
Le risque cyber, point aveugle des directeurs financiers

Ce fut certainement le piratage le plus spectaculaire de l’histoire. Le lundi 24 novembre 2014, à Culver City, à deux pas de Los Angeles, les employés de Sony Pictures Entertainment allument leur ordinateur et se retrouvent nez à nez avec un squelette arborant un sourire démoniaque. Des pirates ont pris le contrôle de l’intégralité du système informatique, ont volé les données internes de l’entreprise et menacent de les dévoiler. Ce qui ne tarde pas à arriver. Dans les jours qui suivent, les pirates mettent en ligne les copies de quatre films prévus sortir en salles, les données personnelles des employés, ainsi que d’autres documents hautement confidentiels…
Depuis cette agression hors normes, les attaques n’ont fait que se multiplier. Elles concernent plus des trois quarts des directeurs administratifs et financiers (DAF) sondés par Kroll, cabinet international de conseil en gouvernance, en finance et gestion des risques, dans une étude* publiée ce 20 octobre. Selon plus des deux tiers des responsables sondés, ces intrusions ont coûté plus de 5 millions de dollars à leur entreprise. Les directions financières des sociétés se retrouvent en première ligne face à ce fléau. « Il y a toujours un point d’entrée physique des cyberattaques et ce sont souvent les directions financières et comptables qui sont concernées », déclare Emmanuel Millard, le président de l’Association nationale des directeurs financiers et de contrôle de gestion (la DFCG).
Pourtant, les DAF semblent souvent confiants, ainsi que le montre l’étude Kroll. Un constat apparemment paradoxal. « Tant que l’entreprise n’a pas subi une cyberattaque, elle ne se rend pas compte du risque que cela représente, explique Emmanuel Millard. D’où la nécessité d’une sensibilisation accrue, en particulier des directions financières et comptables, qui comptent parmi les plus exposées. »
Le sujet a longtemps été l’affaire exclusive des directions des services informatiques (DSI), d’où son appropriation encore incomplète par les directions financières. En outre, le sujet fait appel à des compétences techniques que les responsables financiers n’ont pas toujours. « Le recrutement de directeurs financiers avec des compétences en systèmes d’information va devenir plus fréquent, voire nécessaire, évoque Emmanuel Millard. Mais la lutte contre les cyberattaques est avant tout une question de culture d’entreprise et de sensibilisation. » En effet, les attaques subies empruntent en priorité la voie de la simplicité afin de mieux piéger les victimes : 65 % arrivent par les e-mails, selon l’analyse de Kroll sur les dix-huit derniers mois, les rançongiciels, dont il est le plus souvent question, ne portant que sur 33 % des agressions.
D’où l’importance de sensibiliser les membres de la direction financière à des actes de prévention : ne pas cliquer sur les liens sans connaître leur origine, vérifier l’identité de son interlocuteur avant de répondre, suspendre les paiements si le destinataire est absent… Le côté humain du sujet est très important.
Collaboration
Pour acquérir les bons réflexes, les personnes doivent être régulièrement aux prises avec ces sujets. Dans un cahier technique sur les cyberattaques publié fin 2021, la DFCG préconise des sessions de formation courtes et répétées, et l’Agence nationale pour la sécurité des systèmes d’information (Anssi) appuie cette approche. Kroll met également en avant le besoin de faire des exercices, un peu comme pour les préparations aux incendies, pour que les DAF aient les bons réflexes. « Simuler des incidents en avance muscle les réflexes de la mémoire, explique le cabinet. Le directeur financier devrait notamment, dans le cadre d’une stratégie de réponse possible à un incident, savoir qui appeler, quels fonds d’urgence sont disponibles et quelles mesures légales prendre. »
L’acculturation passe aussi par la collaboration avec les autres directions de l’entreprise. « Ce n’est que récemment que les conseils d’administration ont commencé à inclure dans leur ordre du jour les questions liées à la cybersécurité », pointe Vito Rallo, directeur général adjoint des cyberrisques chez Kroll. Et des failles persistent. Alors même que les DAF et leurs équipes disposent d’énormément de données sensibles, ce qui en fait des cibles de choix pour les pirates, ils sont rarement mis dans la boucle sur les sujets de cybersécurité. Selon l’étude du cabinet de conseil, quatre DAF sur dix déclarent que ni eux ni leurs équipes n’ont jamais reçu de consignes ou préconisations en matière de cybersécurité de la part de l’équipe informatique. Six sur dix ne sont pas non plus tenus régulièrement au courant de l’état de la situation et des menaces qui pèsent sur la sécurité des données.
La pratique quotidienne des directions financières doit ainsi faire davantage de place à la collaboration avec les DSI. « Le thème des cyberattaques fait partie des sujets de collaboration entre ces deux métiers, indique Emmanuel Millard. La crise du Covid a fait progresser les choses à cet égard, ces services, ainsi que les directions des ressources humaines, se retrouvant sur le pont, ils ont appris à se connaître et à développer des compétences communes. » De quoi mieux cibler les moyens financier à mobiliser. « Pour provisionner le budget nécessaire et pour mieux évaluer les risques que font courir les cyberattaques sur les finances de l’entreprise, les DAF ont besoin de comprendre les stratégies de cybersécurité mises en place », conclut-il.
* Méthode : enquête mondiale menée par un questionnaire en ligne auprès de 180 DAF, PDG et responsables financiers en charge de mesurer l’impact financier des cyberattaques, issus d’entreprises de tous secteurs et réalisant un chiffre d’affaires annuel compris entre 100 millions et 5 milliards de dollars.

Plus d'articles Banque & Assurance
-
Treezor veut convaincre les entreprises de l’intérêt du BaaS
La fintech des fintechs s’attaque à une nouvelle cible : les grandes entreprises qui pourraient intégrer des services financiers à leur offre. Un livre blanc vient appuyer la démarche de ce «banking-as-a-service». -
Incertitudes chez Credit Suisse à Paris après le rachat forcé par UBS
Les salariés de Credit Suisse Paris craignent pour leur avenir professionnel alors que la direction tarde à clarifier la situation. -
La ligue de football professionnel va se lancer dans l’auto-assurance
Exclusif. La LFP a déposé un dossier d’agrément pour créer sa captive de réassurance, qu’elle espère opérationnelle dès le 1er juillet 2023. La décision s'explique par le durcissement du marché de l'assurance des entreprises.
Contenu de nos partenaires
- La Société Générale présente sa nouvelle direction autour de Slawomir Krupa
- Credit Suisse entraîne le secteur bancaire européen dans sa chute
- Les actions chutent avec les banques américaines
- L’électrochoc SVB met la finance sous tension
- Credit Suisse, trois ans de descente aux enfers
- Les gérants prennent la mesure de la persistance de l’inflation
- Silicon Valley Bank : la chute éclair de la banque des start-up
- Slawomir Krupa sort la Société Générale du brouillard
- Chute de SVB : les Etats-Unis garantissent les dépôts et HSBC rachète les actifs anglais
-
Editorial
Motion de censure: Macron et le poison des trois paradoxes
Premier paradoxe, démontrer qu'une majorité alternative n'existe pas ne renforcera pas pour autant l'actuelle majorité relative, abîmée par trois mois d'hystérie sur les retraites -
Négociations commerciales
Prix. La proposition de loi Descrozaille adoptée en commission mixte paritaire
Parmi ses dispositions, un point fait particulièrement débat : l'extension aux rayons non-alimentaires des encadrements des promotions à 34 % -
France éternelle
Safran, à nouveau champion du dépôt de brevets en 2022
Le trio de tête des entreprises les plus innovantes n'a pas bougé en dix ans. Le signe d'une économie ankylosée