Cybersécurité : les DAF, gardiens des actifs financiers

Avec une hausse de 38 % des cyberattaques en 2023, les entreprises françaises sont de plus en plus exposées à des menaces numériques coûteuses et dévastatrices. Face à cette recrudescence, les Directeurs Administratifs et Financiers deviennent des acteurs incontournables de la protection des actifs financiers. Lors des Journées DAF, le 17 octobre dernier à Paris, une table ronde a réuni trois experts pour discuter des stratégies à adopter. Didier Gras, RSSI de BNP Paribas, Benjamin Leroux, administrateur du CLUSIF, et Willy Meuret, Directeur Administratif et Financier de GEREP, ont partagé leur vision sur le rôle déterminant des DAF dans la lutte contre les cyber-risques.

Au centre des décisions de cybersécurité

" La cybersécurité n'est plus uniquement une affaire d'informaticiens, c'est devenu un sujet de direction générale ", a martelé Willy Meuret dès le début de la table ronde. En tant que DAF de GEREP, cabinet spécialisé en gestion des risques et des assurances pour les entreprises., il connaît bien le double enjeu de gérer la performance financière tout en protégeant les systèmes d'information et les datas. " En tant que PME, nous avons vite compris que nous ne pouvions pas prendre ce sujet à la légère. Les cyberattaques peuvent paralyser une entreprise pendant des semaines, voire des mois. Il faut être prêt ", a-t-il souligné.
Et les DAF doivent s'impliquer activement dans la gestion de la cybersécurité : " Il s'agit d'un effort collectif. Nous avons cartographié nos risques avec l'ensemble de l'écosystème de l'entreprise et collaboré étroitement avec notre RSSI pour renforcer nos défenses ", a-t-il expliqué. La mise en place d'une stratégie globale est en effet indispensable pour assurer la résilience financière et opérationnelle des organisations.

L'anticipation, clé de la gestion de crise

Pour Didier Gras, RSSI de BNP Paribas, la préparation en amont est cruciale. "La cybersécurité doit être pilotée au plus haut niveau de l'entreprise", a-t-il affirmé. Avec l'explosion des menaces, les entreprises doivent anticiper les incidents et disposer de plans de réaction bien rodés. "Les attaques ne s'improvisent pas, et la gestion des crises non plus. Les entreprises les plus matures s'entraînent régulièrement à simuler des attaques pour vérifier leur capacité de réponse. Le rôle des DAF est essentiel pour assurer la continuité des opérations financières et éviter l'effondrement de l'activité", a-t-il ajouté.
Car le rôle des DAF ne se limite plus à gérer les finances, mais comprend aussi d'assurer la protection des actifs numériques. "Le coût moyen d'une cyberattaque atteint 4,23 millions d'euros par violation de données, et peut monter jusqu'à 6 millions dans le secteur financier. Les DAF doivent s'assurer que l'entreprise dispose des moyens nécessaires pour prévenir ces risques", a insisté Didier Gras.

Solutions abordables

Benjamin Leroux, administrateur du CLUSIF, a lui aussi mis l'accent sur l'importance de la sensibilisation et de la formation, surtout dans les PME. "Il existe encore un écart important dans la préparation des entreprises. Si les grandes entreprises sont souvent bien équipées, beaucoup de PME ne prennent pas suffisamment au sérieux les risques cyber. Pourtant, il existe des solutions simples et peu coûteuses pour réduire ces vulnérabilités", a-t-il déclaré.
Parmi ces solutions, l'administrateur du CLUSIF cite la formation continue des employés et la mise en place de tests de phishing pour mesurer leur vigilance. "Former les collaborateurs est essentiel pour éviter les erreurs humaines, souvent à l'origine des brèches de sécurité. Les tests de phishing permettent de simuler des attaques et d'évaluer la capacité des équipes à reconnaître des tentatives d'intrusion. Cela ne coûte pas cher et peut sauver l'entreprise", a-t-il expliqué.

Un engagement collectif nécessaire

Mais c'est surtout sur l'approche collaborative que les trois intervenants ont insisté. "En 2024, la cybersécurité doit être abordée de manière collective. Ce n'est pas un problème que les entreprises peuvent résoudre seules", a averti Didier Gras. Que ce soit par le partage de bonnes pratiques, des partenariats avec des fournisseurs de sécurité ou l'implication des collaborateurs, les entreprises doivent mobiliser toutes leurs ressources pour faire face à la menace.
Willy Meuret a d'ailleurs rappelé que la cybersécurité ne doit pas être perçue comme un coût supplémentaire, mais comme un investissement nécessaire. "Il existe des solutions adaptées à chaque entreprise. Il ne faut pas se dire que la cybersécurité est hors de portée parce que l'on n'a pas les moyens d'une grande banque. Chaque entreprise peut commencer petit et renforcer progressivement sa sécurité", a-t-il affirmé.

Des cyberattaques plus sophistiquées

Les menaces continuent d'évoluer et deviennent de plus en plus sophistiquées. Benjamin Leroux a évoqué les nouveaux défis posés par l'intelligence artificielle, qui peut être une arme à double tranchant. "L'IA offre de formidables opportunités, mais elle peut aussi accroître les risques si elle est mal utilisée. Il est essentiel que les DAF et les équipes informatiques collaborent dès le début des projets pour intégrer la sécurité dès la conception", a-t-il alerté.
Didier Gras a quant à lui insisté sur la nécessité de se préparer au pire : "Les attaques sont de plus en plus rapides et difficiles à détecter. Si vous n'êtes pas prêt, la crise peut s'avérer fatale. Il faut s'entraîner, s'organiser et être prêt à réagir dès les premiers signes d'une attaque", a-t-il conclu.

Un rôle renforcé pour les DAF

La table ronde a clairement mis en lumière l'importance du rôle des DAF dans la cybersécurité. Plus que jamais, ils doivent collaborer avec les RSSI et les autres départements de l'entreprise pour élaborer des stratégies robustes et anticiper les menaces. Alors que les cyberattaques deviennent une menace quotidienne, les DAF sont désormais au coeur de la protection des entreprises. Comme le résume Willy Meuret : "Le sujet de la cybersécurité peut sembler intimidant, mais plus tôt on s'y attaque, mieux c'est. Il existe des solutions pour toutes les tailles d'entreprises, et chaque action compte."