« La cybersécurité fait partie des toutes premières priorités des directeurs financiers. Il ne suffit pas d’installer une mise à jour de sécurité et d’en être quitte pour quinze ans. Nous devons rester vigilants et évaluer notre performance en permanence » martelait José Silva, Directeur financier de Morgan Stanley. Une réalité qui prend encore plus de sens aujourd’hui alors que la fonction finance a pris la crise de plein fouet.
En effet, les financiers ont dû réorienter dans l’urgence leurs priorités et leurs objectifs. Selon une étude de PWC sur les attentes des DAF à l’horizon 2021-2022, leurs ambitions soulèvent de nouveaux questionnements et de nouveaux défis, plus particulièrement en ce qui concerne la cybersécurité. Pour 84% d’entre eux, elle constitue désormais la priorité numéro 1. Face à la recrudescence considérable des cyberattaques, quel rôle peut jouer le DAF pour protéger son entreprise ?
Le DAF, nouvel allié de la cybersécurité
Crise sanitaire oblige, le travail à distance a été adopté par 65% des entreprises françaises en 2020, qui ont placé au moins 50% de leurs collaborateurs en télétravail. Une nouvelle organisation du travail qui a laissé la porte entrouverte aux hackers, dont les attaques ont ciblé principalement les ordinateurs et réseaux des particuliers.
En 2021, le nombre de cyberattaques contre les entreprises a été multiplié par 6, et la progression est constante. Face à cette croissance exponentielle, les directions financières ont un nouveau rôle à jouer. Comme le rappelait Deloitte lors de son évènement ‘DAF : la sécurité est votre meilleure alliée’ organisé en janvier 2021, si la cybersécurité ne relève pas en soit de l’expertise des fonctions finance de l’entreprise, elles sont néanmoins concernées de par la responsabilité de leur département : être au service de la résilience de leur entreprise. De plus, les attaques dont sont victimes les entreprises engendrent nombreux coûts, directs et indirects: amende, enquêtes techniques, actions de relations publiques, sécurisation post-intrusion, frais de justice… un impact dont se passeraient bien les directions financières. De façon plus indirecte, il y a la dévalorisation de la marque, la perte de propriété intellectuelle, l'augmentation du coût des assurances, l'érosion du CA liée à la perte de contrats. Dès lors, comment s’emparent-elles de ce sujet transversal à tous les métiers de leur organisation ?
Faire corps avec les équipes
Pour prévenir et lutter contre le cyber risque menaçant l’activité de l’entreprise, le DAF doit activer plusieurs leviers. En premier lieu, il doit améliorer le partage de l’information entre équipes et s’assurer de la bonne appropriation des dispositifs de contrôle interne par tous les opérationnels. Et pour cause, le facteur humain représente bien la première source de risque ! Ensuite, il doit informer les salariés sur les cyber-incidents en les sensibilisant lors par exemple de formations internes pour qu'ils réagissent de la bonne manière. Au-delà du travail d’information et de sensibilisation, les équipes finance doivent également se rapprocher des équipes informatiques pour indiquer les outils qu’elles utilisent afin qu’ils bénéficient de la meilleure protection.
Un grand nombre d’entreprises ne disposent pas des ressources nécessaires à l’implémentation des mesures de sécurité qui leur seraient nécessaires. Les solutions dans le cloud en revanche prennent en charge les coûts de cybersécurité, et offrent une meilleure garantie de service et de sécurité des données que les versions dites “On Premise”. Les sauvegardes, restauration en cas de sinistre ou d’attaque informatique sont pris en charge par l’éditeur. Les solutions cloud participe à donc à renforcer la résilience d’une organisation.
Se protéger durablement contre le risque
Mais si les directions financières doivent prévenir le risque cyber en armant les collaborateurs contre de potentielles attaques, elles doivent également armer l’entreprise pour gérer les conséquences des suites des attaques. Or, ces dernières sont très peu nombreuses à être assurées contre ce type de risque à l’heure actuelle, en raison du coût élevé des assurances. Dès lors, c’est aux directeurs financiers qu’incombe aujourd’hui la responsabilité de prendre, ou non, une cyber-assurance. Le premier chantier à mener s’ils la choisissent est d’établir une cartographie des risques au sein de l’entreprise via des experts cyber pour évaluer quels risques peuvent être transférés à l’assurance, définir les scénarios les plus critiques et des plans d’action avec des spécialistes. Ensuite, il faut identifier le besoin financier qu’il s’agisse de dommages, des pertes d’exploitation, des pénalités de retard.
Dans la lutte contre cette cybercriminalité, le DAF a assurément un rôle à jouer. En étant à la tête de la direction financière mais aussi et surtout de par son rôle de business partner, il doit réussir à emmener son entreprise sur le terrain de la cybersécurité. Et si les entreprises ont tendance à reculer devant des investissements en sécurité et en assurance parce que leur système d'information tourne, les directions financières ont leur rôle à jouer pour convaincre d’engager les dépenses nécessaires, en prenant bien en compte les dangers de ce qu'une cyberattaque pourrait faire perdre à l’entreprise.
Par Frederic Portal, OCFO Solution Marketing Director , EMEA Financials chez Workday