Notre chroniqueuse Anne Doré poursuit son analyse des rôles clés en cybersécurité, avec un focus sur les directeurs administratif et financier, qui doivent plus que jamais se mobiliser.
La gravité et la fréquence des cyberattaques ne cesse d’augmenter impactant de plus en plus les finances des entreprises. Les cyberattaques constituent un des plus gros risques financiers qu’elles ont à anticiper et gérer.
A lire aussi : Mick Levy (Business & Decision) : « La finance est un domaine où les processus manuels sont encore très nombreux »
Estimé à 6 000 milliards de dollars en 2021, le risque cyber augmente de 15% par an et devrait atteindre 10 500 milliards de dollars en 2025[1]. Le coût des attaques cyber varient évidemment en fonction de la taille des entreprises. Ainsi Saint Gobain annonçait en 2017 des impacts à hauteur de 250 millions d’euros à la suite de l’attaque subie par l’entreprise, quand le coût moyen pour une PME est estimé entre 300 et 500 000 euros[2].
Pour mémoire, le coût d’une attaque est constitué des coûts de gestion de crise (ex. experts, coûts de remédiation), de la perte d’information, des éventuelles pénalités et selon la nature de l’attaque des manques à gagner en termes de chiffres d’affaires si l’activité (vente, distribution ou production) est impactée. A cela vient s’ajouter, le coût lié à la perte de réputation, généralement très difficile à estimer.
Par conséquent, le Directeur Financier (DAF) dont la mission principale est de protéger le résultat net de l’entreprise, ne peut ni faire abstraction de ce risque ni le gérer de manière ‘hâtive’ en provisionnant un montant arbitraire.
Le DAF se doit d’avoir un rôle clé dans la prévention, la quantification et la couverture du risque cyber.
Le DAF acteur de la sensibilisation
En premier lieu, le DAF doit veiller à la protection des applications, des données et flux financiers de l’entreprise. Les sauvegardes, le plan de continuité de son département doivent être effectifs, et régulièrement testés. Il a aussi pour mission de sensibiliser et former ses équipes à la prévention et à la gestion des incidents de crise cyber.
Parmi les attaques les plus courantes, les fraudes au président et faux ordres de virement prennent une grande place. Il appartient donc au DAF de veiller en premier à la formation de ces collaborateurs et au développement de gestes reflexes au sein de ces équipes. Seule la capacité d’une personne à s’interroger, s’étonner devant ‘l’étrangeté’ d’une demande peut arrêter ce type d’attaque.
Quand la fonction achat est dans le périmètre du DAF, il doit exiger que les questions de sécurité et de confidentialité des données soient intégrées dans le processus d’approvisionnement.
Mais le rôle du DAF en termes de sensibilisation ne s’arrête pas là. La collaboration entre le DAF et le CISO a pour objectif d’articuler le cyber risque en termes opérationnels et chiffrés. Le DAF avec l’aide du CISO et de ses équipes, doit s’impliquer dans la compréhension du risque cyber, des différents scenarii de crises envisagées afin de valoriser ce risque. Qui de mieux placer pour valoriser le coût, le manque à gagner si une BU, un processus métier est à l’arrêt partiel ou total du fait d’une cyber attaque ? Qui de mieux placer pour expliquer à ces homologues au sein du COMEX et au DG le risque de ne rien faire et l’importance de mettre la cyber sécurité au cœur de la stratégie de l’entreprise ?
Le résultat de la quantification du cyber risque aide à traduire les questions techniques de sécurité des données, de l’activité dans un vocabulaire, une terminologie et des enjeux d’entreprise qui font écho auprès des membres du conseil d’administration, du COMEX et du PDG.
Or, nous l’avons déjà mentionné dans les précédentes chroniques, la Direction Générale doit impérativement s’approprier les enjeux liés à la cyber sécurité.
L’estimation de ce risque en monnaie trébuchante et la réalisation de benchmark auprès de ses pairs, facilite la compréhension du risque et l’attribution des dépenses pour gérer et le couvrir.
Valoriser le risque pour mieux le gérer et le couvrir
La couverture passe en premier lieu par la nécessité de disposer des budgets requis afin de réaliser les investissements humains, technologiques et de formation et sensibilisation. Si évidemment chaque dépense doit être justifiée et repartie de manière appropriée entre la prévention et la gestion des incidents, il appartient au DAF de garantir au CISO les budgets annuels requis pour anticiper et prévenir ce risque.
La quantification du risque aide à justifier les investissements requis et la cyber sécurité devient un actif au service de l’entreprise et non plus un centre de coût.
La couverture du risque passe aussi par la contractualisation d’une assurance cyber. En effet, si il est habituel que le DAF gère les assurances dommages et veille à l’équilibre entre la prime et les garanties associées, il doit en faire de même pour le risque cyber en s’appuyant sur l’estimation financière du risque estimée de l’entreprise. Le risque cyber est 30 fois plus élevé que le risque incendie !
Enfin en cas de crise, le DAF est pleinement associé à l’équipe décisionnelle et / ou opérationnelle de gestion de crise afin d’engager, si besoin, les dépenses requises (ex. experts, moyens logistiques..) et estimer l’impact financier de l’attaque cyber.
Le DAF joue donc un rôle clé dans la cybersécurité en aidant les dirigeants de l’entreprise à comprendre et s’approprier ce risque, les coûts associés et à l’intégrer dans la stratégie et la gestion de l’entreprise.
Le DAF partie prenante de la cyber sécurité à long terme
Au vu du risque et de la sophistication des attaques toujours croissants, le DAF n’aura de cesse à court, moyen et long terme d’affiner sa compréhension du risque, de participer activement à sa prévention et sa gestion et de faciliter une approche intégrée et collaborative au sein du Comex et de l’entreprise
Le succès de la cybersécurité repose non seulement sur les politiques, les processus et les technologies en matière de sécurité de l’information, mais aussi sur une analyse comparative efficace, une analyse judicieuse des investissements et des arbitrages budgétaires.
Nul doute que l’implication du DAF sur les sujets cyber va devenir pérenne et de plus en plus affutée, car ils apportent une autre dimension à la cybersécurité de l’entreprise.
***
[1] https://www.ecommercemag.fr/Thematique/paiements-1291/barometre-etude-2187/Breves/etude-risque-cyber-evalue-000-milliards-dollars-2021-360132.htm
[2] https://www.cyber-cover.fr/cyber-documentation/cyber-securite/cybersecurite-statistiques-que-toute-pme-devrait-connaitre#:~:text=Le%20co%C3%BBt%20financier%20moyen%20pour,%C3%A9norme%20impact%20financier%20difficilement%20surmontable.