DAF et cybersécurité : les principales menaces et comment les éviter

Les cyberattaques représentent un risque financier majeur pour la plupart des entreprises. Les directeurs financiers ont donc un rôle important à jouer dans la cybersécurité. Ils travaillent en étroite collaboration avec les directeurs de la sécurité de l'information (CISO) pour hiérarchiser les menaces potentielles en fonction de leur risque financier, maintenir les défenses en conséquence et, en fin de compte, aider à atténuer ces risques.

Pourquoi les DAF doivent-ils se préoccuper de la cybersécurité ?

Les cyberattaques peuvent engendrer différentes formes de coûts aux entreprises. Dans l'ensemble, le coût moyen d'une violation de données pour les entreprises du monde entier était de 4,45 millions de dollars en 2023, selon une étude d'IBM et du Ponemon Institute. Près de 95 % des attaques ont des motivations financières, et non pour des raisons politiques, sociales ou personnelles, selon le rapport d'enquête Verizon sur les violations de données de 2023.

Les données confidentielles, telles que les numéros de carte de crédit des clients et les mots de passe réseau des collaborateurs, sont des cibles privilégiées. Il en va de même pour les vols de fonds, dérobés par de fausses factures de fournisseurs, des escroqueries à la paie et des attaques par rançongiciel. Près de la moitié des cadres supérieurs pensent que les attaques contre la comptabilité et la finance vont s'aggraver, selon une étude réalisée en 2023 par Deloitte Center for Controllership. Ensuite, il y a le coût financier des dommages à la réputation causés par une violation de la sécurité.

Les nouvelles règles de la Securities and Exchange Commission des États-Unis se trouve également au cœur de l'attention des DAF. La SEC a adopté des règles exigeant des entreprises publiques qu'elles fournissent aux investisseurs des informations « pertinentes » sur les incidents de cybersécurité, ainsi que des mises à jour périodiques de leurs programmes de cybersécurité. En outre, en vertu de ces règles, la SEC doit être informée dans les quatre jours si une entreprise détermine qu'un incident de cybersécurité est « substantiel », autrement dit qu'un des investisseurs pourrait considérer comme important.

Une autre législation importante est le Federal Information Security Management Act (FISMA), qui oblige les agences fédérales des États-Unis à élaborer, documenter et mettre en œuvre des mesures de sécurité à l'échelle de l'agence. Le respect de cette loi relève principalement de la responsabilité du RSSI, mais les DAF doivent aussi y prêter attention.

Points clés à retenir

• En tant qu'experts en gestion des risques, les DAF doivent collaborer avec les RSSI pour hiérarchiser les cybermenaces et les défenses en fonction des risques financiers de l'entreprise.
• Pour évaluer les risques cyber, les DAF doivent acquérir une solide connaissance des techniques de cyberattaque ainsi que des stratégies et technologies utilisées pour les combattre.
• De plus en plus, les DAF contribuent aux plans de cybersécurité, approuvent les budgets de sécurité et surveillent l'efficacité des préparatifs de sécurité.

Ce qu'il faut savoir sur la cybersécurité en tant que DAF

Les DAF ne sont pas des experts en cybersécurité, mais des experts en gestion des risques. De ce fait, ils représentent tout naturellement des alliés pour le RSSI, qui est responsable de la protection des systèmes et des données de l'entreprise. Les DAF doivent être consultés sur les plans de cybersécurité, pour qu'ils reflètent le risque financier global de l'entreprise. Protègent-ils suffisamment les systèmes qui traitent et stockent les données les plus sensibles et les plus précieuses de l'entreprise ? Aident-ils tous les collaborateurs à repérer les e-mails malveillants, les appels frauduleux et les autres escroqueries ? En tant que principal responsable de la gestion des risques, le DAF doit être convaincu que le niveau de risques cyber de son entreprise est acceptable.

Les DAF ont également des obligations de reporting réglementaire qui incluent la cybersécurité. Ils sont étroitement impliqués dans le respect des règles établies par la Securities and Exchange Commission des États-Unis, le règlement général de l'Union européenne sur la protection des données et le California Consumer Privacy Act, entre autres. Les DAF collaborent avec des conseillers généraux, des auditeurs internes, des RSSI et d'autres experts pour assurer la conformité. Ils sont confrontés à des questions du conseil d'administration sur la divulgation de tout cyberincident, ainsi que sur la divulgation annuelle de la gestion, de la stratégie et de la gouvernance du risque cyber.

Pour assurer la conformité, les DAF doivent trouver le juste milieu entre un certain nombre de facteurs clés. Par exemple, la SEC exige la divulgation de tout « incident substantiel » aux yeux des investisseurs. Bien sûr, les DAF utilisent des mesures financières pour décider ce qui est important et par conséquent ce qu'il faut divulguer, mais ils devraient également prendre en compte des facteurs plus qualitatifs tels que l'impact sur la réputation d'une attaque de petite envergure sur les informations des clients.

Les cinq principaux risques de cybersécurité pour les DAF

Avec la dématérialisation du monde des affaires, les « vecteurs de menace » à la disposition des cyberattaquants se multiplient à mesure que les entreprises déploient des applications plus rapidement et pour un nombre toujours plus grand d'utilisateurs. Les entreprises intègrent également de plus en plus d'applications avec des systèmes de fournisseurs, de partenaires et d'autres tiers.

Quels que soient les environnements qu'ils ciblent, les attaquants utilisent des méthodes toujours plus inventives pour contourner les mécanismes de cyberdéfense. Les DAF n'ont pas besoin de saisir toutes les nuances techniques, mais ils doivent comprendre les techniques les plus efficaces des attaquants. De nombreuses attaques sont des variantes des cinq types de base suivants.

Le rôle du DAF dans la cybersécurité

Au-delà de la collaboration avec les RSSI pour hiérarchiser les risques cyber, les DAF les aident de plus en plus à établir un plan de sécurité, à élaborer un budget de sécurité et à surveiller les performances et les préparatifs en matière de sécurité.

Comprendre les risques liés à la cybersécurité

Pour comprendre les risques liés à la cybersécurité, les DAF les classent en fonction des risques financiers. Cela signifie, par exemple, travailler avec les RSSI pour s'assurer que les applications clés, qui gèrent les données sensibles et les paiements, sont correctement défendues. Les différents rôles requièrent-ils différents niveaux d'autorisation pour accéder aux données et effectuer des transactions ? Qu'est-ce que l'on appelle le principal du moindre privilège ? Par exemple, un responsable de la supply chain peut avoir besoin d'une autorisation pour entrer dans un système d'achat et effectuer ou approuver des transactions. Un spécialiste de la comptabilité n'a peut-être pas besoin d'une autorisation pour travailler dans ce système, mais d'une autorisation pour accéder aux systèmes comptables et financiers et y exercer ses activités. De même, seuls les collaborateurs autorisés doivent pouvoir paramétrer les paiements des fournisseurs.

Les applications hautement prioritaires relèvent de la comptabilité et de la finance (comptes clients et fournisseurs), des opérations de supply chain (achats) et des RH (paie). Dans certains secteurs, tels que les services financiers et les soins de santé, la protection des applications qui gèrent les données des clients ou des patients s'avère particulièrement importante.

« Il n'y a pas de solution miracle en matière de cybersécurité », explique Aman Desouza, Directeur principal des produits chez Oracle, qui dirigeait auparavant les stratégies de gouvernance, de risque et de conformité de la multinationale Broadridge Financial Solutions. « Certaines applications sont beaucoup plus importantes que d'autres. Les RSSI devraient travailler avec les DAF, et parfois d'autres dirigeants, pour hiérarchiser les risques de l'entreprise et protéger les joyaux de la couronne. Parfois, le DAF doit être prêt à remettre en question le raisonnement du RSSI. »

Lors de l'évaluation de l'impact potentiel des attaques, les DAF ne doivent pas se contenter d'évaluer les dommages financiers immédiats. Ils doivent également tenir compte des effets durables sur la productivité, la réputation de la marque, les relations avec les clients et la conformité juridique.

Développer un plan de cybersécurité

Bien que la structure des entreprises varie, la planification de la cybersécurité est un effort interfonctionnel qui relève généralement principalement du RSSI. Toutefois, comme les cyberattaques présentent de graves risques pour les résultats, les RSSI doivent consulter les DAF lors de l'élaboration des plans. Avec les nouvelles règles de la SEC, les DAF des entreprises cotées en bourse aux États-Unis doivent également inclure certaines informations sur la gestion des risques, la stratégie et la gouvernance en matière de cybersécurité dans leurs rapports annuels. Ils doivent donc travailler en étroite collaboration avec les RSSI à ce sujet.

Tous les plans devraient inclure une évaluation des risques cyber. Les DAF évaluent les risques cyber en fonction de la valeur de diverses données, ainsi que des coûts juridiques et de réputation potentiels des incidents de sécurité. Les DAF prennent également en compte les risques liés à l'externalisation du stockage de données sensibles, en particulier les implications pour la couverture d'assurance de cybersécurité, et les risques de non-respect des règles notamment de la SEC.

Un autre aspect crucial de la planification : une évaluation des outils et des processus de sécurité actuels. Les RSSI évaluent les outils en fonction de leurs capacités techniques. Les DAF veulent que les outils et les processus associés puissent défendre des actifs de grande valeur, en particulier les applications de finance et de paiement. Grâce à l'analyse coûts-avantages, les DAF peuvent également évaluer les investissements dans les technologies de sécurité, une perspective qui aide les RSSI lorsqu'il est temps de présenter le budget de sécurité aux dirigeants et aux conseils d'administration.

Un bon plan est flexible pour permettre aux entreprises de s'adapter aux risques émergents tels que les deepfakes réalisés grâce à l'IA, qui peuvent présenter des usurpations d'identité ultraréalistes des dirigeants. Lors d'une attaque avec une vidéo deepfake au cours d'une conférence téléphonique, les pirates ont réussi à convaincre un membre de l'équipe finance d'envoyer 25,6 millions de dollars sur leurs comptes bancaires, a rapporté CNN. Un plan flexible laisse également de la place aux nouveaux outils de sécurité, dont certains utilisent, c'est vrai, l'IA générative pour repérer les anomalies du réseau et les activités malveillantes plus rapidement.

Établir un budget pour la cybersécurité

Comme pour le plan de cybersécurité, le RSSI prend l'initiative de proposer un budget de cybersécurité. Dans la plupart des entreprises, les DAF consultent les processus, examinent le budget, posent des questions et formulent des recommandations. Lors de l'examen des dépenses de sécurité, les DAF examinent les investissements dans les personnes disposant d'une expertise spécialisée, les technologies de détection et de lutte contre les attaques et les outils de surveillance de la conformité aux risques cyber et à la sécurité.

Dans le cycle budgétaire 2022-2023, les budgets alloués à la cybersécurité ont augmenté modestement, selon une étude réalisée en 2023 par le cabinet de conseil en sécurité IANS Research. Par exemple, les entreprises technologiques n'ont augmenté en moyenne que de 5 % leurs budgets pour la sécurité, contre une augmentation de plus de 30 % entre 2021 et 2022. Par rapport à d'autres secteurs, cependant, les entreprises technologiques allouent les budgets pour la sécurité les plus importants en proportion des dépenses informatiques totales (19,4 %). En revanche, le secteur de la vente au détail alloue en moyenne 7,2 % de son budget informatique à la sécurité.

Lorsque les fonds sont limités, les DAF posent des questions difficiles. Le budget proposé correspond-il aux objectifs de l'entreprise ? Est-ce qu'il finance correctement les efforts pour défendre l'entreprise et réduire les risques ?

Affecter des ressources à la cybersécurité

Une fois que le budget alloué à la cybersécurité est défini, les RSSI déterminent s'il est plus judicieux de l'utiliser pour des ressources là où elles sont le plus nécessaires pour réduire les risques, d'embaucher des professionnels qualifiés, d'étendre les programmes de formation à la sécurité des salariés, d'acquérir de nouveaux logiciels de sécurité ou de migrer l'entreprise vers un modèle cloud plus sécurisé. Encore une fois, les DAF jouent un rôle consultatif, en veillant à ce que les allocations reflètent les priorités en matière de risque financier. Par exemple, en allouant des fonds pour les outils d'authentification multifacteur, l'entreprise réduira-t-elle le risque d'intrusion et protégera-t-elle mieux ses données que si elle dépensait une somme similaire pour les collaborateurs ou les améliorations de processus ?

Surveiller les performances de cybersécurité

Le plan de cybersécurité inclut des mesures de surveillance des performances, pour déterminer si les niveaux de risque actuels sont acceptables ou non. Le RSSI examine des mesures telles que le temps moyen nécessaire pour détecter les attaques et y répondre. Le DAF se concentre davantage sur la préparation à la sécurité que sur les performances de la technologie et des processus. « La plupart du temps, les DAF veulent des éléments tangibles qui prouvent la maturité des programmes de sécurité », explique M. Desouza. « Ils recherchent des indicateurs tels que des outils de surveillance automatisés ou des formations de sensibilisation à la sécurité qui apprennent aux collaborateurs à repérer les attaques par BEC et hameçonnage. Pour le DAF, la préparation prime. »

Le coût d'ignorer la cybersécurité

Lorsque les entreprises ignorent (ou ne prêtent pas assez d'attention à) la cybersécurité, le prix peut être élevé, entraînant une perte de données, de fonds et/ou de propriété intellectuelle. Les coûts peuvent également inclure une baisse de la confiance des clients, des commandes annulées, la baisse du cours des actions, des articles négatifs dans la presse et des condamnations. Selon Dark Reading, une faille de sécurité largement médiatisée en 2017 a fait chuter le cours de l'action d'une entreprise de 31 % en une semaine et qu'il a fallu deux ans avant qu'elle ne se rétablisse complètement. Cependant, les baisses immédiates du cours des actions ne sont que la partie émergée de l'iceberg.

Les dommages causés par la cybercriminalité mondiale devraient atteindre 10,5 billions de dollars d'ici 2025, d'après une étude menée en 2022 par Cybersecurity Ventures. Le fournisseur de sécurité Deep Instinct a rapporté que 75 % des professionnels de la sécurité ont été témoins d'une augmentation des attaques entre 2022 et 2023.

En vertu des nouvelles règles de la SEC en matière de divulgation relatives aux cyberincidents, les entreprises doivent « publier annuellement des informations sur la gestion, la stratégie et la gouvernance des risques de cybersécurité », fait observer Erik Gerding, Directeur de la division du financement des entreprises de la SEC, dans une déclaration. Cela s'ajoute à la nécessité de communiquer sur tout incident substantiel de cybersécurité. Compte tenu de ces exigences, les DAF des entreprises cotées en bourses doivent être sûrs de comprendre la stratégie et les pratiques de cybersécurité en cours. Ils doivent avoir les connaissances et les relations nécessaires pour reconnaître rapidement les incidents de cybersécurité pertinents et évaluer l'ampleur de ces attaques. Les DAF qui négligent ces exigences exposent leurs entreprises à des sanctions réglementaires.

Étouffez dans l'œuf les risques de cybersécurité avec Oracle

La suite Oracle Fusion Cloud Enterprise Resource Planning (ERP), avec notamment ses applications financières, d'achats et de gestion de projet, a été conçue dès le départ pour être sécurisée. Les contrôles d'accès centralisés peuvent simplifier l'autorisation réseau et, associés aux fonctionnalités de sécurité offertes dans le cadre d'Oracle Cloud ERP, peuvent aider les entreprises à gérer leurs obligations en matière de conformité et de réglementation.

Oracle Risk Management and Compliance, qui fait partie de la suite Oracle Cloud ERP, est une solution de sécurité et d'audit qui inclut des outils d'IA permettant de contrôler l'accès aux données financières de la suite, de détecter les transactions suspectes et de fournir aux entreprises des informations précieuses pour les aider à se conformer aux réglementations de sécurité.

FAQ sur la cybersécurité des DAF

Quel est le rôle du DAF en matière de cybersécurité ?
En tant que responsable de la gestion des risques pour l'entreprise, le DAF s'assure que ses efforts de cybersécurité reflètent les stratégies de gestion des risques financiers. Le DAF aide le RSSI à comprendre les priorités en matière de risque dans l'ensemble de l'entreprise et à créer des plans et des budgets de sécurité adaptés.

Quelles certifications de cybersécurité un DAF doit-il avoir ?
L'une des certifications que les DAF devraient envisager est le Maximizing Digital Operational Excellence Certificate, proposé par l'American Institute of Certified Public Accountants et le Chartered Institute of Management Accountants. Il prouve que les responsables financiers sont à jour sur les méthodes pour renforcer la gouvernance financière, la sécurité et le contrôle.

Quelles sont les principales responsabilités en matière de cybersécurité qu'un DAF doit assumer ?
En plus de s'assurer que la cybersécurité s'aligne sur les risques financiers, les DAF doivent aider les RSSI à affiner les plans et les budgets de sécurité, ainsi qu'à prioriser la protection des applications qui gèrent les données et les paiements critiques. Le DAF des entreprises cotées en bourse peut également avoir des exigences réglementaires en matière de divulgation, selon la localisation de son entreprise.