Le risque cyber, point aveugle des directeurs financiers

Ce fut certainement le piratage le plus spectaculaire de l’histoire. Le lundi 24 novembre 2014, à Culver City, à deux pas de Los Angeles, les employés de Sony Pictures Entertainment allument leur ordinateur et se retrouvent nez à nez avec un squelette arborant un sourire démoniaque. Des pirates ont pris le contrôle de l’intégralité du système informatique, ont volé les données internes de l’entreprise et menacent de les dévoiler. Ce qui ne tarde pas à arriver. Dans les jours qui suivent, les pirates mettent en ligne les copies de quatre films prévus sortir en salles, les données personnelles des employés, ainsi que d’autres documents hautement confidentiels…

Depuis cette agression hors normes, les attaques n’ont fait que se multiplier. Elles concernent plus des trois quarts des directeurs administratifs et financiers (DAF) sondés par Kroll, cabinet international de conseil en gouvernance, en finance et gestion des risques, dans une étude* publiée ce 20 octobre. Selon plus des deux tiers des responsables sondés, ces intrusions ont coûté plus de 5 millions de dollars à leur entreprise. Les directions financières des sociétés se retrouvent en première ligne face à ce fléau. « Il y a toujours un point d’entrée physique des cyberattaques et ce sont souvent les directions financières et comptables qui sont concernées », déclare Emmanuel Millard, le président de l’Association nationale des directeurs financiers et de contrôle de gestion (la DFCG).

Pourtant, les DAF semblent souvent confiants, ainsi que le montre l’étude Kroll. Un constat apparemment paradoxal. « Tant que l’entreprise n’a pas subi une cyberattaque, elle ne se rend pas compte du risque que cela représente, explique Emmanuel Millard. D’où la nécessité d’une sensibilisation accrue, en particulier des directions financières et comptables, qui comptent parmi les plus exposées. »

Le sujet a longtemps été l’affaire exclusive des directions des services informatiques (DSI), d’où son appropriation encore incomplète par les directions financières. En outre, le sujet fait appel à des compétences techniques que les responsables financiers n’ont pas toujours. « Le recrutement de directeurs financiers avec des compétences en systèmes d’information va devenir plus fréquent, voire nécessaire, évoque Emmanuel Millard. Mais la lutte contre les cyberattaques est avant tout une question de culture d’entreprise et de sensibilisation. » En effet, les attaques subies empruntent en priorité la voie de la simplicité afin de mieux piéger les victimes : 65 % arrivent par les e-mails, selon l’analyse de Kroll sur les dix-huit derniers mois, les rançongiciels, dont il est le plus souvent question, ne portant que sur 33 % des agressions.

D’où l’importance de sensibiliser les membres de la direction financière à des actes de prévention : ne pas cliquer sur les liens sans connaître leur origine, vérifier l’identité de son interlocuteur avant de répondre, suspendre les paiements si le destinataire est absent… Le côté humain du sujet est très important.

Collaboration

Pour acquérir les bons réflexes, les personnes doivent être régulièrement aux prises avec ces sujets. Dans un cahier technique sur les cyberattaques publié fin 2021, la DFCG préconise des sessions de formation courtes et répétées, et l’Agence nationale pour la sécurité des systèmes d’information (Anssi) appuie cette approche. Kroll met également en avant le besoin de faire des exercices, un peu comme pour les préparations aux incendies, pour que les DAF aient les bons réflexes. « Simuler des incidents en avance muscle les réflexes de la mémoire, explique le cabinet. Le directeur financier devrait notamment, dans le cadre d’une stratégie de réponse possible à un incident, savoir qui appeler, quels fonds d’urgence sont disponibles et quelles mesures légales prendre. »

L’acculturation passe aussi par la collaboration avec les autres directions de l’entreprise. « Ce n’est que récemment que les conseils d’administration ont commencé à inclure dans leur ordre du jour les questions liées à la cybersécurité », pointe Vito Rallo, directeur général adjoint des cyberrisques chez Kroll. Et des failles persistent. Alors même que les DAF et leurs équipes disposent d’énormément de données sensibles, ce qui en fait des cibles de choix pour les pirates, ils sont rarement mis dans la boucle sur les sujets de cybersécurité. Selon l’étude du cabinet de conseil, quatre DAF sur dix déclarent que ni eux ni leurs équipes n’ont jamais reçu de consignes ou préconisations en matière de cybersécurité de la part de l’équipe informatique. Six sur dix ne sont pas non plus tenus régulièrement au courant de l’état de la situation et des menaces qui pèsent sur la sécurité des données.

La pratique quotidienne des directions financières doit ainsi faire davantage de place à la collaboration avec les DSI. « Le thème des cyberattaques fait partie des sujets de collaboration entre ces deux métiers, indique Emmanuel Millard. La crise du Covid a fait progresser les choses à cet égard, ces services, ainsi que les directions des ressources humaines, se retrouvant sur le pont, ils ont appris à se connaître et à développer des compétences communes. » De quoi mieux cibler les moyens financier à mobiliser. « Pour provisionner le budget nécessaire et pour mieux évaluer les risques que font courir les cyberattaques sur les finances de l’entreprise, les DAF ont besoin de comprendre les stratégies de cybersécurité mises en place », conclut-il.

* Méthode : enquête mondiale menée par un questionnaire en ligne auprès de 180 DAF, PDG et responsables financiers en charge de mesurer l’impact financier des cyberattaques, issus d’entreprises de tous secteurs et réalisant un chiffre d’affaires annuel compris entre 100 millions et 5 milliards de dollars.