Le Daf, chef d'orchestre de la cybersécurité

C'est un fléau. 76 % des ETI ont subi au moins un cyber-incident en 2017. Ce résultat, d'après une étude Bessé et PwC sur la cybercriminalité dans les ETI, montre qu'il est aujourd'hui difficile d'ignorer la cybermalveillance. D'autant plus que la cybercriminalité est de plus en plus organisée.

Lionel Mourer, associé fondateur d'Atexio, cabinet de conseil et d'audit spécialisé dans la protection et le renforcement du système d'information, parle d'une véritable mafia professionnelle. "Les cybercriminels vont casser électroniquement le coffre-fort de banques, voler des données pour les revendre et attaquer spécifiquement des personnes qui ont la capacité d'effectuer des paiements", décrit-il.

C'est le cas des fameuses fraudes au président mais aussi des fraudes aux faux fournisseurs : le criminel, après avoir récupéré des données via des e-mails ou en s'étant introduit dans les machines, se fait passer pour un fournisseur dont les coordonnées bancaires ont changé. "Les fraudes sont de plus en plus élaborées, remarque Nicolas Vieillard, membre du conseil d'administration du Clusif (Club de la Sécurité de l'Information Français). Les ­cybercriminels contactent des fournisseurs au nom d'un groupe pour connaître les échéances de leur facture pour ensuite envoyer leurs fausses factures un ou deux jours avant l'échéance." Ils sont même capables de détourner des lignes téléphoniques pour confirmer par téléphone que telle ou telle opération est légitime.

Dans la lutte contre cette cybercriminalité, le Daf a assurément un rôle à jouer. Tout d'abord parce que certaines attaques le concernent directement (arnaque au président, faux RIB de fournisseurs, etc.). "Le Daf est aussi très souvent responsable du pilotage de la lutte contre la fraude, remarque Sébastien Hager, expert fraude chez Euler Hermes France. Il a donc un regard opérationnel mais également stratégique sur le sujet." Selon le Baromètre 2018 " Fraude et Cybercriminalité " réalisé par la DFCG et Euler Hermès, la direction financière pilote le cyber-risque dans 48 % des entreprises. "La fraude concerne des détournements, et génère de fait un impact financier", avance comme explication Sébastien Hager. Par ailleurs, le risque d'une cyberattaque est principalement financier : il est cité par 85 % des personnes interrogées dans le cadre du Baromètre Euler Hermes/DFCG.

Engager les investissements nécessaires

Le Daf, en étant à la tête de la direction financière mais aussi et surtout de par son rôle de business partner, de chef d'orchestre de l'entreprise, doit réussir à emmener son entreprise sur le terrain de la cybersécurité. Toute l'entreprise. Pour aider à sensibiliser les collaborateurs au cyber-risque, le groupement d'intérêt public ACYMA (Actions contre la cybermalveillance) propose un kit de communication "L'objectif est de former les collaborateurs au phishing afin qu'ils n'ouvrent pas de pièces jointes inconnues et ne cliquent pas sur n'importe quels liens", indique Jérôme Notin, directeur général d'ACYMA. Un premier pas vers la cybersécurité que de nombreuses entreprises ont déjà emprunté : le Baromètre DFCG/Euler Hermès rapporte que 90 % des personnes interrogées disent avoir instauré la sensibilisation des salariés.

Les entreprises ne sont en revanche que 20 % à avoir mis en place une cartographie des risques et seulement 20 % également à réaliser des tests d'intrusion, toujours selon la même étude. Bien souvent, c'est une problématique de coût qui est avancée : réaliser de telles actions demande de faire appel à un cabinet extérieur. Pourtant, le risque d'une attaque ne vaut-il pas que l'on se protège efficacement ?

En effet, comme le souligne Lionel Mourer (Atexio), "il ne faut pas hésiter à engager les dépenses nécessaires. Les entreprises ont tendance à reculer devant les investissements parce que leur système d'information tourne". Si bien qu'elles hésitent à investir quelques centaines de milliers d'euros sans se soucier des millions d'euros qu'une cyberattaque pourrait leur faire perdre. Gérôme Billois, associé du cabinet Wavestone en cybersécurité et confiance numérique, conseille de déterminer un budget dédié à la cybersécurité. "Nous recommandons usuellement de prévoir 5 à 10 % du budget de la DSI", précise-t-il. Il pense également qu'il est nécessaire de dédier des collaborateurs à la cybersécurité, de l'ordre d'un ETP pour 500 collaborateurs. "Cette fonction peut être externalisée", note-t-il. Le Daf doit donc se poser la question de cet investissement qui semble de plus en plus nécessaire.

L'évaluation du risque financier

Autre sujet dont doit s'emparer le Daf : l'évaluation du risque financier. L'étude Bessé/PwC rapporte que les dirigeants estiment de possibles impacts au niveau opérationnel et un risque d'atteinte à leur image mais aucun n'est en mesure de présenter un diagnostic précis de ses conséquences financières. Ce qui explique, peut-être, pourquoi peu d'investissements sont consacrés à la cybersécurité. Il est donc nécessaire de se pencher sur le sujet !

Pour réaliser une bonne évaluation du risque financier, encore faut-il connaître sa vulnérabilité. Lionel Mourer (Atexio) enjoint les entreprises à identifier l'ensemble des informations critiques, celles qui pourraient permettre des détournements de fonds. "RIB, noms des décideurs, fichiers de signatures, etc., énumère-t-il. Il s'agit de savoir où se trouvent ces informations, comment elles sont stockées, qui y a accès, etc. Il y a encore énormément de structures qui n'ont pas fait ce travail."

Cette évaluation des informations critiques et la façon dont elles sont sécurisées doivent également impliquer les prestataires. Lionel Mourer conseille de se pencher sérieusement sur les clauses des contrats afin de savoir où se trouvent les données, comment elles sont protégées, ce qui se passe en cas de vol, etc. "Des clauses du contrat doivent détailler le traitement de la sécurité mais aussi prévoir un audit du prestataire sur demande du client", insiste-t-il. Des notions de contract management dont le Daf doit se soucier.

Revoir ses process

Une fois les informations critiques identifiées, il s'agit de retravailler ses process : qui a le droit de réaliser des paiements, qui a accès aux informations critiques, etc. Sébastien Hager (Euler Hermès) invite à penser différemment l'organisation du travail, en ayant en tête les risques de fraude. "Par exemple, il ne faut plus traiter les paiements exceptionnels dans l'urgence mais se laisser 48 heures pour les sécuriser", conseille-t-il. Nicolas Vieillard (Clusif) délivre de nombreux conseils qui semblent guidés par le bon sens mais que peu d'entreprises suivent : ne pas donner les droits administrateurs à tout le monde, n'autoriser ses employés à se rendre que sur certains sites internet en réalisant un filtrage, ne pas enregistrer les mots de passe dans les navigateurs ni sur un fichier nommé password.txt, etc. "Ce sont des conseils simples et qui ne coûtent rien à mettre en oeuvre", résume-t-il.

Les systèmes de sauvegarde, également, doivent être repensés. "Jusqu'à présent, ils étaient conçus pour répondre au risque incendie. Aujourd'hui, il faut faire en sorte que le virus ne remonte pas jusqu'au système de sauvegarde", indique Sébastien Hager. Par ailleurs, ces sauvegardes doivent être en capacité de relancer l'activité. Il s'agit donc de les tester. Il ne s'agit en effet pas de se retrouver, suite à une attaque informatique, avec une sauvegarde inexploitable. Sébastien Hager enjoint d'ailleurs à préparer la gestion d'une crise liée à une cyberattaque. Il s'étonne que le Baromètre DFCG/Euler Hermès révèle qu'une entreprise sur deux n'a pas de plan de crise. "Il faut absolument savoir que faire si une fraude est découverte : qui joindre au sein de l'entreprise, de la banque, par exemple. Il faut également avoir retravaillé sur le plan de reprise d'activité", souligne-t-il.

Lionel Mourer (Atexio) invite à aller plus loin que ces simples recommandations et à suivre les exigences de la norme ISO 27001 relative au management de la sécurité de l'information.

"Il ne s'agit pas forcément d'aller chercher la certification mais de consulter les exigences spécifiées afin de s'améliorer", propose-t-il. Gérôme Billois (Wavestone) recommande d'étudier les 14 règles éditées par l'ANSSI (Agence nationale de sécurité des systèmes d'information).

Le Daf peut également réfléchir à assurer son entreprise contre ce risque de fraude. "Une assurance couvre les conséquences liées à la fraude comme le détournement de fonds ou de marchandises et permet également d'engager une discussion sur le sujet avec un tiers", précise Sébastien Hager. Un premier pas qui peut être salutaire pour certaines entreprises qui ne savent pas par quel bout commencer.