"La cybersécurité exige préparation et anticipation" : Didier Gras, RSSI BNP Paribas
Publié par Eloise Cohen le - mis à jour à
Lors de la Journée DAF, qui se tenait le 17 octobre au Trocadero Business Center, Didier Gras, RSSI de BNP Paribas, a souligné l'importance de la préparation face aux cyberattaques croissantes. Pour lui, la cybersécurité doit être pilotée au plus haut niveau de l'entreprise et inclure des plans de crise réguliers pour anticiper les pires scénarios.
Avec une hausse de 38 % des cyberattaques en 2023 selon Check Point Research, la menace est omniprésente et touche tous les secteurs d'activité. Lors des Journées DAF, organisées le 17 octobre au Trocadéro Business Center à Paris, Didier Gras, Responsable de la Sécurité des Systèmes d'Information (RSSI) chez BNP Paribas, a partagé son analyse de la situation et les bonnes pratiques pour que les entreprises - et surtout les DAF - anticipent ces risques.
Une menace systémique
" Les cyberattaques ne sont plus un problème technique, c'est une problématique d'entreprise, et elles doivent être prises en charge au plus haut niveau ", a lancé Didier Gras, en préambule. Il a insisté sur l'importance de l'implication des dirigeants et des comités de direction dans la gestion des risques numériques. La cybersécurité ne peut plus être une question cantonnée au département informatique : elle doit être intégrée à la gouvernance globale de l'entreprise.
Dans le secteur bancaire, des réglementations strictes, telles que la directive européenne NIS2, obligent déjà les grandes institutions à adopter des mesures de protection renforcées. Mais Didier Gras estime que toutes les entreprises, quelle que soit leur taille, doivent suivre cet exemple. " Il ne s'agit plus seulement de réagir à une attaque, mais de l'anticiper. Les entreprises doivent se doter de plans de réaction cyber, et ces plans doivent être testés régulièrement ", a-t-il ajouté.
Préparer l'entreprise au pire
Pour Didier Gras, la clé est dans la préparation. Il recommande aux entreprises de simuler des scénarios d'attaques pour évaluer leur réactivité et leur organisation en cas de crise. " La gestion de crise ne s'improvise pas. S'entraîner, c'est indispensable pour éviter de perdre un temps précieux le jour où l'attaque survient ", a-t-il averti. Selon lui, les entreprises les plus matures organisent au moins une fois par an des exercices de simulation, où tous les acteurs - DAF, équipes SI, et direction générale - sont impliqués.
Ces exercices permettent d'identifier les points faibles dans la chaîne de réaction et de s'assurer que chacun sait qui contacter et quelles actions entreprendre. " Un DAF doit savoir comment garantir la continuité des paiements et la gestion des flux financiers, même si l'entreprise est sous attaque ", a précisé Didier Gras. La continuité des opérations financières est un enjeu majeur en cas d'incident cyber, et les DAF ont un rôle clé à jouer dans ce dispositif.
Les DAF en première ligne
Didier Gras a insisté sur la place des directeurs administratifs et financiers dans cette gestion des risques. Avec les flux financiers comme cibles privilégiées des cybercriminels, ces derniers sont en première ligne pour prévenir les dommages. " Les DAF doivent être des partenaires des équipes SI, mais aussi des stratèges dans l'anticipation des risques ", a-t-il souligné. En pilotant les budgets et en arbitrant les investissements dans la cybersécurité, ils peuvent aider à renforcer les défenses de l'entreprise.
Pour Didier Gras, la cybersécurité n'est plus une option, mais une nécessité absolue. " Aujourd'hui, la question n'est plus de savoir si une attaque surviendra, mais quand. Ceux qui ne se préparent pas risquent de se retrouver complètement démunis ", a-t-il conclu, appelant les entreprises à renforcer leurs capacités de réaction avant qu'il ne soit trop tard.
Voir aussi : le replay des Journées DAF : Cybersécurité : établir une cartographie des risques et vous prémunir du risque croissant des cyberattaques