Qu’il s’agisse de WannaCry, le ransomware qui a infecté plus de 300 000 ordinateurs en 2017 dans plus de 150 pays, ou les 50 millions de comptes Facebook attaqués en 2018, les cyber-attaques se multiplient et se diversifient avec le développement des activités en ligne. La cybersécurité est ainsi devenue un sujet prioritaire en entreprise, qui cherchent à se prémunir des menaces numériques.
Quelle que soit la taille de l’entreprise, les directions financières ne peuvent pas rester indifférentes et sont amenées à se renouveler face à ces nouvelles attaques. Comment s’adapter et protéger l’entreprise grâce à la cybersécurité ?
Les enjeux de la mise en place d’une cybersécurité en entreprise
Loin d’être un épiphénomène, les attaques et tentatives de fraude se multiplient : en 2018, 25% des entreprises françaises avaient subi plus de 10 attaques / tentatives de fraude, contre 10% seulement en 2017.
Des menaces qui se payent : plus d’une entreprise attaquée sur dix chiffre son préjudice à plus de 100 000€, et pour 5% d’entre elles, à plus de 500 000€. Des coûts qui peuvent fragiliser leur santé financière et leur activité.
Un bilan peu rassurant, qui devrait s’alourdir encore selon les entreprises : 78% d’entre elles s’attendent à ce que la situation s’aggrave (chiffres tirés du baromètre Euler Hermes).
Les cyber-bandits ne font pas d’exception : ils ciblent autant les grandes entreprises que les PME, et 43% des attaques visent d’ailleurs les petites entreprises. Elles y sont d’autant plus sensibles qu’elles sont nombreuses à ne pas avoir de stratégies de prévention en place : seulement 11% des PME/ETI ont mis en place une démarche préventive, contre 36% des grandes entreprises.
La cause de ce renforcement des menaces selon les entreprises ? La transformation numérique pour 98% d’entre elles, et l’usage du cloud (87% des entreprises stockent au moins une partie de leurs données dans le cloud).
Face à la recrudescence de ces cybermenaces, comment réagir et s’adapter pour protéger l’entreprise ?
De quelles cyber-attaques faut-il se protéger ?
Pour savoir anticiper et réagir aux attaques, il faut connaître les procédés utilisés par les fraudeurs.
S’il y a 10 ans, la fraude au président (se faire passer pour le dirigeant de l’entreprise et obtenir un virement de la part de la société sur un compte frauduleux) était en tête des arnaques auprès des directions financières, d’autres risques l’ont détrônée.
Sans être particulièrement nouvelles, ces attaques informatiques et cyber sont cependant de plus en plus sophistiquées :
- Les ransomwares, littéralement logiciels-rançons, sont des programmes informatiques malveillants, qui prennent en otage les données personnelles en échange d’un paiement,
- Le phishing ou emails contrefaits, notamment de faux emails de factures fournisseurs, pour obtenir des virements sur des comptes frauduleux,
- L’utilisation non sécurisée de mobiles, qui permettent de pénétrer le SI de l’entreprise,
- La faible sécurisation des mots de passe en interne.
Face à ces risques, la direction financière a un rôle primordial à jouer. Elle ne peut plus être un département “à part”, isolé du reste de l’entreprise. Son rôle est plus transversal que jamais, notamment dans l’analyse des risques de l’entreprise, de tout type, y compris les cyberattaques. Le département informatique n’est plus seul responsable de la lutte contre ces risques.
Prémunir son entreprise des fraudes et cyber-menaces est désormais primordial selon les experts en cybersécurité.
Quel rôle pour le DAF dans la cybersécurité ?
Selon Bruno de Laigue, président de la DFCG,
“Le directeur financier est un acteur essentiel dans la lutte contre la cybercriminalité.”
Il doit ainsi assumer plusieurs rôles essentiels.
La cartographie et l’analyse des risques de l’entreprise
Charge au directeur financier, en coopération avec le service informatique, de faire l’inventaire des risques et de mettre en place des protections face à ceux-ci. Cette cartographie doit être évolutive, pour s’adapter aux nouveaux risques qui surgissent. Parmi les bonnes pratiques, les collaborateurs peuvent s’assurer de l’existence d’une charte informatique qui :
- définit les accès au SI ;
- la politique de renouvellement des mots de passe ;
- les mises à jour de sauvegarde.
La formation des équipes aux risques informatiques et à la cybersécurité
Dans plus de 80% des cas, les attaques sont possibles à cause d’une négligence d’un salarié. Il est donc primordial de les sensibiliser en amont et d’investir dans une politique proactive de protection. Instaurer plus de sécurité commence par des règles basiques :
- verrouiller des ordinateurs quand on s’absente de son poste ;
- changer régulièrement les mots de passe ;
- Mettre en place le cryptage des données sensibles ;
- être vigilant sur les données partagées quitte à n’avoir aucune confiance en interne et en externe, c’est le but du zero trust en cybersécurité …
Des formations spécifiques aux fraudes sont également indispensables. Ils permettent de présenter les cas classiques et de sensibiliser les équipes (fraude au président, fraude au faux fournisseur, …). Une fois la formation effectuée, la direction financière doit mettre en place des tests pour vérifier que les salariés l’ont assimilée, et recommencer à intervalles réguliers pour s’assurer que les employés de l’entreprise soient toujours vigilants.
La formalisation de process pour les procédures de versement d’argent
Le risque humain doit être limité. Il est donc nécessaire que peu de personnes puissent avoir accès directement aux comptes de l’entreprise / aux outils de paiement. Il s’agit :
- de ne pas donner les droits administrateurs à trop de monde ;
- à demander la validation d’un virement avant qu’il soit effectué ;
- à mettre en place une authentification forte pour limiter au maximum les dérives.
Les directions financières ne sont plus cantonnées à un rôle de côté, elles doivent prendre part à digitalisation des processus financiers et la définition de sa sécurité cyber, sur tous les types de risques. A commencer par sécuriser les paiements des fournisseurs fortement exposé aux risques de fraudes. Vous avez besoin d’être accompagnés sur ce sujet ? Notre équipe d’expert est à votre disposition pour vous guider dans vos projets de protection contre la fraude au virement.