[Dossier] Daf, des cibles encore trop peu sensibilisées aux risques cyber

Clément Tallec, Daf au sein de Citalid, une start-up qui propose un logiciel SaaS de quantification du risque cyber, et anciennement Daf au sein d'Alsid, start-up spécialisée dans la cybersécurité, s'est formé aux bases de la cybersécurité par appétence personnelle, notamment en lisant la presse, les contenus publiés par des éditeurs de logiciels, les recommandations de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et par l'environnement professionnel dans lequel il évolue depuis plusieurs années. « Nous sommes dans un monde où la menace cyber évolue très rapidement avec un impact potentiel et un degré de sophistication importants doublés d'une nature malveillante, explique-t-il. Nous savons que cela n'arrive pas qu'aux autres, mais globalement, les CFO et les équipes dirigeantes sont encore peu sensibilisés et préparés au risque cyber. »

La Daf, direction la plus sinistrée, mais peu compétente sur le sujet

Si la Daf fait partie des points sensibles et des directions les plus sinistrées du point de vue de la cybersécurité, le niveau de compétences des directeurs financiers doit encore s'améliorer. La raison : le sujet a longtemps été ­l'affaire exclusive des directions des services informatiques (DSI). « Les directions financières ne sont pas encore suffisamment associées ou sensibilisées à la cybersécurité, car les directions générales commencent à l'être. Les directions des systèmes d'information et services informatiques se sont saisies de la cybersécurité et l'ont traitée comme un sujet technique. À partir du moment où l'environnement informatique se complexifie et qu'on transfère une partie importante sur un support digital, il n'y a pas eu cette prise de conscience que ce transfert sur le digital est accompagné d'un besoin vital de sécurité », constate Marc Behar, fondateur du cabinet XMCO, cabinet de conseil et de services en cybersécurité. Les Daf n'ont ainsi, pour la plupart d'entre eux, jamais reçu de consignes ou préconisations en matière de cybersécurité de la part de l'équipe informatique.

Pas de communication précipitée

Plusieurs précautions doivent donc être prises, à commencer par celle qui consiste à ne jamais effectuer une opération pour laquelle on a un doute. « Très souvent, lors d'une arnaque au président, on exerce une pression qui peut s'accompagner d'éléments qui vont rassurer la victime, alors que rien n'inspire confiance si cette pression est levée », commente Marc Behar. Si, par exemple, un Daf reçoit une demande urgente un vendredi à 16 heures, sans avoir eu une conversation ou une information de la part du P-DG ou de la direction générale, il doit s'interroger, s'imposer un délai de réflexion, ­trouver cela suspect, quitte à prendre un peu de retard sur un processus. « Il vaut mieux empêcher une chose justifiée plutôt que d'autoriser quelque chose dont on n'est pas certain. Lorsqu'on reçoit un lien, un message qui sort du cadre, il faut s'assurer que le fait de sortir du cadre correspond à quelque chose de normal, et encore plus lorsqu'on fait ­l'objet d'une pression qu'on n'a pas l'habi­tude de subir », conseille Marc Behar. Autre règle d'or : pas de communication précipitée. La stra­tégie de communication de crise cyber doit s'inscrire dans une temporalité précise et être alignée avec une stratégie opérationnelle. Il est indispensable de définir qui dit quoi, à qui, comment et à quel moment. « En cas d'intrusion, lorsqu'on a cette volonté de communiquer une information le plus rapidement possible, cela a pour effet de donner du poids à ceux qui veulent vous nuire, alors qu'ils n'ont rien fait à ce stade. Cela vous met aussi dans l'obligation d'agir pour sortir de cette impasse », recommande Marc Behar. Il n'y a donc aucun intérêt à communiquer tant qu'il n'y a pas de certitude de la survenance d'une cyberattaque. « Cela permet d'éviter de relayer un pirate qui a volé les informations et d'alimenter tout mouvement de panique, qui est un objectif de l'attaquant », ajoute l'expert.

Définir les risques prioritaires et allouer les bons budgets

Établir une cartographie des risques permet de visualiser clairement ceux auxquels une entreprise est exposée et de les classer du plus faible au plus grave. Idéalement, la conception de la cartographie des risques cyber doit faire participer les différents départements de l'organisation, ainsi que tous les niveaux hiérarchiques, de la direction jusqu'aux opérationnels. Chaque collaborateur s'expose, en effet, ou participe à des scénarios de risques, qu'il faut pouvoir identifier pour les mesurer. Cette schématisation permet à la direction générale et à la direction des systèmes d'information de mettre en place les mesures de prévention nécessaires à une gestion efficace du risque cyber et à la direction financière de décliner des priorités et de prévoir les budgets en phase avec les enjeux que la société porte. « Il peut arriver qu'on alloue des budgets importants pour des risques mesurés ou qui n'auraient pas d'incidence », pointe Marc Behar. La sensibilisation des dirigeants passe notamment par la quantification et le pilotage du risque cyber, comme tout autre risque financier. Une façon, selon Clément Tallec, de crédibiliser la menace avant de mettre en place une stratégie. « Nous analysons la maturité cyber de la société, ce qui permet de se faire une idée d'un montant de perte potentielle, d'obtenir une quantification financière de l'exposition au risque de la société, de donner une exposition au risque, actuelle et à venir, en fonction des projets de cybersécurité qui pourraient être mis en place, et ainsi de transformer ces données en KPI actionnables. » Ces métriques partageables vont dès lors constituer le fil rouge du reporting du responsable du système d'information (RSSI) et du Daf, permettant de la sorte d'adresser, de mesurer un budget cyber. « C'est d'autant plus important que la cybersécurité n'est pas systématiquement considérée comme l'enjeu numéro 1 dans les entreprises. La quantification permet de prioriser les investissements, de les positionner au bon endroit et donc de piloter la résilience de l'orga­nisation. Finalement, c'est donc une méthode qui permet aux instances dirigeantes d'adresser efficacement ses budgets de sécurité », estime Léo Coqueblin, responsable de la stratégie des cyberrisques au sein de Citalid.