Les directions financières se musclent en cybersécurité

Publié le 21 octobre 2024 à 12h29

Chloé Consigny    Temps de lecture 6 minutes

Le risque de cyberattaques devient une réalité pour l’ensemble des entreprises, quels que soient leur taille ou leur secteur d’activité. Dans ce contexte, toutes les entités de l’entreprise sont concernées et plus spécifiquement les directions financières. Les directeurs financiers sont de plus en plus sensibilisés à ce risque, mais sans doute insuffisamment formés pour participer à sa gestion. Cela supposerait une meilleure coordination avec les DSI, encore trop rare.

La menace cybernétique progresse en Europe et partout dans le monde. Selon le baromètre des risques Allianz 2024, les incidents de cybersécurité arrivent aujourd’hui en tête de liste des risques identifiés par les entreprises. En France, selon l’Anssi (Agence nationale de la sécurité des systèmes d’information), en 2024, les cyberattaques liées au crime organisé ont progressé de 30 % sur un an. En France, le coût de la cybercriminalité a connu une croissance exponentielle, passant de 5,1 milliards de dollars en 2016 à 129 milliards de dollars en 2024. La menace s’intensifie, portée par le développement exponentiel des intelligences artificielles génératives, tandis que les risques sont désormais plus nombreux, moins connus et plus difficiles à appréhender.

Très souvent, le risque interne est supérieur au risque externe : « Beaucoup d’organisations ont mis en place des sessions de sensibilisation aux risques cyber à destination de leurs collaborateurs, souligne Nicolas Quairel, associé, Forvis Mazars. Cependant, il suffit d’une personne cliquant sur un lien pour que la menace devienne une réalité. »

Chaque attaque peut avoir une incidence immédiate et profonde sur l’ensemble de l’entreprise. « Avec l’IA, des attaques comme le phishing ou l’arnaque au président deviennent encore plus efficaces et plus pertinentes, souligne Hakim Loumi, responsable cybersécurité d’Oracle. Les attaques deviennent de plus en plus sophistiquées avec des IA capables de simuler des deep fakes visuels et audio en temps réel. Nous avons eu le cas récemment à Hong Kong où un employé a réalisé un transfert de 26 millions de dollars à la suite d’une réunion en visio. Lors de cette réunion, l’employé pensait être avec les dirigeants de l’entreprise, or en réalité, il était le seul être humain présent. Tous les autres étaient des deep fakes. » Le risque est donc réel et ses conséquences sont multiformes : financières, mais également un risque majeur en termes d’image pour les entreprises compromises. En la matière, le rachat de Yahoo ! fait figure de cas d’école. Le groupe était en phase de rachat lorsqu’une faille de sécurité a été détectée. L’impact a été immédiat, et le montant du rachat a été significativement revu à la baisse.

Les experts sont formels : si la prévention et la détection des risques sont du ressort de l’ensemble des collaborateurs d’une organisation, les directions financières jouent un rôle particulier. « Au cours des dernières années, les risques cyber ont fortement augmenté, détaille Nicolas Quairel, associé, Forvis Mazars. Les directions financières sont en première ligne pour intégrer ces risques dans leurs orientations stratégiques. » C’est désormais une obligation réglementaire : la directive européenne DORA oblige le DAF à s’assurer que l’IT ne mettra pas la finance en danger (cf. encadré). « Le DAF est celui qui tient le stylo pour signer le chèque, insiste Hakim Loumi. S’il n’a pas compris le risque réel de l’entreprise et l’urgence de corriger les failles, il expose l’entreprise à des attaques et des sanctions, ainsi qu’à une perte de réputation. »

«Si désormais, de plus en plus de DAF sont sensibilisés, ils restent insuffisamment formés.»

Nicolas Quairel associé ,  Forvis Mazars

Une coordination nécessaire avec les DSI

Pour l’heure, la formation des directions financières reste encore insuffisante. « Les directions financières sont de plus en plus nombreuses à s’emparer des sujets de cybersécurité, constate Nicolas Quairel. Si désormais, de plus en plus de DAF sont sensibilisés, ils restent – à mon sens – insuffisamment formés. Leur rôle se concentre sur l’appréciation des risques cyber et non sur leur gestion. » De fait, il s’agit de comprendre en profondeur les risques auxquels l’organisation peut être exposée. « Pour les CFO qui ne sont pas formés aux risques cyber, il est particulièrement difficile de promouvoir et de sensibiliser à l’interne sans comprendre les impacts pour l’organisation », poursuit Nicolas Quairel. Pour ce faire, il ne suffit plus uniquement d’allouer des ressources mais de travailler de concert avec les DSI et RSSI. En la matière, la coordination entre direction financière et direction des services informatiques est encore trop rare. En cause, les sujets informatiques conservent une réputation de sujets techniques dont se désintéressent les experts du chiffre. « Il y a un certain mépris de la part de certains métiers du chiffre vis-à-vis des métiers techniques, qui considèrent l’IT comme secondaire, constate Hakim Loumi. La “noblesse” des métiers du chiffre s’oppose aux “tuyaux”, ce qui crée des barrières et nuit à la collaboration entre DAF, DSI et RSSI. »

Une barrière idéologique qu’il convient de lever rapidement. « Etant donné que les directions financières manipulent un volume important de data, leur sensibilisation aux risques cyber est aujourd’hui fondamentale », explique Nicolas Quairel.

Ainsi, les organisations qui s’en sortent le mieux sont souvent celles dotées de DAF à l’appétence informatique forte. « L’impulsion est donnée par le CFO, explique Nicolas Quairel. Lorsque celui-ci est formé aux cyber-risques, il s’emploie à diffuser ses connaissances au sein de son équipe. Cela étant, les doubles profils finance et cyber sont extrêmement rares. Il s’agit souvent de CFO qui ont réalisé une partie de leur carrière au sein de très grandes organisations. » Des profils qui sont aujourd’hui très peu nombreux.

De nouvelles responsabilités pour les DAF prévues par DORA

Le Digital Operational Resilience Act (DORA) impose de nouvelles responsabilités au directeur administratif et financier (DAF) en matière de résilience opérationnelle numérique. Il est garant de la supervision de la gestion des risques IT et doit s’assurer que l’entreprise met en place un cadre solide de gestion des risques liés aux technologies de l’information et de la communication (TIC). Sa responsabilité est partagée : la réglementation DORA impose une gouvernance claire avec une responsabilisation de la direction générale en matière de gestion des risques TIC.

L'info financière en continu

Chargement en cours...

Dans la même rubrique

Directeurs financiers : un rôle croissant dans la mise en œuvre des PSE

Dans un contexte économique de plus en plus incertain, les directeurs administratifs et financiers...

RSE : l’administrateur indépendant, un rouage essentiel de la gouvernance

L’entrée en vigueur de la directive CSRD place la durabilité en tête des enjeux de gouvernance des...

Les seniors dans la finance, une valeur sûre

Bien que le taux d’emploi des seniors demeure en France inférieur à celui de la moyenne européenne,...

Voir plus

Chargement en cours...

Chargement…