Accueil / Dossiers / [Tribune] Comment la direction financière peut protéger les données de l'entreprise
[Tribune] Comment la direction financière peut protéger les données de l'entreprise
En mai dernier, les attaques Wannacry et Adylkuzz ont paralysé des milliers d'ordinateurs en quelques heures dans près de 150 pays. D'où une prise de conscience : la transformation digitale implique des risques pour les entreprises, que la Daf se doit d'anticiper.
Détournement de données sensibles, espionnage industriel, altération des systèmes ... La transformation digitale et le déploiement de données qui l'accompagne font peser sur les entreprises des risques pouvant impacter leur intégrité et leur solidité face aux organismes financiers, aux autorités de régulation, mais également vis-à-vis de leurs investisseurs et de leurs clients.
Le caractère sensible et attractif des données traitées par la fonction finance, ainsi que son expertise dans l'évaluation des risques, lui confèrent un rôle central dans la réduction du niveau d'exposition de l'entreprise. Pour cela, il est nécessaire de bien comprendre la menace.
À lire aussi: "Dossier: le risk management s'étend aux ETM"
Quels sont les objectifs des cyberattaques?
Différents acteurs peuvent être à la source de ce type de fraude, de l'individu isolé au groupe organisé. Voici quelques-uns de leurs objectifs:
- Récupérer des données sensibles pour les revendre ou les détourner (données bancaires, documents clients...);
- Capter les informations stratégiques (vol de propriété intellectuelle, etc.);
- Altérer ou détruire le fonctionnement d'un système, provoquant l'arrêt ou le ralentissement de l'activité;
- Communiquer des contenus confidentiels ou portant atteinte à l'image de l'entreprise victime.
À lire aussi: "Cyberfraude: la menace (presque) fantôme"
>> Coût d'une cyberattaque, solutions à mettre en place... .
Combien coûte une cyberattaque ?
L'évaluation du coût global d'une attaque doit prendre en compte différents éléments quantifiables par la DSI et la fonction finance:
Lire aussi : "Les DAF, premiers acteurs de la protection contre les cyberattaques" : Benjamin Leroux (CLUSIF)
- Montant de la perte financière relative aux informations dérobées (vol d'actifs financiers, pertes de données sensibles, etc.);
- Dépense totale une fois l'attaque rendue publique (protection clients, action en justice, audits, relation publique, etc.);
- Coût de la baisse ou de l'interruption d'activité;
- Temps de gestion de la crise pour cibler et corriger les systèmes (mobilisation des ressources, coûts informatiques, etc.);
- Montant de l'amende à payer dans le cadre du non-respect des normes de protection des données en vigueur;
- Investissement pour développer le niveau de cybersécurité.
À lire aussi:
Infographie: "Cyber-attaques: les PME et ETI sont-elles prêtes à affronter la menace?"
L'alliance Daf et DSI pour anticiper les cyber-risques
Afin de limiter la portée d'une cyberattaque, détenir en amont une perception consolidée et agile des risques est le premier objectif à atteindre. Quelques exemples d'actions à engager:
Lire aussi : Assurance santé, responsabilité, prévoyance : le pack pour les freelances et indépendants
- Améliorer la visibilité du risque dans l'organisation en construisant une cartographie des risques. La DSI doit disposer d'une vision d'ensemble des informations souvent dispersées dans différents systèmes d'information. L'enjeu sera donc de mener une analyse continue et prédictive des données techniques (données sensibles, processus internes, accès informatiques, activités utilisateurs).
- Anticiper et organiser une réponse directe au problème par le renforcement des procédures internes et la mise en place de contrôles automatisés, d'indicateurs de performance et de tableaux de bord utiles à la direction financière.
- Mettre en place des outils adaptés afin de cibler et suivre les risques de fraudes et les fraudes avérées tels qu'Egerie, HTTPCS, ITrust ou encore Sentryo.
- Sensibiliser et informer les collaborateurs en interne afin de diffuser les bonnes pratiques (actualisation des mots de passe, éviter l'ouverture de mails frauduleux, etc.) et mener une politique de communication régulière sur les enjeux et les risques des cyberattaques.
Les directions financières auront tout à gagner en accordant à la gestion du risque cyber une place centrale, et notamment dans l'expectative de l'application en 2018 de la réglementation européenne General Data Protection Regulation (GDPR) qui amènera un cadre étendu à la protection des données personnelles. Compte tenu de l'importance stratégique de la sécurité numérique, 2 à 6% du budget d'une entreprise devrait être consacré à la cybersécurité.
À lire aussi: Dossier: "RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données"
L'auteur
Camille Anezo, Consultante mc²i Groupe
Diplômée d'un Master 2 de l'ISC PARIS, avec une spécialisation "International Corporate Finance", Camille a rejoint mc²i Groupe, cabinet de conseil en systèmes d'information et en organisation, en 2015. Elle accompagne de grandes entreprises dans la réalisation de leurs projets et intervient actuellement pour un acteur majeur du secteur bancaire.
Sur le même thème
Voir tous les articles Risques