Cours complet de CEJM — Thème 4 : L'impact du numérique pour le BTS SAM. Révise efficacement avec StudentAI.
> Référentiel CEJM BTS — Thème 1 : L'intégration de l'entreprise dans son environnement numérique | Thème transversal : Le numérique et la transformation des organisations
---
La transformation numérique des entreprises — cloud computing, télétravail, objets connectés (IoT), mobilité (BYOD — Bring Your Own Device) — accroît considérablement leur surface d'attaque, c'est-à-dire l'ensemble des points d'entrée potentiels pour un acteur malveillant. Cette réalité fait de la cybersécurité un enjeu stratégique de premier ordre, au même titre que la gestion financière ou la politique commerciale.
La cybersécurité désigne l'ensemble des moyens techniques, organisationnels, juridiques et humains mis en œuvre pour protéger les systèmes d'information (SI) contre les atteintes à leur disponibilité, leur intégrité et leur confidentialité — les trois piliers du modèle DIC, référence fondamentale du domaine.
Pour le comptable-gestionnaire, la cybersécurité n'est pas un sujet réservé aux informaticiens : elle engage la responsabilité juridique de l'entreprise, impacte sa performance financière et structure sa gouvernance. Un incident de sécurité peut entraîner une indisponibilité du logiciel comptable, la fuite de données clients, une mise en cause de la responsabilité civile de l'employeur et des sanctions de la CNIL pouvant atteindre 4 % du chiffre d'affaires mondial annuel (art. 83 RGPD).
---
Le Règlement Général sur la Protection des Données (RGPD), règlement UE 2016/679, applicable depuis le 25 mai 2018, constitue le cadre juridique central pour toute entreprise traitant des données à caractère personnel au sein de l'Union européenne. Il est complété en droit français par la loi Informatique et Libertés n°78-17 du 6 janvier 1978, modifiée par la loi n°2018-493 du 20 juin 2018.
Principes fondamentaux du RGPD (art. 5) :
| Principe | Contenu | Application comptable |
| --- | --- | --- |
| Licéité, loyauté, transparence | Tout traitement doit avoir une base légale | La paie repose sur l'exécution du contrat de travail |
| Limitation des finalités | Les données ne peuvent être utilisées qu'aux fins déclarées | Les données clients ne peuvent pas servir à la prospection sans consentement |
| Minimisation des données | Seules les données strictement nécessaires sont collectées | Un cabinet ne collecte que les RIB utiles aux virements |
| Exactitude | Les données doivent être tenues à jour | Mise à jour régulière des coordonnées fournisseurs |
| Limitation de la conservation | Les données sont conservées le temps nécessaire | Durée légale de conservation des documents comptables : 10 ans (art. L123-22 Code de commerce) |
| Intégrité et confidentialité | Mesures de sécurité techniques et organisationnelles appropriées | Chiffrement des fichiers de paie |
Les obligations de l'entreprise responsable de traitement :
---
La directive NIS (Network and Information Security, directive UE 2016/1148), transposée en France par la loi n°2018-133 du 26 février 2018, impose des obligations de sécurité renforcées aux Opérateurs de Services Essentiels (OSE) — secteurs énergie, transport, santé, banque — et aux Fournisseurs de Services Numériques (FSN).
La directive NIS2 (directive UE 2022/2555), en cours de transposition dans les États membres, élargit considérablement le périmètre des entités concernées et renforce les obligations de gouvernance, de gestion des risques et de notification des incidents.
---
Le Code pénal sanctionne les atteintes aux systèmes d'information :
| Article | Infraction | Peine maximale |
| --- | --- | --- |
| Art. 323-1 C. pénal | Accès frauduleux à un STAD (Système de Traitement Automatisé de Données) | 3 ans d'emprisonnement et 100 000 € d'amende |
| Art. 323-2 C. pénal | Entrave au fonctionnement d'un STAD (attaque DDoS) | 5 ans et 150 000 € |
| Art. 323-3 C. pénal | Introduction frauduleuse de données dans un STAD | 5 ans et 150 000 € |
| Art. 323-4 C. pénal | Participation à un groupement en vue de ces infractions | 5 ans et 150 000 € |
---
L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), créée par le décret n°2009-834 du 7 juillet 2009, est l'autorité nationale en matière de cybersécurité et de cyberdéfense. Rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), elle assure quatre missions principales :
1. Prévention : publication de guides et référentiels (dont le guide d'hygiène informatique, référence des bonnes pratiques)
2. Protection : qualification des produits et services de sécurité
3. Réaction : assistance aux victimes d'incidents (notamment les OIV — Opérateurs d'Importance Vitale)
4. Formation et sensibilisation : à destination des entreprises et administrations
> Pour un cabinet d'expertise comptable ou une PME, l'ANSSI met à disposition le dispositif cybermalveillance.gouv.fr, plateforme nationale d'assistance aux victimes de cyberattaques.
La Commission Nationale de l'Informatique et des Libertés (CNIL), autorité administrative indépendante créée par la loi de 1978, est chargée de veiller à l'application du RGPD en France. Elle dispose d'un pouvoir de contrôle et de sanction. Tout comptable-gestionnaire doit connaître son existence et son rôle.
---
Tableaux récapitulatifs, mnémotechniques, exercices corrigés, QCM et colle orale IA — tout est inclus.
S'inscrire gratuitementLa cybersécurité désigne l'ensemble des mesures et pratiques visant à protéger les systèmes d'information, les réseaux et les données contre les cybermenaces. Elle assure la confidentialité, l'intégrité et la disponibilité des informations en ligne.
La cybersécurité est cruciale car elle protège les entreprises contre les cyberattaques qui peuvent coûter des milliards de dollars. De plus, les entreprises doivent respecter des réglementations comme le RGPD pour protéger les données personnelles.
Les menaces en cybersécurité incluent les malwares, le phishing, les attaques DDoS et l'ingénierie sociale. Chacune de ces menaces peut compromettre la sécurité des systèmes d'information et des données.
Les malwares sont des logiciels malveillants qui infectent les systèmes, tels que les virus ou les ransomwares. Un exemple célèbre est le ransomware WannaCry, qui a paralysé des milliers d'organisations en 2017.
Le phishing est une technique d'escroquerie par email visant à obtenir des informations sensibles en se faisant passer pour une entité de confiance. Par exemple, une attaque de phishing a ciblé des employés de grandes entreprises en envoyant de faux emails.
Les entreprises doivent utiliser des mots de passe robustes, effectuer des mises à jour régulières des logiciels, réaliser des sauvegardes fréquentes des données et sensibiliser leurs employés aux risques de cybersécurité.
Des mots de passe robustes rendent plus difficile l'accès non autorisé aux systèmes d'information. Ils doivent être complexes, d'au moins 12 caractères et inclure des majuscules, des minuscules, des chiffres et des symboles.
Pour se préparer à une attaque DDoS, les entreprises peuvent mettre en place des solutions de protection comme des pare-feu, des systèmes de détection d'intrusion et des services de mitigation DDoS qui aident à gérer le trafic et à maintenir la disponibilité des services.
QCM illimités, colle orale IA, flashcards et bien plus — 100% gratuit.
Commencer à réviser