DAF et RSSI doivent apprendre à parler le même langage !
Publié par Stéphanie Gallo Triouleyre le - mis à jour à
Même si des progrès significatifs sont observés, la collaboration entre la direction financière et les services en charge de la sécurité des systèmes d'information est loin d'être optimale.
Selon le baromètre 2025 du CESIN (Club des Experts de la sécurité de l'information et du numérique), 47% des entreprises françaises ont subi au moins une cyberattaque significative en 2024. Selon le rapport Hiscox 2023, le coût moyen d'une cyberattaque s'élèverait environ à 15.000 euros. Un chiffre qui cache néanmoins des disparités très importantes. Pour certaines attaques, le cout se chiffre en centaines de milliers d'euros. Sans compter, les atteintes à la réputation de l'entreprise et les dégâts en matière de marque employeur... Et désormais, plus aucun directeur financier ne peut plus dire non plus que la cybersécurité, ce n'est pas son job.
Se détourner du sujet cyber : une faute professionnelle pour un DAF ?
En effet, à tous les coûts précités, s'ajoutent désormais les sanctions associées à NIS 2 ou à DORA en matière de résilience numérique. « L'évolution des systèmes peut demander des délais relativement importants. Or, les réglementations ne laissent désormais plus beaucoup de temps aux organisations pour s'adapter, elles deviennent de plus en plus intransigeantes. Il faut donc agir vite, sans attendre et réaliser les investissements nécessaires, en fonction de ses besoins et de ses moyens », pointe Hakim Loumi, expert cyber et data pour Oracle.
Pour lui, la lourde responsabilité de la définition des besoins de protection et du choix des prestataires ne peut reposer uniquement sur les épaules du DSI ou du RSSI. « En cas de problème, de fuite de données par exemple sur un serveur, l'entreprise encourt des sanctions. Non seulement cet impact financier relève des compétences du DAF mais en plus, il pourra être mis en cause : il a une responsabilité morale vis-à-vis de l'entreprise c'est certain, mais aussi, de plus en plus sur ce point de la cybersécurité, une responsabilité juridique. Il ne peut plus se contenter de dire que si l'entreprise n'a pas été suffisamment résiliente, c'est à cause du RSSI... », prévient l'expert d'Oracle. L'analyse est partagée par Nicolas Chaine, associé expert en data et cybersécurité au sein du cabinet Julhiet Sterwen. « Il existe de plus en plus de porosité entre les enjeux cyber, juridiques et financiers. Le DAF doit prendre toute sa place dans le plan de prévention que doivent construire les organisations».
DAF/RSSI : deux planètes qui doivent trouver un terrain de discussion
Et pourtant, le dialogue entre la direction financière et la DSI ou le RSSI reste inexistant dans nombre d'entreprises. Voire même conflictuel. « Le RSSI parle prévention des risques, donc investissement pour obtenir un statuquo (c'est-à-dire pas d'attaque), tandis que le DAF lui, parle plutôt un langage business. Résultat : les deux parties peuvent avoir du mal à trouver un terrain commun de discussion », constate Philippe Luc, CEO d'Anozr Way, spécialiste de la gestion des risques cyber liés au facteur humain. En clair, l'un met en avant le cout du risque quand l'autre préfère parler création de richesse. Alain Bouillé, délégué général du CESIN, va même plus loin : « pour beaucoup de directeurs financiers, la cybersécurité semble un puit sans fond. Alors, souvent les budgets qui seraient nécessaires ne sont pas débloqués. Ils le sont subitement, lorsque l'entreprise est attaquée ... Pourtant, la prévention devrait relever d'une coopération menée intelligemment pour trouver le meilleur niveau de protection avec les moyens à disposition ».
Dans un certain nombre d'entreprises, les échanges se limitent ainsi à trois points de contact dans l'année : la définition des budgets et du contrat éventuel d'assurance cyber, les points cyber en Comex et les comités de pilotage de projets dont le DAF est sponsor et auxquels plusieurs intervenants peuvent être associés (dont les DSI/RSSI). « C'est absolument insuffisant », alerte Nicolas Chaine de Julhiet Sterwen.
Alors comment concilier/réconcilier ces deux mondes aux langages différents mais censés oeuvrer ensemble au service de la performance et de la résilience de leur organisation ?
« Les échanges doivent être permanents, construits et apaisés. Il ne doit pas s'agir uniquement d'un combat entre celui qui demande un budget et celui qui, éventuellement, l'accorde. Un dialogue plus nourri doit se mettre en place. Il en va de la responsabilité des deux parties de s'assurer de la compliance de l'entreprise sur le sujet de la cybersécurité », répond l'expert de Julhiet Sterwen. « Le RSSI doit faire l'effort de moins jargonner, d'être plus compréhensible. Le DAF, même s'il n'a pas d'appétence pour ce sujet, doit faire l'effort de s'y intéresser, de se former un peu pour bien comprendre les problématiques. Sinon, très clairement, il n'aura pas la capacité d'arbitrer correctement le budget ».
Mais il ne s'agit pas pour autant de partir en formation des semaines entières, ni de comprendre exactement le fonctionnement de tel ou tel dispositif de protection. L'enjeu est plutôt d'acquérir un niveau suffisant pour mener un échange constructif avec son DSI ou son RSSI : formations en ligne, conférences, lectures diverses.
Philippe Luc, d'Anozr Way, préconise aussi d'utiliser un outil encore peu répandu : le ROSI (Return on Security Investment). Le pendant du ROI, spécifique à la cybersécurité. « Calculé par le DAF avec les éléments du DSI/RSSI, il pourrait faciliter les échanges entre les deux parties, avec un élément de langage commun ». Est-ce que la solution ultime pour une meilleure prise en compte des enjeux cyber serait que le DAF endosse systématiquement la responsabilité hiérarchique RSSI ? Voire la casquette DSI, comme c'est le cas dans un certain nombre d'entreprises de taille moyenne ? Ce n'est pas la tendance en tout cas. Selon une étude mondiale de Splunk, 82% des RSSI rendent aujourd'hui directement compte à leur P-dg. Soit presque deux fois plus qu'il y a deux ans. Un choix que valide Jean-Maxime Robin la Spina, directeur financier de l'Adapei de l'Ain (1.500 salariés) depuis six ans, directeur des opérations et DSI. « Quand je suis arrivé, il n'y avait pas de DSI en interne. J'ai rapatrié cette fonction, et progressivement, nous nous sommes outillés en cybersécurité, nous avons organisé des formations pour les collaborateurs et j'ai recruté un RSI. J'assume cette casquette de DSI pour une question de moyens de notre organisation, mais dans l'idéal, je scinderai la DSI car un directeur financier ne peut avoir le même niveau d'expertise qu'un DSI formé et entrainé à ces sujets de sécurité. En attendant, je me forme et je pilote au mieux ».