Cyberattaque : un sujet que les Daf doivent prendre à bras le corps

Daf, êtes-vous prêts à contrer la menace cybercriminelle ? C'est à cette question que s'est intéressée le baromètre "Fraude et Cybercriminalité" mené par Euler Hermes et la DFCG. Réalisé pour la quatrième année consécutive, 300 témoignages d'entreprise ont été recueillis (dont 63% de Daf et 78% de membres de la direction financière) entre février et mars 2018.

Profil du fraudeur type

Premier enseignement de cette étude : les usurpations d'identité sont les fraudes les plus répandues. En effet, 54% des entreprises ont subi des fraudes au faux fournisseur, 42% au faux président, 35% au faux client et 42% ont fait face à d'autres usurpations d'identité (faux banquier, avocat ou encore commissaire aux comptes). La cybercriminalité pure et dure (ransomware ou attaques des comptes bancaires de l'entreprise ou de ses données) a concerné 50% des entreprises. La fraude interne a, quant à elle, touché 12% des entreprises interrogées.

Autre constante des cyberfraudeurs : 30% des entreprises ont constaté une recrudescence des attaques les week-ends, jours fériés et durant les vacances. Les cybercriminels interviennent lorsque l'entreprise est plus vulnérable car en effectif réduit ou ayant adopté une nouvelle organisation. "Il faut également faire attention aux périodes d'intégration suite à une croissance externe ou aux migrations du système d'information", avertit Sébastien Hager, expert fraude chez Euler Hermes France.

Les cybercriminels se professionnalisent

Surtout, les cybercriminels atteignent de plus en plus leurs objectifs. En effet, l'étude rapporte qu'en 2018 une entreprise sur trois n'a pas réussi à déjouer l'attaque dont elle était victime, contre une sur cinq l'année dernière. Alors que le nombre d'entreprises visées par les fraudeurs est quasi équivalent (sept entreprises sur dix en 2018 contre quatre sur cinq l'année dernière).

"Les fraudeurs se professionnalisent, remarque Sébastien Hager. Ils passent par exemple beaucoup de temps à gagner la confiance d'une personne au sein de l'entreprise visée afin qu'elle croit qu'elle fait partie des équipes du fournisseur ou du client".

Par ailleurs, ils n'hésitent pas à répéter leurs attaques jusqu'à ce que celle-ci atteigne son but : une entreprise sur cinq a fait face à plus de cinq tentatives de fraude et 10% en ont même subi plus de dix.

Des dispositifs de prévention insuffisants

Face à ces attaques, les entreprises ont mis en place différentes actions. 90% ont misé sur la sensibilisation des salariés. C'est d'ailleurs grâce à des réactions humaines adéquates que 50% des fraudes ont été déjouées. "Le bon sens est essentiel pour lutter contre les fraudeurs. Pour bien sensibiliser ses salariés, il ne faut pas hésiter à leur montrer des exemples d'e-mails frauduleux ou encore à leur envoyer de faux e-mails frauduleux pour voir leur réaction", conseille Bruno de Laigue, président de la DFCG.

Par ailleurs, 80% des entreprises ont renforcé leurs procédures de contrôle interne et 44% ont réalisé un audit de leur système d'information. Ce dernier chiffre augmentera certainement avec la mise en place du RGPD. Enfin, une entreprise sur cinq est assurée contre le risque fraude ou souhaite le faire.

Par contre, seules 20% des entreprises souhaitent mettre en place une cartographie des risques. Idem pour les tests d'intrusion. "Cela est vraiment insuffisant car seule la cartographie permet de savoir d'où peuvent venir les risques. Les tests d'intrusion permettent d'estimer la porosité du SI, du temps que l'attaquant peut rester et ce qu'il peut faire", indique Sébastien Hager. Une décision souvent liée au budget que les entreprises souhaitent consacrer à la lutte contre la cybercriminalité.

Le Daf au coeur de la gestion des risques

Aux Daf, donc, de s'emparer du sujet : la direction financière est en effet au coeur de la lutte contre la fraude. Selon l'étude Euler Hermes/DFCG, le Top 3 des directions pilotant le cyber-risque est la direction financière (48%), la direction informatique (19%) et la direction générale (13%).

Il faut dire que le risque d'une cyberattaque est principalement financier : 85% des entreprises interrogées le citent. "Elles craignent un impact important sur leur trésorerie qui remettrait en cause la pérennité de leur activité", précise Sébastien Hager. Les autres risques cités sont les données (45%), l'interruption d'activité (30%) et la réputation (29%).

Pour Bruno de Laigue, les Daf doivent s'emparer du RGPD pour mieux se préparer aux risques cyber : "C'est une bonne porte d'entrée pour analyser son SI et ses procédures internes mais aussi de trouver des moyens de réagir en cas d'attaque", pense-t-il.