"Les DAF, premiers acteurs de la protection contre les cyberattaques" : Benjamin Leroux (CLUSIF)
Publié par Eloise Cohen le - mis à jour à
Lors des Journées DAF, le 17 octobre 2024 à Paris, Benjamin Leroux, administrateur du CLUSIF, a souligné l'urgence pour les DAF de s'impliquer dans la cybersécurité. Selon lui, les DAF doivent intégrer les cyber-risques dans leur stratégie financière pour protéger l'entreprise de menaces croissantes.
"Une PME paralysée pendant trois semaines à cause d'une cyberattaque, c'est une situation que l'on voit de plus en plus", prévient Benjamin Leroux, administrateur du Club de la Sécurité de l'Information Français (CLUSIF). Lors des Journées DAF, le 17 octobre 2024 à Paris, le professionnel a adressé un message clair aux DAF : la cybersécurité doit devenir une priorité stratégique. Selon lui, les cyberattaques sont devenues si fréquentes qu'elles doivent être traitées au même niveau que les risques financiers traditionnels.
"Les cyber-risques, un enjeu financier sous-estimé"
"Les DAF ne peuvent plus ignorer le risque cyber", a déclaré Benjamin Leroux. Alors que les grandes entreprises sont souvent bien armées pour faire face aux cyberattaques, les PME restent en retard. "Les cybercriminels ne se concentrent plus uniquement sur les grandes structures. Aujourd'hui, les petites entreprises sont devenues des cibles privilégiées parce qu'elles sont moins protégées", a-t-il expliqué.
Pour lui, ce manque de préparation dans les PME est alarmant. Les cyberattaques coûtent en moyenne 4,23 millions d'euros par incident selon une étude récente de Check Point Research. Une telle somme peut être désastreuse pour une entreprise de taille moyenne. "Les DAF doivent donc intégrer les cyber-risques dans leur gestion globale. Ne rien faire, c'est courir un risque financier majeur."
Agir avant qu'il ne soit trop tard
"Nous avons vu trop d'entreprises subir des attaques et s'effondrer", a poursuivi l'administrateur qui exhorte les DAF à prendre l'initiative car la cybersécurité ne peut plus être considérée comme une simple question technique. "Elle fait partie de la stratégie de gestion des risques de l'entreprise et le DAF, par son rôle central, doit garantir qu'elle est prise en compte à tous les niveaux."
Benjamin Leroux a également évoqué les directives européennes NIS2 et DORA qui imposent de nouvelles règles de cybersécurité, même aux petites structures. "Ces nouvelles réglementations offrent un cadre pour renforcer la cybersécurité, mais elles ne suffisent pas. Les DAF doivent être proactifs et ne pas attendre qu'une attaque survienne pour agir."
Des solutions adaptées aux PME
Contrairement à ce que l'on pourrait croire, renforcer la cybersécurité ne nécessite pas forcément des investissements colossaux. "Il existe des mesures simples, comme la formation des collaborateurs ou la mise en place de sauvegardes régulières", a-t-il expliqué. Ces actions, bien qu'élémentaires, permettent de réduire significativement les risques.
"Les DAF doivent s'assurer que les collaborateurs soient formés aux cyber-risques. Une erreur humaine, un simple clic sur un lien malveillant, peut coûter très cher", a-t-il averti. Pour Benjamin Leroux, sensibiliser les employés et instaurer des règles de base est un premier pas indispensable pour éviter les conséquences désastreuses d'une attaque.
Les DAF au coeur de la stratégie de cybersécurité
Le message de Benjamin Leroux aux DAF est sans équivoque : "La cybersécurité doit être intégrée dans votre stratégie de gestion des risques. Ce n'est pas seulement l'affaire des équipes IT, c'est un enjeu global qui concerne toute l'entreprise". Les DAF, par leur maîtrise des flux financiers et des arbitrages budgétaires, ont un rôle clé à jouer dans cette nouvelle ère de gestion des risques.
En conclusion, il appelle les DAF à adopter une approche proactive et à ne pas sous-estimer les cyber-risques. "Le pire serait de rester passif face à cette menace. La cybersécurité est un investissement pour la pérennité de l'entreprise", a-t-il conclu.
Voir aussi : le replay des Journées DAF : Cybersécurité : établir une cartographie des risques et vous prémunir du risque croissant des cyberattaques