Logiciel SaaS

Finance

Cybersécurité : enjeu majeur pour les directions financières

13 septembre 2019

4 min
Face à la complexité de la cybercriminalité et des fraudes, les entreprises françaises considèrent la cybersécurité comme un facteur essentiel dans le pilotage de la performance de l’entreprise. Une dynamique largement impulsée par les DAF.

Avec le développement des échanges de données et des usages connectés, les entreprises sont de plus en plus exposées aux risques cyber. Ransomware, attaque par déni de service (ou Distributed Denial of Service attack, DDos), arnaque au président ou faux RIB sont les pratiques les plus courantes en matière de cyberattaque. Depuis 2017 et les virus « WannaCry » et « NotPatya », d’une ampleur sans précédent à l’échelle mondiale, la cybercriminalité est devenue le deuxième risque qui inquiète le plus les entreprises, selon le baromètre mondial 2018 d’Allianz. En 2018, « une entreprise sur trois n’a pas réussi à déjouer l’attaque dont elle était victime contre une sur cinq une année plus tôt », d’après le baromètre annuel 2018 sur la fraude et la cybercriminalité d’Euler Hermes et de DFCG. Les PME sont souvent les premières touchées et « 76 % des ETI ont subi au moins un cyber incident en 2017 », si on en croit l’étude de Bessé et PwC sur la cybercriminalité. Des malveillances principalement motivées par l’appât du gain.

Un rôle proactif et de coordination

Dans ce contexte, les directions financières sont aujourd’hui les mieux placées dans l’entreprise pour identifier l’ensemble des informations critiques, susceptibles de faciliter des détournements de fonds. Par leur position de conseil et de coordinateur auprès de la direction générale et des métiers, les DAF sont les plus à même de conduire la performance financière et de piloter la cybersécurité. Ils sont au cœur même du dispositif : aujourd’hui, « la direction financière pilote le risque cyber dans 48 % des entreprises » (baromètre Euler Hermes & DFCG).

Surtout, les directions financières et les directions des systèmes d’information doivent s’accorder sur la stratégie à mettre en œuvre pour vérifier et sécuriser les processus d’organisation de l’information et de traitement des données en interne comme en externe avec les clients et les fournisseurs. RIB, noms des décideurs et fichiers de signatures doivent être sécurisés. « La cybersécurité fait partie des priorités. Il ne suffit pas d’installer une mise à jour de sécurité pour être quittes pendant 15 ans. Nous devons rester vigilants et évaluer notre performance en permanence », fait remarquer Jose Silva, DAF de la banque d’investissement Morgan Stanley.

Anticiper pour minimiser l’impact d’une cyberattaque

Cette approche implique d’avoir choisi des outils informatiques performants en amont, pour bloquer toute intrusion dans le système. Ces outils doivent aussi être pertinents en matière de détection d’anomalies, de remédiation, d’analyse et de correction. Une cartographie des zones sensibles s’impose pour minimiser les risques et connaître les fragilités de son système d’information. D’autant que la moindre cyberattaque peut bloquer la production et avoir un impact non négligeable sur le chiffre d’affaires comme sur la réputation de l’entreprise. En 2018, le coût moyen d’une cyberattaque a atteint 1,1 million de dollars par attaque et 54 % des entreprises touchées indiquent qu’une cyberattaque se traduit principalement par une perte opérationnelle et une productivité diminuée, d’après Radware, fournisseur de services de cybersécurité.

Pour autant, « les entreprises ne sont que 20 % à avoir mis en place une cartographie des risques et 20 % à réaliser des tests d’intrusion » (baromètre Euler Hermes & DFCG). Et moins d’une entreprise sur cinq a mis en œuvre l’ensemble des mesures de protection (solutions digitales, capital humain, stratégie et assurance) recommandées pour se protéger, selon le baromètre Ipsos 2018 sur la cybersécurité. Pour la majorité d’entre elles, le coût de l’investissement pour des solutions en interne reste un frein. C’est la raison pour laquelle de plus en plus d’entreprises, surtout des TPME, font appel à des prestataires spécialisés.

Mieux former et sensibiliser

En matière de cybersécurité, les DAF doivent aussi faire preuve de pédagogie auprès des collaborateurs. Le danger n’est pas uniquement lié aux failles dans le système informatique, mais peut également provenir de la négligence des salariés. « Peu importe le nombre de pare-feu et de mots de passe, le comportement inadapté de n’importe quel membre du groupe peut mettre en danger tout ce que nous essayons de protéger avec des outils », explique Thiago Oliveira, DAF de la société immobilière JHSF.

Le dernier baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN) dont font partie la majorité des groupes du CAC 40, confirme la tendance : l’enjeu est plus humain que technique et les trois problématiques majeures de la cybersécurité sont la sensibilisation, le juste niveau de gouvernance et les budgets alloués.

L’éducation des collaborateurs à la cybersécurité passe en partie par la mise en place de procédures strictes de protection des données (mots de passe, double identification, etc.). Le département d’audit interne est un acteur clé : sa mission revient à contrôler en temps réel les risques tant sur le plan technique que sur le plan humain dans l’entreprise. Autant dire que les directions financières auront, cette année encore, fort à faire pour inciter les dirigeants à investir dans la cybersécurité et à former leurs collaborateurs.

Nous sommes à votre service

Envie d’être rappelé par un expert Cegid ?

Contactez-nous