Recherche

Cyberattaque : un sujet que les Daf doivent prendre à bras le corps

En 2018, une entreprise sur trois n'a pas réussi à déjouer l'attaque dont elle était victime contre une sur cinq l'année dernière. Voilà ce qu'indique une étude sur la cybercriminalité menée par Euler Hermes et la DFCG. Aux Daf de mettre en place les solutions adéquates.

Publié par Eve Mennesson le - mis à jour à
Lecture
5 min
  • Imprimer
Cyberattaque : un sujet que les Daf doivent prendre à bras le corps

Daf, êtes-vous prêts à contrer la menace cybercriminelle ? C'est à cette question que s'est intéressée le baromètre "Fraude et Cybercriminalité" mené par Euler Hermes et la DFCG. Réalisé pour la quatrième année consécutive, 300 témoignages d'entreprise ont été recueillis (dont 63% de Daf et 78% de membres de la direction financière) entre février et mars 2018.

Profil du fraudeur type

Premier enseignement de cette étude : les usurpations d'identité sont les fraudes les plus répandues. En effet, 54% des entreprises ont subi des fraudes au faux fournisseur, 42% au faux président, 35% au faux client et 42% ont fait face à d'autres usurpations d'identité (faux banquier, avocat ou encore commissaire aux comptes). La cybercriminalité pure et dure (ransomware ou attaques des comptes bancaires de l'entreprise ou de ses données) a concerné 50% des entreprises. La fraude interne a, quant à elle, touché 12% des entreprises interrogées.

Autre constante des cyberfraudeurs : 30% des entreprises ont constaté une recrudescence des attaques les week-ends, jours fériés et durant les vacances. Les cybercriminels interviennent lorsque l'entreprise est plus vulnérable car en effectif réduit ou ayant adopté une nouvelle organisation. "Il faut également faire attention aux périodes d'intégration suite à une croissance externe ou aux migrations du système d'information", avertit Sébastien Hager, expert fraude chez Euler Hermes France.

Les cybercriminels se professionnalisent

Surtout, les cybercriminels atteignent de plus en plus leurs objectifs. En effet, l'étude rapporte qu'en 2018 une entreprise sur trois n'a pas réussi à déjouer l'attaque dont elle était victime, contre une sur cinq l'année dernière. Alors que le nombre d'entreprises visées par les fraudeurs est quasi équivalent (sept entreprises sur dix en 2018 contre quatre sur cinq l'année dernière).

"Les fraudeurs se professionnalisent, remarque Sébastien Hager. Ils passent par exemple beaucoup de temps à gagner la confiance d'une personne au sein de l'entreprise visée afin qu'elle croit qu'elle fait partie des équipes du fournisseur ou du client".

Par ailleurs, ils n'hésitent pas à répéter leurs attaques jusqu'à ce que celle-ci atteigne son but : une entreprise sur cinq a fait face à plus de cinq tentatives de fraude et 10% en ont même subi plus de dix.

À suivre :

Des dispositifs de prévention insuffisants

Face à ces attaques, les entreprises ont mis en place différentes actions. 90% ont misé sur la sensibilisation des salariés. C'est d'ailleurs grâce à des réactions humaines adéquates que 50% des fraudes ont été déjouées. "Le bon sens est essentiel pour lutter contre les fraudeurs. Pour bien sensibiliser ses salariés, il ne faut pas hésiter à leur montrer des exemples d'e-mails frauduleux ou encore à leur envoyer de faux e-mails frauduleux pour voir leur réaction", conseille Bruno de Laigue, président de la DFCG.

Par ailleurs, 80% des entreprises ont renforcé leurs procédures de contrôle interne et 44% ont réalisé un audit de leur système d'information. Ce dernier chiffre augmentera certainement avec la mise en place du RGPD. Enfin, une entreprise sur cinq est assurée contre le risque fraude ou souhaite le faire.

Par contre, seules 20% des entreprises souhaitent mettre en place une cartographie des risques. Idem pour les tests d'intrusion. "Cela est vraiment insuffisant car seule la cartographie permet de savoir d'où peuvent venir les risques. Les tests d'intrusion permettent d'estimer la porosité du SI, du temps que l'attaquant peut rester et ce qu'il peut faire", indique Sébastien Hager. Une décision souvent liée au budget que les entreprises souhaitent consacrer à la lutte contre la cybercriminalité.

Le Daf au coeur de la gestion des risques

Aux Daf, donc, de s'emparer du sujet : la direction financière est en effet au coeur de la lutte contre la fraude. Selon l'étude Euler Hermes/DFCG, le Top 3 des directions pilotant le cyber-risque est la direction financière (48%), la direction informatique (19%) et la direction générale (13%).

Il faut dire que le risque d'une cyberattaque est principalement financier : 85% des entreprises interrogées le citent. "Elles craignent un impact important sur leur trésorerie qui remettrait en cause la pérennité de leur activité", précise Sébastien Hager. Les autres risques cités sont les données (45%), l'interruption d'activité (30%) et la réputation (29%).

Pour Bruno de Laigue, les Daf doivent s'emparer du RGPD pour mieux se préparer aux risques cyber : "C'est une bonne porte d'entrée pour analyser son SI et ses procédures internes mais aussi de trouver des moyens de réagir en cas d'attaque", pense-t-il.

Les dirigeants d'ETI ne se sentent pas concernés par la cybercriminalité

Bien que 76% des ETI ont subi au moins un incident cyber en 2017, les dirigeants de ces entreprises ne se sentent pas toujours directement exposés. C'est le principal résultat d'une étude consacré à la cybercriminalité dans les ETI, menée par Bessé et PwC (mars 2018).

Ainsi, seules 49% des ETI sondées ont mis en place une stratégie de cybersécurité. Elles ne sont par ailleurs que 19% à avoir mis en place une stratégie de protection de l'information et 39% des actions de sensibilisation des collaborateurs en matière de cybersécurité.

Enfin, le risque financier lié aux attaques cyber est mal évalué : les dirigeants estiment de possibles impacts au niveau opérationnel et un risque d'atteinte à leur image mais aucun n'est en mesure de présenter un diagnostic précis de ses conséquences financières. Aux Daf de s'emparer du sujet !

Sur le même thème

Voir tous les articles Risques

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Retour haut de page