Face à l’augmentation du risque cyber et des budgets dédiés à la défense des entreprises, les directions financières s’investissent de plus en plus sur le sujet. Leur montée en compétences, qui passe notamment par une bonne compréhension des données, devient indispensable. De plus en plus d’entreprises vont rechercher des directeurs financiers formés aux technologies de l’information.
Placé dans le trio de tête des préoccupations des directions financières des grandes entreprises, le risque cyber inquiète de plus en plus la profession. Voilà pourquoi, selon une enquête menée par Kroll, 61 % des directions financières sondées font état de pertes de plus 5 millions de dollars sur les 18 derniers mois liés à des incidents cyber. Sur cette même période, 79 % attestent avoir subi au moins une effraction ayant eu des conséquences en termes de finances ou de fuite de données. Ces attaques, mais également les dispositifs de prévention et de lutte contre le risque cyber, génèrent en effet pour l’entreprise des coûts directs (amende, enquêtes techniques, actions de relations publiques, sécurisation post-intrusion, frais de justice, perte de chiffre d’affaires due à l’arrêt de l’activité, mise en place de solutions techniques pour lutter contre le risque cyber, etc.), mais aussi indirects (atteinte à l’image de l’entreprise, perte de la propriété intellectuelle, augmentation du coût de l’assurance, etc.). « Le budget des entreprises alloué à la gestion du risque cyber a, ces dernières années, augmenté de plus de 5 % et pour une partie des répondants à notre enquête de près de 15 % », précise Laurent Morel, associé consulting finance chez PwC France et Maghreb. 9 % des répondants envisagent en effet une hausse de 15 % de ce budget. « Une augmentation non négligeable, qui pousse les directions financières à se pencher sur le sujet », souligne Laurent Morel.
Une direction financière partie prenante
De par sa fonction, il revient ainsi à la direction financière de calculer les coûts liés à la prévention du risque cyber ainsi que ceux qui pourraient être liés à une attaque cyber. « A ce titre, elle doit être en capacité de réaliser une cartographie des risques et d’en identifier les occurrences, précise Emmanuel Millard, président de la DFCG. A partir de ces éléments, il lui revient également de chiffrer le coût des processus et outils à mettre en place pour prévenir ces risques et, bien entendu, de chiffrer l’impact d’une attaque cyber. » Les directeurs financiers interrogés dans le cadre l’étude Global Digital Trust Insights de PwC (2023) indiquent ainsi que les principaux postes d’investissements en matière de cybersécurité sont : les technologies (39 %), la mise à jour de la stratégie et les plans de lutte anti-attaques (37 %) et le renforcement des compétences cyber incluant le recrutement (36 %). Dans le cadre de cette étude des coûts, et dès lors qu’ils sont chargés de la gestion des risques de leur entreprise est incluse, ils ont également la responsabilité de mesurer l’intérêt de recourir ou non à une assurance contre le risque cyber, de définir les scénarios les plus critiques et de mettre en place des plans d’action avec des spécialistes.
Par ailleurs, bien que la gestion technique du risque cyber reste généralement placée sous la responsabilité de la direction du système d’information (DSI), la direction financière a néanmoins une responsabilité et un rôle à jouer dans cette démarche. « Elle est en effet directement concernée par le risque cyber et représente une véritable porte d’entrée pour les hackers, qui peuvent par exemple bloquer ou détourner des paiements, ajoute Laurent Morel. La direction financière gère par ailleurs de nombreuses données stratégiques de l’entreprise, dont le vol pourrait lui être préjudiciable. Enfin, la fonction finance utilise de nombreuses technologies pour lesquelles il est essentiel de s’assurer de son niveau de protection face au risque cyber. » Alors même que les DAF et leurs équipes sont particulièrement concernées par le risque cyber, elles sont pourtant encore peu intégrées dans les programmes de lutte contre ces attaques.
«La direction financière participe de plus en plus à la mise en place des plans d’actions de lutte contre le risque cyber. »
Une appétence pour les nouvelles technologies indispensable
Afin de bien appréhender le sujet et de provisionner les budgets nécessaires, les directions financières ont besoin de comprendre les politiques mises en place dans leur organisation pour lutter contre le risque cyber. « A ce titre, elles travaillent de plus en plus en concertation avec leur direction des systèmes d’information, mais également avec la direction des ressources humaines en charge des programmes de formation ou encore la direction de la communication qui, pour sa part, peut piloter des campagnes de sensibilisation sur le sujet », ajoute Emmanuel Millard.
Parallèlement, face au renforcement de son rôle dans la gestion et la maîtrise du risque cyber, la direction financière se doit également de renforcer ses compétences techniques sur le sujet. La plupart des DAF s’accordent d’ailleurs à dire qu’une bonne compréhension de la gestion des données est essentielle à la maîtrise du risque cyber. Elles doivent notamment savoir filtrer les données critiques et confidentielles et définir les priorités pour la protection de l’entreprise. « A ce titre, l’appétence des DAF pour les nouvelles technologies devient indispensable, précise à ce sujet Emmanuel Millard. Le sujet n’est d’ailleurs pas nouveau. Il est porté par la digitalisation de la fonction qui va encore se renforcer avec la mise en place de la réforme sur la facturation électronique. »
Les DAF renforcent les budgets alloués à la lutte contre le risque cyber
Près de la moitié des DAF interrogés dans le cadre d’une étude réalisée cet automne par le cabinet de conseil en gestion des risques et en finance Kroll sont prêts à investir pour renforcer les moyens de l’entreprise afin de faire face aux cybermenaces. Ainsi, 45 % d’entre eux ont prévu d’augmenter leur budget dédié à la cybersécurité d’au moins 10 % pendant le prochain exercice fiscal. Ce budget a notamment vocation à financer la sous-traitance des activités de sécurisation du système d’information, qui représentent aujourd’hui entre 10 % et 50 % des dépenses dédiées à la cybersécurité pour 75 % des sondés. Pour autant, 20 % des DAF déclarent, a contrario, que leur budget va rester stable et 2 % le voient décliner, attestant à nouveau d’une prise de conscience insuffisante vis-à-vis de l’importance des enjeux de cybersécurité.
Attention aux comportements humains
D’ailleurs, le recrutement des directeurs financiers ayant des compétences IT devrait, dans les mois et les années à venir, se développer. « Pour le moment et malgré la forte actualité sur le sujet, les compétences IT ou en lien avec le risque cyber ne figurent cependant pas dans les fiches de poste des DAF », précise Mikaël Deiller, directeur exécutif finance et comptabilité de Michael Page.
Ils sont néanmoins attendus sur le sujet. En effet, le risque cyber n’est pas uniquement lié à des failles informatiques. Il relève aussi et surtout de comportements humains. Ainsi, selon l’étude Kroll, 65 % des attaques cyber arrivent par les e-mails. Le réseau informatique peut être à la pointe des technologies de protection, si l’un des employés de l’entreprise n’est pas vigilant et clique sur un contenu piégé, l’entreprise sera touchée. « Alors que les équipes finances sont particulièrement concernées par ce risque, il est important de les sensibiliser sur les bonnes pratiques à adopter pour s’en prémunir », conclut Emmanuel Millard. Un sujet porté par la direction financière qui doit s’organiser et former ses équipes en la matière.