siber (label ExpertCyber ANSSI, misalnya).

Kerangka hukum yang berlaku untuk autentikasi kuat dalam keahlian akuntansi

Penerapan autentikasi dua faktor di kantor keahlian akuntansi berada dalam kerangka peraturan yang padat, yang berpusat pada beberapa teks fundamental.

Regulasi eIDAS No. 910/2014 dan revisinya eIDAS 2.0 (Regulasi UE 2024/1183) membentuk dasar referensi untuk semua yang berkaitan dengan identifikasi elektronik di Eropa. Artikel 8 mendefinisikan tiga tingkat jaminan untuk sarana identifikasi elektronik: rendah, substansial, dan tinggi. Untuk tindakan yang mempertaruhkan tanggung jawab profesional akuntan profesional (penandatanganan laporan, validasi lembar fiskal online), tingkat jaminan "substansial" atau "tinggi" diperlukan, yang secara otomatis menyiratkan autentikasi multifaktor.

RGPD (Regulasi UE 2016/679), dalam pasal 32-nya, memberlakukan pada tanggung jawab pemrosesan untuk menerapkan "tindakan teknis dan organisasi yang sesuai" untuk menjamin keamanan data pribadi. Kantor keahlian akuntansi memproses data pribadi sensitif (data keuangan, data kesehatan melalui slip gaji dengan izin sakit, dll). Tidak adanya 2FA pada akses ke perangkat lunak akuntansi kemungkinan besar merupakan pelanggaran artikel ini, yang mengekspos kantor terhadap sanksi yang dapat mencapai 4% dari pendapatan tahunan global (pasal 83 RGPD).

Kode Sipil, pasal 1366 dan 1367, mengatur nilai hukum tanda tangan elektronik. Pasal 1367 menentukan bahwa "keandalan proses tanda tangan elektronik dianggap sesuai hukum, sampai bukti sebaliknya, ketika proses ini menerapkan tanda tangan elektronik berkualitas". Autentikasi kuat adalah komponen penting dari presumsi keandalan ini.

Direktif NIS2 (Direktif UE 2022/2555), yang ditransposisikan ke hukum Perancis oleh hukum No. 2024-449 tanggal 21 Mei 2024 dan dekrit implementasinya, memperluas kewajiban keamanan siber ke spektrum entitas yang luas. Meskipun kantor keahlian akuntansi tidak secara langsung terdaftar sebagai entitas penting, mereka yang menyediakan layanan digital kepada entitas penting atau signifikan (lembaga kesehatan, pemerintah lokal, perusahaan infrastruktur kritis) dapat dikenakan kewajiban melalui kontrak layanan mereka.

Standar profesional 2400 Ordre des Experts-Comptables selain itu memberlakukan kewajiban sarana yang ditingkatkan dalam hal keamanan sistem informasi untuk kantor yang menangani misi hukum. ANSSI secara eksplisit merekomendasikan MFA sebagai ukuran minimal dalam panduannya "Keamanan Sistem Informasi untuk UKM/UMK" (edisi 2024).

Tanggung jawab sipil profesional: jika terjadi pelanggaran data klien yang diakibatkan oleh tidak adanya 2FA, penanggung asuransi RCP kantor dapat mendalilkan kesalahan yang jelas untuk mengurangi atau menolak garansinya. Sangat disarankan untuk menyimpan dokumentasi teknis penerapan 2FA sebagai bukti diligence.

Skenario penggunaan: 2FA dalam praktik di kantor akuntansi

Skenario 1 — Kantor keahlian akuntansi berukuran menengah

Kantor yang mengelompokkan lima belas kolaborator dan mengelola sekitar 400 mandat aktif memutuskan untuk menerapkan 2FA di semua alatnya setelah insiden phishing yang hampir mengorbankan akses ke perangkat lunak gajinyanya. Manajemen memilih Microsoft Authenticator di Microsoft 365 (email, SharePoint, Teams) dan untuk aplikasi TOTP asli perangkat lunak akuntansi cloudnya.

Penerapan dilakukan dalam tiga minggu: satu minggu inventaris dan penyetelan parameter, satu minggu pendaftaran kolaborator dalam kelompok lima orang, satu minggu tindak lanjut dan perbaikan masalah. Hasil: nol insiden kompromi akun dalam 12 bulan berikutnya, versus dua insiden tahun sebelumnya. Waktu manajemen insiden keamanan berkurang sekitar 70%. Kantor juga dapat membuktikan kepada beberapa klien besar (termasuk UKM industri yang menggunakan klien yang memberlakukan piagam keamanan supplier) bahwa sistem mereka mematuhi persyaratan MFA.

Skenario 2 — Kantor yang khusus dalam audit hukum UKM

Kantor audit yang mengurus enam puluh mandat audit hukum dihadapkan pada persyaratan khusus: klien mereka semakin banyak meminta bukti keselarasan RGPD saat pembaruan misi. Kantor memilih untuk menerapkan kunci keamanan FIDO2 untuk mitra (akses ke folder paling sensitif) dan aplikasi TOTP untuk kolaborator senior, sambil mempertahankan SMS OTP hanya untuk akses sensitivitas rendah.

Secara paralel, kantor mengintegrasikan tanda tangan elektronik lanjutan dalam alur laporannya tentang komite pengaudit, dengan autentikasi kuat penandatangan sistematis. Berkat jejak audit yang dihasilkan, dua sengketa potensial dengan klien yang membantah tanggal penyerahan laporan yang efektif dapat diselesaikan dengan baik untuk kantor dengan menghasilkan log autentikasi dengan cap waktu. Pengurangan penundaan penandatanganan laporan (dari rata-rata 5 hari menjadi kurang dari 24 jam) juga memungkinkan penyederhanaan faktur dan peningkatan kas kantor sekitar 15%.

Skenario 3 — Kantor dalam fase pertumbuhan eksternal

Jaringan regional kantor akuntansi yang menyerap tiga struktur independen dalam dua tahun menemukan dirinya dengan heterogenitas penting sistem: beberapa kantor yang diserap tidak memiliki kebijakan 2FA apa pun, yang lain menggunakan SMS OTP. Kelompok memanfaatkan integrasi ini untuk menyelaraskan pada solusi manajemen identitas terpadu (IAM) dengan 2FA wajib.

Investasi awal (lisensi IAM, pelatihan, pendampingan) diperkirakan sekitar 8 000 € untuk seluruh kelompok (sekitar 45 kolaborator). Sebagai gantinya, pengurangan biaya yang terkait dengan insiden keamanan (intervensi penyedia IT, manajemen krisis) diperkirakan 15 000-20 000 € selama tahun pertama. Kelompok juga dapat menegosiasikan pengurangan premi asuransi siber mereka sekitar 20% dengan memberikan ke asuradsor dokumentasi penerapan 2FA.

Kesimpulan

Autentikasi dua faktor tidak lagi menjadi kemewahan yang dicadangkan untuk struktur besar: ini adalah kebutuhan keamanan dan kepatuhan wajib untuk setiap kantor keahlian akuntansi, terlepas dari ukurannya. Antara persyaratan RGPD, rekomendasi ANSSI, kewajiban eIDAS untuk tanda tangan elektronik, dan tekanan klien yang terus meningkat pada standar keamanan penyedia mereka, 2FA telah menjadi standar penting dari sektor.

Kabar baiknya: penerapan saat ini dapat diakses, cepat, dan murah. Dengan mengikuti langkah-langkah yang dijelaskan dalam artikel ini — inventaris aplikasi, pilihan metode yang sesuai, pendaftaran kolaborator, penyusunan kebijakan yang didokumentasikan — kantor Anda dapat mencapai tingkat keamanan yang kuat dalam beberapa minggu.

Certyneo mengintegrasikan autentikasi kuat secara asli dalam alur tanda tangan elektroniknya, memungkinkan Anda menggabungkan keselarasan eIDAS dan keamanan MFA tanpa kompleksitas tambahan. Temukan penawaran dan harga kami atau hubungi tim kami untuk pendampingan yang dipersonalisasi terhadap keselarasan kantor Anda.