Points clés à retenir

1La cybersécurité repose sur trois piliers fondamentaux : Disponibilité, Intégrité, Confidentialité (DIC).
2Le RGPD (règlement UE 2016/679) impose au responsable de traitement des obligations de sécurité (art. 32) et de notification des violations dans les 72 heures à la CNIL (art. 33).
3Le principe de minimisation des données (art. 5 RGPD) fonde juridiquement la gestion des accès selon le besoin de savoir.
4Les atteintes aux systèmes informatiques sont des infractions pénales sanctionnées par les articles 323-1 à 323-7 du Code pénal.
5L'ANSSI est l'autorité nationale française compétente en matière de cybersécurité ; elle publie des guides de référence et qualifie les prestataires.
6La PSSI est le document stratégique validé par la direction générale qui formalise la politique de sécurité de l'entreprise.
7La règle 3-2-1 (3 copies, 2 supports différents, 1 copie hors site) est la référence professionnelle pour les politiques de sauvegarde.
8L'authentification multi-facteurs (MFA) est recommandée par l'ANSSI pour tous les accès distants et les comptes à privilèges.

La Cybersécurité en Entreprise

> Référentiel CEJM BTS — Thème 1 : L'intégration de l'entreprise dans son environnement numérique | Thème transversal : Le numérique et la transformation des organisations

---

Introduction : Le numérique, vecteur de performance et de vulnérabilité

La transformation numérique des entreprises — cloud computing, télétravail, objets connectés (IoT), mobilité (BYOD — Bring Your Own Device) — accroît considérablement leur surface d'attaque, c'est-à-dire l'ensemble des points d'entrée potentiels pour un acteur malveillant. Cette réalité fait de la cybersécurité un enjeu stratégique de premier ordre, au même titre que la gestion financière ou la politique commerciale.

La cybersécurité désigne l'ensemble des moyens techniques, organisationnels, juridiques et humains mis en œuvre pour protéger les systèmes d'information (SI) contre les atteintes à leur disponibilité, leur intégrité et leur confidentialité — les trois piliers du modèle DIC, référence fondamentale du domaine.

Pour le comptable-gestionnaire, la cybersécurité n'est pas un sujet réservé aux informaticiens : elle engage la responsabilité juridique de l'entreprise, impacte sa performance financière et structure sa gouvernance. Un incident de sécurité peut entraîner une indisponibilité du logiciel comptable, la fuite de données clients, une mise en cause de la responsabilité civile de l'employeur et des sanctions de la CNIL pouvant atteindre 4 % du chiffre d'affaires mondial annuel (art. 83 RGPD).

---

I. Le cadre juridique de la cybersécurité

A. Le RGPD et la loi Informatique et Libertés : les fondements du droit des données personnelles

Le Règlement Général sur la Protection des Données (RGPD), règlement UE 2016/679, applicable depuis le 25 mai 2018, constitue le cadre juridique central pour toute entreprise traitant des données à caractère personnel au sein de l'Union européenne. Il est complété en droit français par la loi Informatique et Libertés n°78-17 du 6 janvier 1978, modifiée par la loi n°2018-493 du 20 juin 2018.

Principes fondamentaux du RGPD (art. 5) :

Principe	Contenu	Application comptable
---	---	---
Licéité, loyauté, transparence	Tout traitement doit avoir une base légale	La paie repose sur l'exécution du contrat de travail
Limitation des finalités	Les données ne peuvent être utilisées qu'aux fins déclarées	Les données clients ne peuvent pas servir à la prospection sans consentement
Minimisation des données	Seules les données strictement nécessaires sont collectées	Un cabinet ne collecte que les RIB utiles aux virements
Exactitude	Les données doivent être tenues à jour	Mise à jour régulière des coordonnées fournisseurs
Limitation de la conservation	Les données sont conservées le temps nécessaire	Durée légale de conservation des documents comptables : 10 ans (art. L123-22 Code de commerce)
Intégrité et confidentialité	Mesures de sécurité techniques et organisationnelles appropriées	Chiffrement des fichiers de paie

> ⚠️ Point clé pour l'examen : Le principe de minimisation des données (art. 5 RGPD) fonde juridiquement le principe du « besoin de savoir » en gestion des accès : un employé du service comptable n'a pas accès aux dossiers RH médicaux, non par politique interne arbitraire, mais en application d'une obligation légale européenne.

Les obligations de l'entreprise responsable de traitement :

Tenir un registre des activités de traitement (art. 30 RGPD)

Désigner un Délégué à la Protection des Données (DPO) dans certains cas (art. 37 RGPD)

Notifier les violations de données à la CNIL dans les 72 heures (art. 33 RGPD)

Réaliser une Analyse d'Impact relative à la Protection des Données (AIPD/DPIA) pour les traitements à risque élevé (art. 35 RGPD)

Sanctions : Jusqu'à 20 millions d'euros ou 4 % du CA mondial (art. 83 RGPD). En France, la CNIL a prononcé des sanctions significatives contre des entreprises françaises pour défaut de sécurisation des données.

---

B. La directive NIS et NIS2 : la cybersécurité comme obligation légale sectorielle

La directive NIS (Network and Information Security, directive UE 2016/1148), transposée en France par la loi n°2018-133 du 26 février 2018, impose des obligations de sécurité renforcées aux Opérateurs de Services Essentiels (OSE) — secteurs énergie, transport, santé, banque — et aux Fournisseurs de Services Numériques (FSN).

La directive NIS2 (directive UE 2022/2555), en cours de transposition dans les États membres, élargit considérablement le périmètre des entités concernées et renforce les obligations de gouvernance, de gestion des risques et de notification des incidents.

---

C. Les sanctions pénales : la cybercriminalité dans le Code pénal

Le Code pénal sanctionne les atteintes aux systèmes d'information :

Article	Infraction	Peine maximale
---	---	---
Art. 323-1 C. pénal	Accès frauduleux à un STAD (Système de Traitement Automatisé de Données)	3 ans d'emprisonnement et 100 000 € d'amende
Art. 323-2 C. pénal	Entrave au fonctionnement d'un STAD (attaque DDoS)	5 ans et 150 000 €
Art. 323-3 C. pénal	Introduction frauduleuse de données dans un STAD	5 ans et 150 000 €
Art. 323-4 C. pénal	Participation à un groupement en vue de ces infractions	5 ans et 150 000 €

> Responsabilité civile de l'entreprise victime : Une entreprise qui ne met pas en place des mesures de sécurité adéquates peut voir sa responsabilité délictuelle engagée sur le fondement de l'article 1240 du Code civil si la fuite de ses données cause un préjudice à des tiers (clients, partenaires).

---

II. Les acteurs institutionnels de la cybersécurité

A. L'ANSSI : l'autorité nationale de référence

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), créée par le décret n°2009-834 du 7 juillet 2009, est l'autorité nationale en matière de cybersécurité et de cyberdéfense. Rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), elle assure quatre missions principales :

1. Prévention : publication de guides et référentiels (dont le guide d'hygiène informatique, référence des bonnes pratiques)
2. Protection : qualification des produits et services de sécurité
3. Réaction : assistance aux victimes d'incidents (notamment les OIV — Opérateurs d'Importance Vitale)
4. Formation et sensibilisation : à destination des entreprises et administrations

> Pour un cabinet d'expertise comptable ou une PME, l'ANSSI met à disposition le dispositif cybermalveillance.gouv.fr, plateforme nationale d'assistance aux victimes de cyberattaques.

B. La CNIL : le régulateur des données personnelles

La Commission Nationale de l'Informatique et des Libertés (CNIL), autorité administrative indépendante créée par la loi de 1978, est chargée de veiller à l'application du RGPD en France. Elle dispose d'un pouvoir de contrôle et de sanction. Tout comptable-gestionnaire doit connaître son existence et son rôle.

---

III. La cartographie des cybermenaces

Accède au cours complet gratuitement

Tableaux récapitulatifs, mnémotechniques, exercices corrigés, QCM et colle orale IA — tout est inclus.

S'inscrire gratuitement

Questions fréquentes

Qu'est-ce que le phishing ?

Le phishing est une technique de fraude en ligne où des cybercriminels envoient des emails trompeurs pour inciter les utilisateurs à divulguer des informations sensibles, comme des mots de passe ou des numéros de carte de crédit.

Comment calculer le coût d'une cyberattaque pour une entreprise ?

Le coût d'une cyberattaque peut être calculé en additionnant les pertes directes (comme les rançons) et indirectes (comme la perte de clients, les frais juridiques, et la détérioration de la réputation) sur une période donnée.

Quelle est la différence entre un virus informatique et un ransomware ?

Un virus informatique est un logiciel malveillant qui se propage en infectant d'autres fichiers, tandis qu'un ransomware est un type de malware qui chiffre les données de l'utilisateur et exige une rançon pour les déchiffrer.

Comment protéger mon entreprise contre les attaques DDoS ?

Pour protéger une entreprise contre les attaques DDoS, il est conseillé d'utiliser des services de protection DDoS, de surveiller le trafic réseau pour détecter les anomalies, et d'avoir un plan de réponse aux incidents bien défini.

Autres chapitres — CEJM — Thème 4 : L'impact du numérique

L'économie numérique et les plateformes La protection des données personnelles (RGPD)La transformation numérique de l'entreprise Les systèmes d'information et ERP Le droit du numérique

Prêt à réviser ton BTS SIO SLAM ?

QCM illimités, colle orale IA, flashcards et bien plus — 100% gratuit.

Commencer à réviser