DAF : Champion d’une cybersécurité de long terme

Anne Doré, fondatrice de ADHEL, cabinet de conseil dédié à la cybersécurité

La cybersécurité est l’affaire de tous. L’expression est connue, mais pour autant comment peut-elle se traduire au quotidien dans les entreprises ? La question est d’autant plus importante quand on l’adresse aux dirigeants d’une organisation. Directeurs généraux, directeurs financiers, directeurs innovations, DRH… chacun a bien son rôle à jouer en matière de cybersécurité, même s’il n’est pas un expert du sujet.

Cette chronique décrypte pour chacun d’entre eux ce que ce rôle peut être et les réflexes qu’il implique pour chaque dirigeant.

Anne possède une solide expérience dans le conseil qu’elle a acquis avec CSC Peat Marwick puis chez IBM. Elle a notamment accompagné de nombreux dirigeants dans la mise en œuvre de transformations organisationnelles et de projets stratégiques intégrant les nouvelles technologies (cloud, AI, big data).

Elle est convaincue que l’ensemble des dirigeants et des collaborateurs – même non expert – ont un rôle à jouer et que la cyber sécurité exige une approche transversale et à 360° degrés.

Sa volonté est d’aider les dirigeants à intégrer développer la cyber résilience de leur organisation en intégrant ce nouveau risque métier dans leur stratégie et leur gouvernance.

Elle est co-auteur de l’ouvrage « Méthode de gestion de crise cyber” paru en juillet 2021 aux éditions VA Press avec le soutien de l’ANSII. Elle enseigne à l’ESCP.

Anne est Secrétaire Générale Adjoint du Clusif et membre du Conseil d’Administration de Women4Cyber.

Notre chroniqueuse Anne Doré poursuit son analyse des rôles clés en cybersécurité, avec un focus sur les directeurs administratif et financier, qui doivent plus que jamais se mobiliser.

La gravité et la fréquence des cyberattaques ne cesse d’augmenter impactant de plus en plus les finances des entreprises. Les cyberattaques constituent un des plus gros risques financiers qu’elles ont à anticiper et gérer.

Estimé à 6 000 milliards de dollars en 2021, le risque cyber augmente de 15% par an et devrait atteindre 10 500 milliards de dollars en 2025[1]. Le coût des attaques cyber varient évidemment en fonction de la taille des entreprises. Ainsi Saint Gobain annonçait en 2017 des impacts à hauteur de 250 millions d’euros à la suite de l’attaque subie par l’entreprise, quand le coût moyen pour une PME est estimé entre 300 et 500 000 euros[2].

Pour mémoire, le coût d’une attaque est constitué des coûts de gestion de crise (ex. experts, coûts de remédiation), de la perte d’information, des éventuelles pénalités et selon la nature de l’attaque des manques à gagner en termes de chiffres d’affaires si l’activité (vente, distribution ou production) est impactée. A cela vient s’ajouter, le coût lié à la perte de réputation, généralement très difficile à estimer.

Par conséquent, le Directeur Financier (DAF) dont la mission principale est de protéger le résultat net de l’entreprise, ne peut ni faire abstraction de ce risque ni le gérer de manière ‘hâtive’ en provisionnant un montant arbitraire.

Le DAF se doit d’avoir un rôle clé dans la prévention, la quantification et la couverture du risque cyber.

Le DAF acteur de la sensibilisation

En premier lieu, le DAF doit veiller à la protection des applications, des données et flux financiers de l’entreprise. Les sauvegardes, le plan de continuité de son département doivent être effectifs, et régulièrement testés. Il a aussi pour mission de sensibiliser et former ses équipes à la prévention et à la gestion des incidents de crise cyber.

Parmi les attaques les plus courantes, les fraudes au président et faux ordres de virement prennent une grande place. Il appartient donc au DAF de veiller en premier à la formation de ces collaborateurs et au développement de gestes reflexes au sein de ces équipes. Seule la capacité d’une personne à s’interroger, s’étonner devant ‘l’étrangeté’ d’une demande peut arrêter ce type d’attaque.

Quand la fonction achat est dans le périmètre du DAF, il doit exiger que les questions de sécurité et de confidentialité des données soient intégrées dans le processus d’approvisionnement.

Mais le rôle du DAF en termes de sensibilisation ne s’arrête pas là. La collaboration entre le DAF et le CISO a pour objectif d’articuler le cyber risque en termes opérationnels et chiffrés. Le DAF avec l’aide du CISO et de ses équipes, doit s’impliquer dans la compréhension du risque cyber, des différents scenarii de crises envisagées afin de valoriser ce risque. Qui de mieux placer pour valoriser le coût, le manque à gagner si une BU, un processus métier est à l’arrêt partiel ou total du fait d’une cyber attaque ? Qui de mieux placer pour expliquer à ces homologues au sein du COMEX et au DG le risque de ne rien faire et l’importance de mettre la cyber sécurité au cœur de la stratégie de l’entreprise ?

Le résultat de la quantification du cyber risque aide à traduire les questions techniques de sécurité des données, de l’activité dans un vocabulaire, une terminologie et des enjeux d’entreprise qui font écho auprès des membres du conseil d’administration, du COMEX et du PDG.

Or, nous l’avons déjà mentionné dans les précédentes chroniques, la Direction Générale doit impérativement s’approprier les enjeux liés à la cyber sécurité.

L’estimation de ce risque en monnaie trébuchante et la réalisation de benchmark auprès de ses pairs, facilite la compréhension du risque et l’attribution des dépenses pour gérer et le couvrir.

Valoriser le risque pour mieux le gérer et le couvrir

La couverture passe en premier lieu par la nécessité de disposer des budgets requis afin de réaliser les investissements humains, technologiques et de formation et sensibilisation. Si évidemment chaque dépense doit être justifiée et repartie de manière appropriée entre la prévention et la gestion des incidents, il appartient au DAF de garantir au CISO les budgets annuels requis pour anticiper et prévenir ce risque.

La quantification du risque aide à justifier les investissements requis et la cyber sécurité devient un actif au service de l’entreprise et non plus un centre de coût.

La couverture du risque passe aussi par la contractualisation d’une assurance cyber. En effet, si il est habituel que le DAF gère les assurances dommages et veille à l’équilibre entre la prime et les garanties associées, il doit en faire de même pour le risque cyber en s’appuyant sur l’estimation financière du risque estimée de l’entreprise. Le risque cyber est 30 fois plus élevé que le risque incendie !

Enfin en cas de crise, le DAF est pleinement associé à l’équipe décisionnelle et / ou opérationnelle de gestion de crise afin d’engager, si besoin, les dépenses requises (ex. experts, moyens logistiques..) et estimer l’impact financier de l’attaque cyber.

Le DAF joue donc un rôle clé dans la cybersécurité en aidant les dirigeants de l’entreprise à comprendre et s’approprier ce risque, les coûts associés et à l’intégrer dans la stratégie et la gestion de l’entreprise.

Le DAF partie prenante de la cyber sécurité à long terme

Au vu du risque et de la sophistication des attaques toujours croissants, le DAF n’aura de cesse à court, moyen et long terme d’affiner sa compréhension du risque, de participer activement à sa prévention et sa gestion et de faciliter une approche intégrée et collaborative au sein du Comex et de l’entreprise

Le succès de la cybersécurité repose non seulement sur les politiques, les processus et les technologies en matière de sécurité de l’information, mais aussi sur une analyse comparative efficace, une analyse judicieuse des investissements et des arbitrages budgétaires.

Nul doute que l’implication du DAF sur les sujets cyber va devenir pérenne et de plus en plus affutée, car ils apportent une autre dimension à la cybersécurité de l’entreprise.

***

[1] https://www.ecommercemag.fr/Thematique/paiements-1291/barometre-etude-2187/Breves/etude-risque-cyber-evalue-000-milliards-dollars-2021-360132.htm

[2] https://www.cyber-cover.fr/cyber-documentation/cyber-securite/cybersecurite-statistiques-que-toute-pme-devrait-connaitre#:~:text=Le%20co%C3%BBt%20financier%20moyen%20pour,%C3%A9norme%20impact%20financier%20difficilement%20surmontable.

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description