Quels sont les cyber-risques types encourus par la direction financière ?
Il y a 10 ans, la fraude au président était celle qui était la plus utilisée auprès des directions financières. Aujourd’hui, cette tentative de fraude est assez rapidement déjouée. En revanche, les cyber-risques ont grandement évolué et, s’ils ne sont pas nouveaux, se sont industrialisés.
Les cybermenaces sont notamment :
- les ransomwares (logiciels malveillants prenant en otage des données personnelles) ;
- les e-mails contrefaits ;
- les codes malveillants sur les sites web ;
- l’utilisation non sécurisée des mobiles via lesquels on peut facilement pénétrer le système d’information de l’entreprise ;
- la mauvaise sécurisation des mots de passe en interne.
Le rôle du DAF est d’identifier, d’analyser les risques de l’entreprise quels qu’ils soient, y compris les cyber-risques, et de les faire remonter en comité de direction. Cela ne doit pas rester la prérogative du service informatique.
Quelles sont les bonnes pratiques à mettre en place au sein des DAF pour limiter les risques ?
80 % des incidents ont pour origine une erreur humaine. Le DAF doit donc sensibiliser ses équipes aux risques grâce à des règles simples (verrouillage de la session en cas d’absence, politique de changement des mots de passe, analyse par le service informatique d’une clé USB trouvée avant de l’introduire dans l’ordinateur, vigilance quant aux pièces jointes non identifiées, mise à jour régulière des antivirus…). C’est du bon sens.
Il faut être également vigilant sur l’utilisation des réseaux sociaux par les équipes financières (annonce des absences, des fonctions dans l’entreprise…). En effet, aujourd’hui, avec l’utilisation des réseaux sociaux, il est possible d’établir une cartographie claire et détaillée du fonctionnement d’une entreprise. Les fonctions financières ont un devoir de réserve.
Ensuite, la sécurité doit être démystifiée et l’absence de mesures simples connues peut être considérée comme une négligence.
Mettre en place un système de cybersécurité n’est pas forcément coûteux. Un budget de 10 000 € permet de mettre en place une couverture d’environ 50 % du risque et 100 000 € permettent d’en couvrir 70 à 80 %.
Il est ainsi recommandé d’avoir deux sauvegardes (une en interne et une en externe) et de les tester régulièrement. Faire des pentests (tests d’intrusion) est également une bonne pratique : une entreprise spécialisée dans la cyber-sécurité intervient pendant 2 ou 3 jours pour établir un diagnostic sécurité et mettre en évidence les zones de risques (nombreuses sont les entreprises qui sont visitées à leur insu).
Il est important de valider la qualité des prestataires informatiques par l’obtention des certifications ISO 27001 (norme de système de gestion de la sécurité de l'information) et PCIDSS (norme de sécurité de l’industrie des cartes de paiement).
Quel est le coût d’une cyberattaque pour une entreprise ?
Il est très variable, de 10 000 € pour une rançon jusqu’à la disparition de l’entreprise. 60 % des PME cessent leur activité après une cyberattaque !
Comment établir une cartographie des cyber-risques ?
Les cyber-risques appartiennent à une cartographie globale des risques de l’entreprise. Les étapes sont les suivantes :
1. Inventorier les risques.
2. Les valoriser en fonction de leur gravité et en fonction de leur probabilité.
3. Mettre des parades face à ces risques : élimination du risque, limitation des effets ou révision du process concerné.
4. Identifier s’il reste des points critiques.
5. Réviser annuellement la cartographie ainsi établie.
La cartographie des risques constitue un document sensible réservé au comité de direction.
Faut-il souscrire une assurance contre les cyber-risques ?
La perte d’exploitation et si nécessaire les frais d’expert sont couverts par les assurances classiques. L’intérêt d’une assurance spécifique est de compléter les couvertures traditionnelles en matière de dommages, pertes (frais de reconstitution des données) et responsabilités. Elle permet de débloquer rapidement les montants nécessaires au redémarrage de l’activité.
Que doit faire la DAF en cas de cyberattaque ?
L’essentiel du travail se fait en amont, il faut s’assurer de l’existence d’une charte informatique qui définit les conditions d’accès au système d’information, d’une politique des mots de passe, d’une mise à jour des sauvegardes. En effet, 46 % des collaborateurs ne connaissent pas les comportements à adopter face aux attaques.
La DAF, en collaboration avec le service informatique, doit simuler les cyberattaques, tester et ajuster les process internes.
Il faut également s’assurer que le contrat d’assurance couvre les préjudices en cas de cyberattaque.
Propos recueillis par Chloé QUEFFEULOU
Bertrand GUEGANO, DAF, groupe OT