La menace cybernétique progresse en Europe et partout dans le monde. Selon le baromètre des risques Allianz 2024, les incidents de cybersécurité arrivent aujourd’hui en tête de liste des risques identifiés par les entreprises. En France, selon l’Anssi (Agence nationale de la sécurité des systèmes d’information), en 2024, les cyberattaques liées au crime organisé ont progressé de 30 % sur un an. En France, le coût de la cybercriminalité a connu une croissance exponentielle, passant de 5,1 milliards de dollars en 2016 à 129 milliards de dollars en 2024. La menace s’intensifie, portée par le développement exponentiel des intelligences artificielles génératives, tandis que les risques sont désormais plus nombreux, moins connus et plus difficiles à appréhender.

Très souvent, le risque interne est supérieur au risque externe : « Beaucoup d’organisations ont mis en place des sessions de sensibilisation aux risques cyber à destination de leurs collaborateurs, souligne Nicolas Quairel, associé, Forvis Mazars. Cependant, il suffit d’une personne cliquant sur un lien pour que la menace devienne une réalité. »

Chaque attaque peut avoir une incidence immédiate et profonde sur l’ensemble de l’entreprise. « Avec l’IA, des attaques comme le phishing ou l’arnaque au président deviennent encore plus efficaces et plus pertinentes, souligne Hakim Loumi, responsable cybersécurité d’Oracle. Les attaques deviennent de plus en plus sophistiquées avec des IA capables de simuler des deep fakes visuels et audio en temps réel. Nous avons eu le cas récemment à Hong Kong où un employé a réalisé un transfert de 26 millions de dollars à la suite d’une réunion en visio. Lors de cette réunion, l’employé pensait être avec les dirigeants de l’entreprise, or en réalité, il était le seul être humain présent. Tous les autres étaient des deep fakes. » Le risque est donc réel et ses conséquences sont multiformes : financières, mais également un risque majeur en termes d’image pour les entreprises compromises. En la matière, le rachat de Yahoo ! fait figure de cas d’école. Le groupe était en phase de rachat lorsqu’une faille de sécurité a été détectée. L’impact a été immédiat, et le montant du rachat a été significativement revu à la baisse.

Les experts sont formels : si la prévention et la détection des risques sont du ressort de l’ensemble des collaborateurs d’une organisation, les directions financières jouent un rôle particulier. « Au cours des dernières années, les risques cyber ont fortement augmenté, détaille Nicolas Quairel, associé, Forvis Mazars. Les directions financières sont en première ligne pour intégrer ces risques dans leurs orientations stratégiques. » C’est désormais une obligation réglementaire : la directive européenne DORA oblige le DAF à s’assurer que l’IT ne mettra pas la finance en danger (cf. encadré). « Le DAF est celui qui tient le stylo pour signer le chèque, insiste Hakim Loumi. S’il n’a pas compris le risque réel de l’entreprise et l’urgence de corriger les failles, il expose l’entreprise à des attaques et des sanctions, ainsi qu’à une perte de réputation. »

Une coordination nécessaire avec les DSI

Pour l’heure, la formation des directions financières reste encore insuffisante. « Les directions financières sont de plus en plus nombreuses à s’emparer des sujets de cybersécurité, constate Nicolas Quairel. Si désormais, de plus en plus de DAF sont sensibilisés, ils restent – à mon sens – insuffisamment formés. Leur rôle se concentre sur l’appréciation des risques cyber et non sur leur gestion. » De fait, il s’agit de comprendre en profondeur les risques auxquels l’organisation peut être exposée. « Pour les CFO qui ne sont pas formés aux risques cyber, il est particulièrement difficile de promouvoir et de sensibiliser à l’interne sans comprendre les impacts pour l’organisation », poursuit Nicolas Quairel. Pour ce faire, il ne suffit plus uniquement d’allouer des ressources mais de travailler de concert avec les DSI et RSSI. En la matière, la coordination entre direction financière et direction des services informatiques est encore trop rare. En cause, les sujets informatiques conservent une réputation de sujets techniques dont se désintéressent les experts du chiffre. « Il y a un certain mépris de la part de certains métiers du chiffre vis-à-vis des métiers techniques, qui considèrent l’IT comme secondaire, constate Hakim Loumi. La “noblesse” des métiers du chiffre s’oppose aux “tuyaux”, ce qui crée des barrières et nuit à la collaboration entre DAF, DSI et RSSI. »

Une barrière idéologique qu’il convient de lever rapidement. « Etant donné que les directions financières manipulent un volume important de data, leur sensibilisation aux risques cyber est aujourd’hui fondamentale », explique Nicolas Quairel.

Ainsi, les organisations qui s’en sortent le mieux sont souvent celles dotées de DAF à l’appétence informatique forte. « L’impulsion est donnée par le CFO, explique Nicolas Quairel. Lorsque celui-ci est formé aux cyber-risques, il s’emploie à diffuser ses connaissances au sein de son équipe. Cela étant, les doubles profils finance et cyber sont extrêmement rares. Il s’agit souvent de CFO qui ont réalisé une partie de leur carrière au sein de très grandes organisations. » Des profils qui sont aujourd’hui très peu nombreux.