Cybersécurité : des daf trop peu compétents ?

Le niveau de compétence des directions financières en matière de cybersécurité ? Nicolas Chaine n'y va pas par quatre chemins. Pour l'expert chargé des sujets de cybersécurité au sein du cabinet de conseil en stratégie, transformation et innovation Julhiet Sterwen, « la daf fait partie des directions les plus sinistrées du point de vue de la cybersécurité ». Constat similaire, avec plus de formes, dressé par Emmanuel Millard, président honoraire de la DFCG, l'association des directeurs financiers et des contrôleurs de gestion : « Progressivement, la situation s'améliore, mais d'une manière générale, le niveau de compétence des directeurs financiers n'est globalement pas très élevé. » Pourtant, le risque cyber et son impact, tant financier que réputationnel, ne sont plus à démontrer.

Bien maîtriser les enjeux

Des risques financiers auxquels sont évidemment sensibles les directeurs financiers, mais sur lesquels ils peuvent - et doivent - mettre leur grain de sel en ne laissant pas cette question entre les seules mains de leur direction des systèmes d'information (DSI) ou du responsable de la sécurité des systèmes d'information (RSSI), comme c'est encore trop souvent le cas. Ou pire, en ne s'intéressant au sujet qu'une fois la cyberattaque subie.

« Il n'est pas souhaitable que la responsabilité de la cybersécurité soit exclusivement confiée aux DSI ou RSSI. Les directions financières ne sont pas encore suffisamment associées ou sensibilisées à la cybersécurité, alors qu'il s'agit d'un risque auquel elles peuvent être directement confrontées dans le cadre de leurs activités. Par ailleurs, elles ne sont pas toujours assez "armées" pour y faire face. En tant qu'acteur central de la performance de l'entreprise et compte tenu de sa fonction régalienne, la direction financière pourrait se positionner naturellement aux côtés de la DSI, en coordination des risques de cybersécurité et cyberfraude », souligne Christian Laveau, président du groupe d'échanges Transformation digitale de la DFCG et coordinateur du cahier technique « Le Directeur financier face à la cyberfraude : identifier, prévenir et réagir » publié en 2021.

Comme tous les « patrons » métiers, les directeurs financiers doivent évidemment prendre leur part de responsabilité dans la sécurisation de leurs process, de leur contrôle interne, de leurs outils métiers et sensibiliser leurs propres équipes. Mais leur rôle va également bien au-delà. « Les investissements en matière de cybersécurité ne peuvent pas être de la seule responsabilité de la DSI, en lien uniquement avec la direction générale. Les budgets doivent être challengés par les directeurs financiers, de la même manière que tous les autres budgets », enjoint Nicolas Chaine pour Julhiet Sterwen. Son confrère, Ostian de Haut de Sigy, senior manager pour le même cabinet, poursuit : « Il faut qu'ils en comprennent les enjeux afin de réaliser les bons arbitrages. Il ne s'agit pas de faire le job de la DSI, en comprenant comment fonctionne un pare-feu ou tel outil technique, mais de comprendre pourquoi c'est important et quelles sont les différentes alternatives, en matière d'assurances par exemple. »

Cartographie des risques, formations, réseautage et dialogue interne

Face à ce constat, même s'ils n'ont pas de formation IT ou cyber spécifique, les directeurs financiers peuvent s'appuyer sur un certain nombre d'outils. Car si le risque cyber est technique, certes, il peut finalement s'appréhender comme les autres. Et donc, s'envisager et se chiffrer. Christian Laveau préconise ainsi d'établir une cartographie spécifique des risques cyber. « Il est important d'avoir une démarche très structurée et de bien identifier, prioriser, pour mieux les maîtriser, les risques cyber en fonction de leur impact, leur fréquence, leur mode opératoire et la maturité des dispositifs associés de contrôle. »

Pour bien comprendre tous les enjeux de cette problématique cyber et établir une cartographie pertinente des risques (à réactualiser très régulièrement), les directions financières peuvent déjà compter sur leurs services informatiques. « Aujourd'hui, les DSI et les RSSI ont bien compris qu'il fallait vulgariser le sujet de la cybersécurité pour que cette culture se diffuse mieux dans l'entre­prise. Le daf peut donc établir un dialogue constructif avec eux, apprendre et comprendre les enjeux à leur contact », assure Alain Bouillé, président du Cesin, le Club des experts de la sécurité de l'information et du numérique.

Une philosophie que partage Cherifa Hemadou, directrice financière du groupe Virbac, spécialiste de la santé animale : « La daf doit travailler main dans la main avec la DSI. C'est un travail en continu, permanent. Dès qu'une nouvelle typologie de fraude est identifiée, je travaille avec la DSI pour écrire les nouvelles procédures, pour mettre à jour les bonnes pratiques et les diffuser dans toutes nos filiales. » Malgré cette vigilance, Virbac a toutefois été victime, cet été, d'une cyberattaque avec demande de rançon. Mais les détails « ne sont pas communiqués », reconnaît la daf de Virbac, par ailleurs déléguée régionale Côte d'Azur-Monaco de l'AFTE, l'Association française des trésoriers d'entreprise.

Les daf peuvent aussi s'appuyer sur des ressources externes, de plus en plus nombreuses. Il existe aujourd'hui des webinaires, des Moocs, des livres blancs, des revues spécialisées... Les directeurs financiers peuvent ainsi se former par eux-mêmes, à leur rythme, en s'imprégnant des enjeux et des actualités de la thématique. Les formations dispensées par des experts se multiplient également, dispensées par les cabinets spécialisés. Elles ont évidemment un coût financier, mais permettent d'avoir une vision actualisée et ciblée des problématiques. Lynk House, cabinet de management de transition spécialisé dans les métiers de la direction financière, vient ainsi de lancer sa Lynk Academy pour faire monter en compétence ses propres consultants, notamment sur ce sujet cyber, mais aussi les équipes internes de ses clients. « La formation doit aujourd'hui être précise et poussée. D'autant qu'avec l'IA, les attaques seront de plus en plus subtiles et performantes », prévient Yaël Baranes, cofondateur de Lynk House.