Un cabinet comptable girondin a refusé de payer une facture de 71 521 euros générée par des cybercriminels qui avaient piraté son espace cloud Microsoft Azure. La cour d'appel de Bordeaux vient de relancer le débat sur la responsabilité dans ce cas précis.
[INFO Clubic] Un prestataire IT avait installé une solution cloud (Microsoft Azure) chez un cabinet comptable, qui a vu un pirate informatique en prendre le contrôle. Le client avait sur le dos une facture 71 521 euros à régler. Le 5 mai 2026, la cour d'appel de Bordeaux a décidé de relancer le dossier qui oppose donc le cabinet comptable girondin en question à son intégrateur informatique Metsys. Une question est posée aux juges : un professionnel du cloud a-t-il le devoir de protéger son client, ou au moins de l'alerter, contre les risques de cyberattaque ?
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Comment un piratage Azure a généré 71 000 euros de facture pour un cabinet comptable
Revenons sur cette affaire en commençant, vous en avez l'habitude, par les faits. Nous sommes en 2021. Le cabinet d'expertise comptable girondin Christophe Guérin veut moderniser sa façon de travailler en adoptant des outils de business intelligence, comprenez des logiciels capables d'analyser et de présenter visuellement des données chiffrées. Il contacte donc Metsys, une société francilienne spécialisée dans le déploiement de solutions cloud et de cybersécurité, pour l'aider à négocier comme il faut ce virage numérique.
Metsys lui propose une solution Microsoft Azure, l'infrastructure cloud de Microsoft, qui vous le savez héberge les données et fait tourner les logiciels à distance, et Power BI, un outil d'analyse et de visualisation de données. Cinq contrats sont signés entre juillet 2021 et mars 2022. Le 16 décembre 2021, le cabinet souscrit un abonnement Azure facturé chaque mois en fonction des ressources réellement utilisées. Un choix à la fois pratique et flexible sur le papier, mais qui peut vite devenir problématique en cas de pépin.
En juin 2022, des pirates réussissent à s'introduire sur le compte Azure du cabinet en usurpant des identifiants de connexion. Ils utilisent frauduleusement l'infrastructure cloud à grande échelle, entraînant pour la victime une consommation astronomique de ressources informatiques. Le 26 juillet 2022, la facture tombe, et elle est colossale : 71 521,07 euros TTC pour le seul mois de juin ! Le cabinet refuse de payer et se demandant pourquoi régler la note d'une attaque dont il est la victime ?
Metsys a gagné en première instance mais le cabinet n'a pas lâché l'affaire
Non seulement, le cabinet refuse la facture, mais il contre-attaque. En se basant sur un rapport d'audit commandé à la société Scaling IT, il reproche à Metsys un manquement à son devoir de conseil. En tant que professionnel de l'informatique, l'intégrateur aurait dû, selon lui, l'avertir des risques liés à la configuration de sécurité d'Azure, d'autant que le cabinet n'avait jamais utilisé de solution cloud auparavant et qu'il ne pouvait pas en mesurer les dangers seul.
Que dit Metsys ? Le prestataire se défend en expliquant que son rôle était d'intégrer une solution logicielle, pas d'assurer la cybersécurité du client, une mission qui incombait justement à Scaling IT, appelée après le piratage. L'intégrateur rappelle également que la souscription Azure relevait du client, et que ce dernier était déjà habitué à utiliser plusieurs outils Microsoft au quotidien. Il considère donc que le cabinet Christophe Guerin, désormais dénommé Novalto Conseils, ne pouvait pas raisonnablement se prétendre novice en informatique.
Plus tard, en avril 2024, le tribunal de commerce de Bordeaux tranche en faveur de Metsys. Le cabinet est condamné à régler les 71 521,07 euros, auxquels s'ajoutent des intérêts à taux élevé courant depuis le 11 novembre 2022, qui est la date de la mise en demeure (de Metsys envers la société Christophe Guerin), ainsi que 2 000 euros de frais de justice. Le cabinet fait appel en mai 2024. La tentative de médiation imposée par les juges en juin 2024 tourne court, puisque les deux parties refusent de négocier.
La cour d'appel relance le dossier sur le devoir de conseil
Dans un arrêt assez particulier du 5 mai 2026, la cour d'appel de Bordeaux a créé la surprise. En fait, ici, elle ne confirme pas le jugement, mais ne l'annule pas non plus. Elle identifie d'abord un problème de base, qui est que le cabinet avait fondé toute sa défense sur un article du code civil (article 1112-1) relatif à l'obligation d'informer son client avant la signature d'un contrat. Le problème, selon la cour, c'est que ce texte ne s'applique pas ici, le cabinet s'est donc battu avec le mauvais texte dans la besace.
La cour estime que le bon angle juridique est celui de la responsabilité contractuelle, le fameux article 1231-1 du même code civil. La société Metsys avait-elle, dans le cadre de son contrat, l'obligation de conseiller son client sur la sécurité d'Azure ? Et a-t-elle failli à cette obligation ? La cour d'appel évoque aussi une notion clé dans le monde juridique, à savoir la perte de chance. Car oui, si Metsys avait correctement alerté le cabinet sur les risques, celui-ci aurait peut-être pu sécuriser son environnement cloud et éviter, ou du moins limiter, le piratage.
La cour ordonne donc la réouverture des débats et du dossier et demande aux deux parties de retravailler leurs arguments sur ces deux points précis avant une nouvelle audience fixée au 23 juin 2026, qui se fera devant le conseiller de la mise en état. Les deux parties peuvent donc délivrer de nouvelles conclusions. Qui de Metsys ou du cabinet comptable sera finalement tenu responsable ? La réponse reste à venir.
