Le risque cyber, point aveugle des directeurs financiers
Ce fut certainement le piratage le plus spectaculaire de l’histoire. Le lundi 24 novembre 2014, à Culver City, à deux pas de Los Angeles, les employés de Sony Pictures Entertainment allument leur ordinateur et se retrouvent nez à nez avec un squelette arborant un sourire démoniaque. Des pirates ont pris le contrôle de l’intégralité du système informatique, ont volé les données internes de l’entreprise et menacent de les dévoiler. Ce qui ne tarde pas à arriver. Dans les jours qui suivent, les pirates mettent en ligne les copies de quatre films prévus sortir en salles, les données personnelles des employés, ainsi que d’autres documents hautement confidentiels…
Depuis cette agression hors normes, les attaques n’ont fait que se multiplier. Elles concernent plus des trois quarts des directeurs administratifs et financiers (DAF) sondés par Kroll, cabinet international de conseil en gouvernance, en finance et gestion des risques, dans une étude* publiée ce 20 octobre. Selon plus des deux tiers des responsables sondés, ces intrusions ont coûté plus de 5 millions de dollars à leur entreprise. Les directions financières des sociétés se retrouvent en première ligne face à ce fléau. « Il y a toujours un point d’entrée physique des cyberattaques et ce sont souvent les directions financières et comptables qui sont concernées », déclare Emmanuel Millard, le président de l’Association nationale des directeurs financiers et de contrôle de gestion (la DFCG).
Pourtant, les DAF semblent souvent confiants, ainsi que le montre l’étude Kroll. Un constat apparemment paradoxal. « Tant que l’entreprise n’a pas subi une cyberattaque, elle ne se rend pas compte du risque que cela représente, explique Emmanuel Millard. D’où la nécessité d’une sensibilisation accrue, en particulier des directions financières et comptables, qui comptent parmi les plus exposées. »
Le sujet a longtemps été l’affaire exclusive des directions des services informatiques (DSI), d’où son appropriation encore incomplète par les directions financières. En outre, le sujet fait appel à des compétences techniques que les responsables financiers n’ont pas toujours. « Le recrutement de directeurs financiers avec des compétences en systèmes d’information va devenir plus fréquent, voire nécessaire, évoque Emmanuel Millard. Mais la lutte contre les cyberattaques est avant tout une question de culture d’entreprise et de sensibilisation. » En effet, les attaques subies empruntent en priorité la voie de la simplicité afin de mieux piéger les victimes : 65 % arrivent par les e-mails, selon l’analyse de Kroll sur les dix-huit derniers mois, les rançongiciels, dont il est le plus souvent question, ne portant que sur 33 % des agressions.
D’où l’importance de sensibiliser les membres de la direction financière à des actes de prévention : ne pas cliquer sur les liens sans connaître leur origine, vérifier l’identité de son interlocuteur avant de répondre, suspendre les paiements si le destinataire est absent… Le côté humain du sujet est très important.
Collaboration
Pour acquérir les bons réflexes, les personnes doivent être régulièrement aux prises avec ces sujets. Dans un cahier technique sur les cyberattaques publié fin 2021, la DFCG préconise des sessions de formation courtes et répétées, et l’Agence nationale pour la sécurité des systèmes d’information (Anssi) appuie cette approche. Kroll met également en avant le besoin de faire des exercices, un peu comme pour les préparations aux incendies, pour que les DAF aient les bons réflexes. « Simuler des incidents en avance muscle les réflexes de la mémoire, explique le cabinet. Le directeur financier devrait notamment, dans le cadre d’une stratégie de réponse possible à un incident, savoir qui appeler, quels fonds d’urgence sont disponibles et quelles mesures légales prendre. »
L’acculturation passe aussi par la collaboration avec les autres directions de l’entreprise. « Ce n’est que récemment que les conseils d’administration ont commencé à inclure dans leur ordre du jour les questions liées à la cybersécurité », pointe Vito Rallo, directeur général adjoint des cyberrisques chez Kroll. Et des failles persistent. Alors même que les DAF et leurs équipes disposent d’énormément de données sensibles, ce qui en fait des cibles de choix pour les pirates, ils sont rarement mis dans la boucle sur les sujets de cybersécurité. Selon l’étude du cabinet de conseil, quatre DAF sur dix déclarent que ni eux ni leurs équipes n’ont jamais reçu de consignes ou préconisations en matière de cybersécurité de la part de l’équipe informatique. Six sur dix ne sont pas non plus tenus régulièrement au courant de l’état de la situation et des menaces qui pèsent sur la sécurité des données.
La pratique quotidienne des directions financières doit ainsi faire davantage de place à la collaboration avec les DSI. « Le thème des cyberattaques fait partie des sujets de collaboration entre ces deux métiers, indique Emmanuel Millard. La crise du Covid a fait progresser les choses à cet égard, ces services, ainsi que les directions des ressources humaines, se retrouvant sur le pont, ils ont appris à se connaître et à développer des compétences communes. » De quoi mieux cibler les moyens financier à mobiliser. « Pour provisionner le budget nécessaire et pour mieux évaluer les risques que font courir les cyberattaques sur les finances de l’entreprise, les DAF ont besoin de comprendre les stratégies de cybersécurité mises en place », conclut-il.
* Méthode : enquête mondiale menée par un questionnaire en ligne auprès de 180 DAF, PDG et responsables financiers en charge de mesurer l’impact financier des cyberattaques, issus d’entreprises de tous secteurs et réalisant un chiffre d’affaires annuel compris entre 100 millions et 5 milliards de dollars.
Plus d'articles du même thème
-
La valorisation d’Helsing grimpe à 18 milliards de dollars
Le groupe allemand d'IA appliquée à la défense a levé 1,8 milliard de dollars auprès d'un pool élargi d'investisseurs américains et internationaux. L'opération porte à plus de 3 milliards le total levé depuis sa création. -
Bercy veut faire preuve de «bienveillance» dans la mise en place de la facturation électronique
A moins de 60 jours de la mise en place totale de la réforme, les pouvoirs publics ont confirmé le calendrier de déploiement. -
Le dollar poursuit sa remontada
Retrouvez le coup d'oeil hebdomadaire de DeftHedge sur le marché des changes.
ETF à la Une
Amundi lance un ETF sur les actions monde
- La nouvelle hausse du Livret A coûtera plus de 800 millions d’euros aux banques
- Le Crédit Agricole a injecté au total plus d’un milliard d’euros dans BforBank
- BNP Paribas et Caceis veulent sortir du métier des services aux émetteurs
- Les ambitions d’Air France-KLM sont freinées par des vents contraires
- Apple injecte 30 milliards de dollars dans des puces Broadcom conçues aux Etats-Unis
Contenu de nos partenaires
-
Poumon en périlLa forêt de Fontainebleau ravagée par le plus gros incendie de son « histoire moderne »
Le feu d’une « ampleur exceptionnelle » en forêt de Fontainebleau progresse au sud de Paris et a déjà parcouru près de 1 000 hectares, nécessitant un dispositif aérien jusqu'alors jamais vu en Ile-de-France. -
Quoi de Neuf dans l’actualité Lifestyle du 13 juillet ?
Air France pose son restaurant éphémère au Cercle des Nageurs de Marseille, Marc-Antoine Barrois transpose ses fragrances iconiques en pains de savon sculpturaux, Louis Vuitton dévoile la LV Drop 300, sa sneaker allégée signée Pharrell Williams… La rédaction vous livre un florilège des dernières actualités lifestyle. -
Etats-Unis : Rahm Emanuel, le démocrate de la troisième voie face à Israël
Aux Etats-Unis, celui que l'on surnomme « Rahmbo » veut s'imposer en arbitre d’un Parti démocrate fracturé sur Israël. L'ancien bras-droit de Barack Obama se prépare pour la présidentielle de 2028