XHTML, des règles simples de sécurité à préparer dès maintenant

Jeudi 30/04/2020

Le reporting électronique harmonisé au niveau européen (ESEF : European Single Electronic Format) entre en vigueur en 2020. Les premiers URD au format XHTML / iXBRL seront déposés en 2021, pour les comptes 2020. Cette réglementation oblige désormais les entreprises à publier leurs rapports sous un nouveau format : le XHTML. La digitalisation de l’information financière est en marche, avec de nouveaux et bien réels risques à anticiper dès maintenant. 

Entretien avec Clément Domingo, hackeur éthique

Le XHTML va bientôt remplacer le PdF. Les URD seront intégralement digitalisés. Cela va permettre de nouvelles utilisations et exploitations mais va, dans le même temps, exposer les entreprises à de nouveaux risques. Quels sont-ils ?

Le XHTML est un protocole utilisé depuis 15 ans, dans de nombreuses versions. Les fichiers XHTML vont être lus par tous les moteurs, mais aussi des outils plus sophistiqués. Par exemple, des outils comme Notepad++ vont à la source du code et permettent une lecture plus transparente. Le format XHTML présente une surface d’attaques plus importante. Des attaques qui se traduisent par l’envoi, par exemple, d’un fichier intégrant différentes balises malveillantes qui pourraient prendre le contrôle des serveurs de l’entreprise. Des serveurs qui hébergent des données clients, l’ensembles des adresses mails et autres données des salariés, des fiches de paie… Pour s’en prémunir, il est important que les entreprises prennent le temps de mettre en permanence à jour leurs logiciels et autres outils utilisés par leurs collaborateurs sur leur lieu de travail et en déplacement (mode nomade, télétravail…).  Et de s’assurer que les utilisateurs ne cliquent que sur des fichiers dont ils sont sûrs de leur provenance et donc de leur sécurité. 

Lire aussi : « ESEF, un outil non, un expert-comptable oui ! »

« Face au risque d’altération du document, l’entreprise peut faire appel à un tiers de confiance ou une autorité de certification »

Le responsable de l’information est l’entreprise. Comment lutter contre le risque de recel, de changements ou encore de blocage de contenus ? 

En insérant une preuve de « non répudiation ». Cela passe par un message web, mail ou SMS qui permet à l’utilisateur de vérifier que c’est bien l’entreprise qui lui adresse ce document qui n’a pas été altéré ou trafiqué par qui que ce soit. On peut aussi utiliser un tiers de confiance ou passer par une autorité de certification. La « non répudiation » est peut-être le socle le moins connu de la sécurité informatique qui passe aussi par la « confidentialité », la « disponibilité » et enfin l’ « identification et authentification ». 

Lire aussi : ESEF, l’autorité des normes comptables (ANC) simplifie grandement la vie des entreprises

Les entreprises comme les particuliers font face en cette période de crise (télétravail) à bon nombre d’attaques en tous genres. Quelles sont les règles de base à rappeler et à respecter ?

En limitant son exposition sur internet. En partageant uniquement l’indispensable avec un nombre limité de personnes bien identifiées et authentifiées (nom, prénom et mot de passe). Le Google hacking permet, via ce moteur de recherche, de partir en quête de vulnérabilités et de récupérer des données sensibles. Cette technique s’appuie sur les résultats de l’exploration et de l’indexation des sites internet par le robot Googlebot, en passant par des requêtes ciblées : mots clés ou encore types de fichiers par exemple. 

Avec l’explosion récente du télétravail, le danger est bien de voir quantité de document se faire « sourcer ». Il faut privilégier les ressources internes à l’entreprise, privilégier des noms anodins de fichiers et faire particulièrement attention à certaines applications largement partagées : Zoom ou encore WhatsApp où l’on peut récupérer très facilement contenus et coordonnées (numéros de portable) des membres de groupes. 

Voir aussi : XHTML/ IXBRL, l’AMF veut rassurer les émetteurs et les accompagner

Propos recueillis par Beñat Caujolle

Pour toute question ou demande de renseignements, contactez-nous : labradorleblog@labrador-company.com

2020-04-30T12:08:19+02:00avril 30th, 2020|