Vagues de cyberattaques visant les cabinets comptables : comment sécuriser la collecte de documents clients et éviter les faux portails Microsoft

18 novembre 2025 - Cet article explique comment des attaques d’hameçonnage utilisant de faux portails Microsoft ciblent actuellement des cabinets comptables et présente les mesures concrètes que les firmes peuvent mettre en place pour recevoir des documents clients de façon sécurisée et éviter la compromission de comptes.

Introduction

Au cours des dernières semaines, plusieurs cabinets comptables au Québec ont été ciblés par une campagne d’hameçonnage sophistiquée.

Des cybercriminels ont utilisé des comptes courriel compromis pour envoyer à des clients des liens frauduleux menant vers des pages qui imitaient presque parfaitement l’interface de connexion de Microsoft 365.

Lorsque les victimes entraient leurs identifiants, les attaquants obtenaient accès à leur boîte courriel, ce qui leur permettait ensuite de compromettre d’autres comptes et d’étendre l’attaque à d’autres organisations.

Cette situation met en lumière une réalité grandissante : les méthodes traditionnelles de réception de documents clients — pièces jointes par courriel, liens de partage ou portails nécessitant un mot de passe — n’offrent plus une protection suffisante pour les cabinets comptables.

À mesure que les cyberattaques deviennent plus ciblées, les firmes doivent repenser la manière dont elles collectent les documents sensibles de leurs clients.

Pourquoi les cybercriminels ciblent les cabinets comptables

Les cabinets comptables sont des cibles de plus en plus attrayantes pour les cybercriminels, car ils manipulent de grandes quantités d’informations financières et personnelles sensibles.

Les déclarations fiscales, états financiers, pièces d’identité et données de paie représentent des informations extrêmement précieuses pour les attaquants.

Une fois qu’un seul compte courriel est compromis, les attaquants peuvent :

  • se faire passer pour le cabinet
  • envoyer de fausses demandes de documents
  • distribuer des liens malveillants aux clients
  • accéder aux pièces jointes confidentielles stockées dans les boîtes courriel

Cela fait des cabinets comptables un point d’entrée idéal pour lancer des campagnes d’hameçonnage à plus grande échelle.

Pourquoi les faux portails Microsoft sont si efficaces

Les attaques d’hameçonnage qui imitent les pages de connexion Microsoft sont particulièrement efficaces parce qu’elles exploitent des habitudes bien ancrées et des interfaces familières.

Ces attaques reposent généralement sur trois faiblesses principales.

1. Les mots de passe saisis à partir de liens reçus par courriel

Lorsque l’authentification dépend d’un lien cliquable reçu par courriel, le risque d’hameçonnage augmente considérablement.

Même des utilisateurs expérimentés peuvent avoir de la difficulté à distinguer une véritable page de connexion Microsoft d’un faux portail bien conçu.

2. Les échanges de documents par courriel

Le courriel demeure la méthode la plus courante pour échanger des documents entre les cabinets et leurs clients.

Cependant, le courriel n’a jamais été conçu comme un canal sécurisé pour l’échange de documents. Les messages peuvent être interceptés, transférés ou conservés indéfiniment dans les boîtes de réception.

3. Le manque de visibilité et de traçabilité

Dans plusieurs cabinets, il est difficile de savoir exactement qui a téléversé, consulté ou téléchargé un document.

Ce manque de visibilité facilite la propagation des campagnes d’hameçonnage sans être détectées.

Le véritable problème : des outils qui ne sont pas conçus pour l’échange sécurisé de documents

Dans la plupart des cas, les incidents de sécurité ne sont pas causés par une erreur humaine, mais par l’utilisation d’outils qui n’ont jamais été conçus pour transmettre des informations financières sensibles.

Les méthodes courantes telles que :

  • les pièces jointes par courriel
  • les liens OneDrive ou SharePoint
  • les dossiers partagés
  • les portails de téléversement sans authentification

peuvent créer plusieurs risques de sécurité et de conformité, notamment :

  • la conservation excessive de documents sensibles dans les boîtes courriel
  • des liens accessibles à « toute personne disposant du lien »
  • une authentification faible ou inexistante
  • un contrôle limité de l’identité de la personne qui accède aux documents
  • une confusion entre les environnements de collaboration internes et externes

Dans un contexte réglementaire où les exigences en matière de protection des renseignements personnels ne cessent d’augmenter, ces méthodes deviennent de plus en plus difficiles à justifier.

Une approche plus simple : la collecte sécurisée de documents clients

Une façon efficace de réduire ces risques consiste à éliminer complètement les mots de passe du processus.

Les solutions modernes de collecte sécurisée de documents permettent aux cabinets de recevoir des documents à l’aide de liens d’accès contrôlés combinés à une authentification forte.

Dans ce modèle :

  • le client reçoit un lien sécurisé unique
  • l’accès est vérifié à l’aide d’un code SMS ou d’un appel téléphonique automatisé
  • aucun mot de passe Microsoft n’est demandé
  • chaque accès est journalisé et traçable
  • les documents expirent automatiquement après traitement

Cette approche réduit considérablement les risques d’hameçonnage tout en simplifiant l’expérience pour les employés et les clients.

Liste de vérification : protéger votre cabinet contre les faux portails Microsoft

Les cabinets comptables peuvent réduire leur exposition aux attaques d’hameçonnage en appliquant quelques mesures simples :

  • Activer l’authentification multifactorielle (2FA) sur tous les comptes courriel
  • Ne jamais saisir de mot de passe à partir d’un lien reçu par courriel
  • Éviter l’envoi de documents sensibles par pièces jointes non chiffrées
  • Centraliser la collecte de documents clients dans un canal sécurisé
  • Limiter l’utilisation des liens de partage « toute personne disposant du lien »
  • Utiliser une authentification forte lorsque les clients téléversent des documents

Repenser la manière dont les cabinets reçoivent les documents clients

À mesure que les cybermenaces évoluent, les cabinets comptables doivent repenser la façon dont ils collectent et gèrent les documents de leurs clients.

Les processus sécurisés de collecte de documents réduisent les risques d’hameçonnage, améliorent la traçabilité et facilitent la conformité aux exigences modernes de protection des renseignements personnels.

En modernisant leurs processus d’échange de documents, les cabinets peuvent mieux protéger leurs clients ainsi que leur réputation.

doclinc aide les cabinets comptables à collecter des documents clients de manière sécurisée grâce à des liens de téléversement authentifiés directement intégrés à Outlook — éliminant les mots de passe, les portails et la friction inutile pour les clients.

Questions fréquentes

Le courriel est-il un moyen sécuritaire de recevoir des documents de clients ?

Le courriel n’a jamais été conçu comme un canal sécurisé pour l’échange de documents. Les pièces jointes peuvent être transférées, interceptées ou conservées indéfiniment dans les boîtes de réception. Si un compte courriel est compromis, les attaquants peuvent accéder aux documents sensibles échangés entre un cabinet et ses clients. Pour cette raison, plusieurs cabinets adoptent des solutions sécurisées de collecte de documents avec authentification forte.

Pourquoi les attaques d’hameçonnage ciblent-elles les cabinets comptables ?

Les cabinets comptables manipulent des informations financières et personnelles très précieuses, comme les déclarations fiscales, les pièces d’identité, les données de paie et les états financiers. Les cybercriminels savent qu’en compromettant un seul compte courriel, ils peuvent se faire passer pour le cabinet et lancer des campagnes d’hameçonnage visant les clients et partenaires.

Quelle est la méthode la plus sécuritaire pour envoyer des documents à un cabinet comptable ?

Une solution sécurisée de collecte de documents est généralement l’approche la plus sûre. Ces systèmes permettent aux clients de téléverser des documents à l’aide d’un lien d’accès unique où l’identité est vérifiée grâce à une authentification forte, comme un code SMS ou un appel téléphonique automatisé. Cela élimine l’utilisation de mots de passe et réduit les risques d’hameçonnage.

Comment les cabinets comptables peuvent-ils réduire les risques d’hameçonnage ?

Les cabinets peuvent réduire leur exposition en activant l’authentification multifactorielle sur tous les comptes courriel, en évitant de saisir des mots de passe à partir de liens reçus par courriel, en limitant les liens de partage accessibles à « toute personne disposant du lien » et en centralisant la collecte de documents dans un canal sécurisé et authentifié.

Autres articles à lire

Comment envoyer des documents de manière sécurisée : guide complet pour les entreprises

Ce guide explique comment les entreprises peuvent envoyer des documents sensibles de façon sécurisée à leurs clients et partenaires. Il présente les risques liés aux pièces jointes par courriel et les bonnes pratiques pour protéger les informations confidentielles lors des échanges numériques.

Comment les réglementations sur la protection de la vie privée transforment le partage de documents en entreprise

Cet article explique comment les réglementations modernes sur la protection des données — notamment le RGPD, la LPRPDE et la Loi 25 — transforment la manière dont les organisations échangent des documents sensibles et pourquoi le partage sécurisé de documents devient essentiel pour assurer la conformité.

Pièces jointes par courriel vs partage sécurisé de documents : ce que les entreprises doivent savoir

Cet article compare les pièces jointes par courriel traditionnelles aux solutions modernes de partage sécurisé de documents et explique pourquoi de nombreuses organisations s’éloignent des échanges de fichiers basés sur le courriel.