Двухфакторная аутентификация: руководство для бухгалтерской деятельности

Почему двухфакторная аутентификация незаменима в деятельности экспертов-бухгалтеров

Фирмы аудита и бухгалтерского учета ежедневно обрабатывают весьма конфиденциальные финансовые данные: налоговые отчеты, балансы, ведомости заработной платы, банковские реквизиты сотен клиентских компаний. В 2025 году, согласно годовому отчету ANSSI, атаки фишинга, направленные на регулируемые профессии, выросли на 37% в течение года. Перед лицом этой угрозы двухфакторная аутентификация (2FA), также называемая многофакторной аутентификацией (MFA), представляет собой первую рекомендуемую техническую линию защиты.

Двухфакторная аутентификация основана на простом принципе: для доступа к системе пользователь должен доказать свою личность посредством двух различных элементов. Первый обычно — это «то, что вы знаете» (пароль), второй — это «то, что вы имеете» (смартфон, физический ключ) или «то, что вы есть» (биометрические данные). Этот механизм делает практически невозможными атаки через кражу пароля, которые все еще составляют 81% нарушений данных согласно отчету Verizon DBIR 2024.

Для экспертов-бухгалтеров приведение в соответствие с положением eIDAS и его требованиями сильной идентификации больше не опция: это нормативная и этическая необходимость. Эта статья объясняет вам пошагово, как настроить 2FA в вашей фирме, какие инструменты выбрать и как помочь вашим сотрудникам в этом переходе.

---

Методы двухфакторной аутентификации, адаптированные к бухгалтерскому сектору

Приложения аутентификации (TOTP)

Наиболее распространенный метод в бухгалтерских фирмах — использование приложения, генерирующего временные коды (TOTP — Time-based One-Time Password). Решения, такие как Google Authenticator, Microsoft Authenticator или Authy, генерируют 6-значный код, обновляемый каждые 30 секунд. Этот код связан с общим секретом, хранящимся в приложении во время этапа регистрации (сканирование QR-кода).

Преимущества для фирм: развертывание без дополнительных затрат, работает без подключения к Интернету, совместимо с практически всеми программами бухгалтерского учета (Sage, Cegid, ACD, MyUnisoft). Недостаток: если сотрудник потеряет телефон, процедура восстановления должна быть продумана заранее (коды восстановления должны храниться в безопасном месте).

Физические ключи безопасности (FIDO2/WebAuthn)

Для фирм, обрабатывающих большие объемы конфиденциальных данных или подлежащих частым аудитам, аппаратные ключи безопасности (тип YubiKey или Feitian) обеспечивают наивысший уровень защиты. Основанные на стандартах FIDO2 и WebAuthn, они устойчивы к фишингу по конструкции: ключ криптографически проверяет домен сайта перед аутентификацией, что нейтрализует атаки типа «человек посередине».

Все большее число налоговых порталов и платформ обязательного депозита (DGFiP, infogreffe) склоняются к признанию этих стандартов. Фирма, управляющая сотней мандатов, может окупить покупку ключей (около 50-80 € за единицу) в течение нескольких недель благодаря сокращению времени на управление инцидентами безопасности.

OTP через SMS: следует избегать конфиденциальных данных

Хотя коды, отправленные по SMS, остаются опцией во многих системах, американский NIST (Национальный институт стандартов и технологий) переклассифицировал их в 2016 году из категории методов сильной аутентификации. Атаки путем подмены SIM-карты (мошенническая передача номера телефона на SIM-карту, контролируемую злоумышленником) затронули несколько французских бухгалтерских фирм в последние годы. Для доступа к налоговым данным или инструментам электронной подписи для юридических и бухгалтерских фирм OTP через SMS следует рассматривать только как решение последней инстанции.

---

Как настроить двухфакторную аутентификацию: пошаговое руководство

Шаг 1 — Инвентаризация приложений и определение периметра

Перед любым техническим развертыванием составьте исчерпывающий перечень всех приложений, используемых в вашей фирме:

• Программы бухгалтерского учета: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Мессенджеры и инструменты сотрудничества: Microsoft 365, Google Workspace, Slack
• Инструменты управления документами и подписей: платформы депозита, инструменты рабочего процесса
• Удаленные доступы: VPN, RDP, виртуальные рабочие столы
• Клиентские порталы: пространства обмена документами с клиентами

Для каждого приложения проверьте, доступна ли 2FA (раздел «Безопасность» параметров) и какой метод поддерживается (TOTP, FIDO2, SMS). Классифицируйте приложения по критичности в зависимости от конфиденциальности доступных данных.

Шаг 2 — Техническое развертывание и регистрация сотрудников

Для Microsoft 365 конфигурация выполняется через портал Azure Active Directory (Entra ID). Активируйте «Security Defaults» или, для фирм с более чем 10 сотрудниками, настройте политики Условного доступа (доступные со скидкой Business Premium). Эти политики позволяют требовать 2FA только при определенных условиях: доступ извне офиса, вход с неизвестного устройства, необычное время.

Для программ бухгалтерского учета процедура варьируется в зависимости от издателя:

• Cegid Loop: параметры безопасности > включить двойную аутентификацию > создать QR-коды для каждого пользователя
• MyUnisoft: администрирование > безопасность > сильная аутентификация > принудить 2FA для всех профилей
• Sage 100 Cloud: обратитесь к администратору Sage или вашему реселлеру для активации модуля MFA

Запланируйте сеанс регистрации с каждым сотрудником (15-20 минут на человека). Раздайте каждому пользователю справочный лист с его кодами восстановления, который необходимо хранить в безопасном и физическом месте (сейф фирмы, например).

Шаг 3 — Политика управления и процедуры чрезвычайных ситуаций

Техническое внедрение — только половина работы. Документированная политика безопасности должна уточнить:

• Кто может временно отключить 2FA (только администратор системы, никогда не сам сотрудник)
• Процедура потери устройства: немедленная блокировка учетной записи, регенерация кодов восстановления, контролируемая переконфигурация
• Частота проверки: полугодовой аудит доступов и методов аутентификации
• Управление отходами: немедленное отзыв доступов и секретов 2FA при любом уходе сотрудника

Эта политика естественным образом интегрируется в ваш план непрерывности деятельности (PCA) и в реестр обработки данных в смысле GDPR. Консультация центра помощи Certyneo может предоставить вам шаблоны политик, адаптированные к небольшим и средним структурам.

---

Интеграция 2FA с инструментами электронной подписи

Усовершенствованная или квалифицированная электронная подпись, как определено в положении eIDAS, требует сильной идентификации подписывающего. Конкретно, когда ваша фирма передает письмо о задании или контракт на услугу клиенту для подписания, платформа подписи должна надежно проверить личность подписывающего. Именно здесь вступает в силу 2FA.

На платформах подписи, соответствующих eIDAS (усовершенствованный или квалифицированный уровень), подписывающий получает ссылку по электронной почте, затем должен подтвердить свою личность через второй канал (SMS, приложение аутентификации или квалифицированный сертификат). Этот процесс создает трассировку аудита с отметкой времени и криптографически проверяемую, что представляет неопровержимое доказательство в случае судебного разбирательства — критический вопрос для экспертов-бухгалтеров, которые берут на себя ответственность за каждую миссию.

Чтобы понять различные уровни подписи и выбрать тот, который подходит для ваших потоков документов, рекомендуется прочитать полное руководство по электронной подписи. Фирмы, использующие Certyneo, получают встроенную интеграцию 2FA в процесс подписи, что снижает нагрузку на подписывающего при сохранении требуемого уровня соответствия.

Особое внимание должно быть уделено письмам о задании (обязательно согласно профессиональному стандарту 2400 OEC) и отчетам о проверке: эти документы берут на себя личную ответственность профессионала и требуют безупречной отчетности аутентификации. Вы также можете использовать генератор контрактов на основе ИИ для автоматизации создания этих документов при интеграции требований сильной аутентификации в конструкцию.

---

Обучение и осведомление сотрудников: человеческий фактор

Самое строгое техническое развертывание становится неэффективным, если сотрудники не понимают ставок или обходят устройства безопасности. В деятельности экспертов-бухгалтеров команды часто состоят из очень разных профилей: старшие партнеры, молодые сотрудники, стажеры, помощницы директора. Обучение должно быть адаптировано к каждому профилю.

Рекомендуемая программа повышения осведомленности для фирмы из 5-30 человек:

1. Сеанс запуска (1 час): представление конкретных рисков (примеры реальных инцидентов в анонимизированном секторе), живая демонстрация конфигурации, вопросы и ответы
2. Короткие видеоруководства (3-5 минут каждое): одно руководство для каждого критического приложения, доступное в интрасети фирмы
3. Имитационное упражнение по фишингу: отправка поддельного фишингового письма через 3 месяца после развертывания для измерения реальной бдительности и определения сотрудников, требующих дополнительной поддержки
4. Интеграция в адаптацию: каждый новый сотрудник настраивает свою 2FA в первый день с выделенным контактным лицом

Орден экспертов-бухгалтеров (OEC) также предоставляет ресурсы для повышения квалификации по кибербезопасности в контексте обязательного годового обучения (40 часов для экспертов-бухгалтеров, зарегистрированных в списке). Эти обучения могут быть оценены в вашем подходе качества, если ваша фирма сертифицирована по ISO 9001 или стремится к сертификации кибербезопасности (например, этикетка ExpertCyber ANSSI).

Применимая правовая база для сильной аутентификации в деятельности экспертов-бухгалтеров

Внедрение двухфакторной аутентификации в фирме экспертов-бухгалтеров подпадает под плотный нормативный каркас, структурированный вокруг нескольких фундаментальных текстов.

Положение eIDAS №910/2014 и его пересмотр eIDAS 2.0 (Положение ЕС 2024/1183) составляют основу для всего, что касается электронной идентификации в Европе. Статья 8 определяет три уровня гарантии для средств электронной идентификации: низкий, существенный и высокий. Для действий, берущих на себя ответственность эксперта-бухгалтера (подпись отчетов, валидация налоговых отчетов в Интернете), требуется уровень гарантии «существенный» или «высокий», что обязательно подразумевает многофакторную аутентификацию.

GDPR (Положение ЕС 2016/679), в его статье 32, требует от контролеров данных внедрения надлежащих технических и организационных мер для обеспечения безопасности личных данных. Фирма экспертов-бухгалтеров обрабатывает конфиденциальные личные данные (финансовые данные, данные о здоровье через ведомости заработной платы с больничными листами и т. д.). Отсутствие 2FA при доступе к программам бухгалтерского учета, вероятно, представляет собой нарушение этой статьи, подвергая фирму штрафам, достигающим 4% годового мирового оборота (статья 83 GDPR).

Гражданский кодекс, статьи 1366 и 1367, регулируют юридическую ценность электронной подписи. Статья 1367 уточняет, что «надежность процесса электронной подписи предполагается, пока не доказано иное, когда этот процесс реализует квалифицированную электронную подпись». Сильная аутентификация является существенным компонентом этой презумпции надежности.

Директива NIS2 (Директива ЕС 2022/2555), транспонированная в французское право законом № 2024-449 от 21 мая 2024 года и его указами об имплементации, расширяет обязательства кибербезопасности на широкий спектр объектов. Хотя фирмы экспертов-бухгалтеров прямо не указаны как существенные объекты, те, которые предоставляют цифровые услуги существенным или важным объектам (учреждения здравоохранения, местные органы власти, компании критической инфраструктуры), могут быть подчинены обязательствам косвенно через контракты на оказание услуг.

Профессиональный стандарт 2400 Ордена экспертов-бухгалтеров также налагает усиленное обязательство средств в отношении безопасности информационных систем для фирм, осуществляющих юридические миссии. ANSSI явно рекомендует MFA как минимальную меру в своем руководстве «Безопасность информационных систем для микропредприятий/малых и средних предприятий» (издание 2024).

Профессиональная гражданская ответственность: в случае нарушения данных клиентов в результате отсутствия 2FA страховщик RCP фирмы может ссылаться на серьезную вину для сокращения или отказа в гарантии. Настоятельно рекомендуется сохранять техническую документацию развертывания 2FA как доказательство усердия.

Сценарии использования: 2FA на практике в бухгалтерских фирмах

Сценарий 1 — Средняя бухгалтерская фирма

Фирма, объединяющая около пятнадцати сотрудников и управляющая примерно 400 активными мандатами, решила развернуть 2FA на всех своих инструментах после инцидента фишинга, который едва не скомпрометировал доступ к программе расчета заработной платы. Руководство выбрало Microsoft Authenticator для Microsoft 365 (электронная почта, SharePoint, Teams) и встроенные приложения TOTP своей облачной программы бухгалтерского учета.

Развертывание было реализовано в течение трех недель: неделя инвентаризации и параметризации, неделя регистрации сотрудников группами по пять человек, неделя мониторинга и исправления проблем. Результат: ноль инцидентов компрометирования учетной записи в течение следующих 12 месяцев, против двух инцидентов в предыдущем году. Время управления инцидентами безопасности было сокращено примерно на 70%. Фирма также смогла доказать нескольким клиентам больших компаний (включая промышленное микропредприятие, которое требует хартию поставщика безопасности), что его системы соответствуют требованиям MFA.

Сценарий 2 — Фирма, специализирующаяся на аудите малых предприятий

Фирма по проверке счетов, управляющая около шестидесяти мандатами обязательного аудита, столкнулась с конкретным требованием: все большее число его клиентов требуют доказательство соответствия GDPR при возобновлении миссий. Фирма выбрала ключи безопасности FIDO2 для партнеров (доступ к наиболее конфиденциальным файлам) и приложения TOTP для старших сотрудников, сохраняя OTP через SMS только для доступов низкой чувствительности.

Параллельно фирма интегрировала усовершенствованную электронную подпись в свои потоки отчетов о проверке с систематической сильной аутентификацией подписывающего. Благодаря создаваемой трассировке аудита два потенциальных спора с клиентами, оспаривающими фактическую дату предоставления отчета, были разрешены в пользу фирмы путем предоставления логов аутентификации с отметкой времени. Сокращение сроков подписи отчетов (со среднего 5 дней до менее чем 24 часов) также помогло упростить процесс выставления счетов и улучшить ликвидность фирмы примерно на 15%.

Сценарий 3 — Фирма в фазе внешнего роста

Региональная сеть бухгалтерских фирм, поглотившая три независимые структуры за два года, оказалась с значительной неоднородностью систем: некоторые поглощенные фирмы не имели никакой политики 2FA, другие использовали OTP через SMS. Группа воспользовался этой интеграцией для стандартизации единого решения управления идентификацией (IAM — Identity and Access Management) с обязательной 2FA.

Начальные инвестиции (лицензии IAM, обучение, поддержка) были оценены примерно в 8000 € для всей группы (около 45 сотрудников). В обмен на это снижение затрат, связанных с инцидентами безопасности (вмешательства поставщика ИТ, управление кризисом), было оценено на 15000-20000 € за первый год. Группа также смогла договориться о снижении своего страхового взноса кибербезопасности примерно на 20%, предоставив своему страховщику документацию развертывания 2FA.

Заключение

Двухфакторная аутентификация больше не роскошь, зарезервированная для крупных структур: это императив безопасности и соответствия для любой фирмы экспертов-бухгалтеров, независимо от ее размера. Между требованиями GDPR, рекомендациями ANSSI, обязательствами eIDAS для электронной подписи и растущим давлением клиентов на нормы безопасности своих поставщиков услуг, 2FA стала неизбежным стандартом в секторе.

Хорошая новость: развертывание сегодня доступно, быстро и недорого. Следуя шагам, описанным в этой статье — инвентаризация приложений, выбор подходящего метода, регистрация сотрудников, составление документированной политики — ваша фирма может достичь надежного уровня безопасности в течение нескольких недель.

Certyneo нативно интегрирует сильную аутентификацию в свои потоки электронной подписи, позволяя вам объединить соответствие eIDAS и безопасность MFA без дополнительной сложности. Откройте для себя наши предложения и тарифы или свяжитесь с нашей командой для персонализированной поддержки по приведению вашей фирмы в соответствие.