Directeur financier, ne sous-estimez pas les menaces et risques liés au cyber
Bilans d’entreprise, résultats comptables, données bancaires, fiches de paies, données de vie personnelle, données de santé des salariés... Les directions financières disposent d’énormément de données sensibles et stratégiques, convoitées par les cybers criminels. Éclairage des experts d'ESET : Benoit Grunenwald, expert en cybersécurité chez ESET et Maitre Claire Poirson, avocate associée en Droit des Nouvelles Technologies chez BERSAY.
Les directeurs administratifs et financiers (DAF) accompagnent historiquement la Direction Générale de leur entreprise pour rendre celle-ci plus agile. Leurs responsabilités ne cessent donc d’évoluer. Cette tendance est d’autant plus accélérée par la numérisation des activités de l’entreprise qui a un fort impact sur le secteur financier. En 2022, les DAF sont donc amenés à traiter un volume d’informations colossal et doivent alors se doter de nouvelles qualifications pour exploiter et sécuriser ces données sensibles. Voici donc quelques conseils pour protéger ces données et, plus largement, l’entreprise.
De nombreuses données sensibles transitent par la direction financière
Nombreuses sont les données qui transitent auprès des directions financières. En entreprise, au gré des échanges qu’ils développent avec leur directeur financier, les employés font remonter des données variées. Des bilans financiers jusqu’à la gestion des payes ou des primes de fin d’année, chaque étape génère un fort transit d’informations en ligne, qui sont ensuite stockées numériquement. Ce sont autant de données sensibles dont rêvent les pirates informatiques. Ces étapes ouvrent en grand le champ des possibles, depuis la fraude aux prestations jusqu’à la fraude au président, pouvant mettre en péril la santé financière de l’entreprise et de ses employés.
D’où vient la menace ?
Les menaces peuvent être externes : rançongiciels, défaçages, attaques par déni de services ou fraude. Les attaques par déni de services auprès de sociétés françaises et européennes se sont par exemples multipliées depuis le début de la crise ukrainienne.
Les menaces sont souvent aussi internes. Le vol de données stratégiques pour l’entreprise peut ainsi provenir d’un cadre financier ou marketing peu diligent voire malveillant dans un contexte d’espionnage, concurrentiel ou de concurrence déloyale.
Mais il existe également une autre menace que l’on oublie trop souvent : les sous-traitants qui peuvent parfois être le maillon faible de l’entreprise. En effet, le sous-traitant n’a pas forcément les mêmes process, les mêmes plans de sécurité, les mêmes plans de continuation ou de reprise d’activité que l’entreprise. Et c’est souvent par ce biais que le cyberattaquant va tenter de pénétrer le système.
Se prémunir par les procédures de conformité, la sécurisation contractuelle avec nos prestataires et la sensibilisation de ses salariés
Comment se prémunir de cette menace ? D’abord en agissant sur la sensibilisation des employés.
Mettez en place des réflexes, autour de vous, afin que les directeurs financiers ainsi que les autres employés ne cèdent pas aux premières sollicitations venues. Nous savons en effet que l’hameçonnage fonctionne sur des employés peu sensibilisés. Nous savons également que les cyberattaquants sont de plus en plus rusés, certains allant même jusqu’à user de deepfake vocaux – des outils d’intelligence artificielle usant la technique du clonage vocal – afin de se faire passer au téléphone pour des employés ou des prestataires.
Sachez donc apprécier toute sollicitation, et posez vous les bonnes questions avant d’agir : est-il normal que cette personne me demande d’effectuer telle action en oubliant au passage les procédures en vigueur ? Prenez l’habitude de confirmer un ordre inhabituel en appliquant des mesures convenues à l’avance, connues de vous seuls. Pour faire face aux situations imprévues, entrainez-vous et testez les procédures pour les faire évoluer.
Se prémunir par la technique : l’anticipation et la simulation de cyber attaques
D’autres moyens de se prémunir sont de nature purement technique.
Protégez d’abord votre messagerie, car c’est à cet endroit que vont se déclencher les hameçonnages – d’autant plus que celle-ci est de plus en plus collaborative. Attention notamment aux échanges de mails sensibles entre votre messagerie et celles des autres services de l’organisation : vous n’êtes pas du tout certain que l’ordinateur de ce dernier ne soit pas infecté.
Pensez également à activer des solutions de sécurité lors de vos réunions en visioconférences.
Protégez encore tous les outils qui sont, au sein de votre organisation, connectés et munis de disques durs. Avez-vous pensé à vos imprimantes connectées ? Avez-vous fait attention aux appareils domotiques dans votre bureau ? Dans un cas comme dans l’autre, ces outils sont très utilisés pour faire circuler des informations sensibles.
Réfléchissez également à la mise en place d’une procédure dès lors qu’un nouvel employé intègre votre entreprise. Faut-il placer ces données sur le Cloud ou sur un support déconnecté ? Sur ce point, je conseillerais aux directeurs financiers de réaliser le stockage de leurs données sur des outils « froids », c’est-à-dire non connecté à un réseau ou machine.
Il est également conseillé de procéder en amont à un audit de l’existant. De quel type de données disposez-vous ? Lesquelles traitez-vous ? Quelle est la sensibilité de ces données ? La conformité à la réglementation sur les données personnelles a-t-elle été faite ? Quel engagement de sécurisation des données l’entreprise a-t-elle contracté avec ses sous-traitants et ses salariés ? Une charte IT et une charte télétravail ont-elles été implémentées dans l’entreprise à l’égard des salariés ? Quels sont les systèmes de sécurité qui sont d’ores et déjà en place dans votre entreprise ? Est-ce que vous avez une cellule de sécurité suffisamment performante ? Est-ce que votre direction générale met les moyens financiers suffisants pour assurer un plan de conformité et de résilience cyber ?
A l’issu de cette phase d’audit et une fois que les forces et les faiblesses de l’entreprise sont identifiées, celle-ci peut mettre en place et dérouler son plan de cyber résilience et de cyber continuité, ajuster les contrats avec les tiers et les chartes et formation de sensibilisation vis-à-vis des salariés et ainsi être prêts à gérer une cyber-attaque le moment venu.
Vous l’aurez compris : les données stockées, mais également leur circulation, sont loin d’être anodines. Revisitez l’utilisation de vos outils comme vos pratiques quotidiennes à l’aune des cyber-risques largement présents. Réfléchissez en termes de protection, y-compris avec vos confrères et consœurs : comment protéger au mieux vos employés, votre direction et vos clients ?
Les directeurs financiers ont vu leur rôle évoluer ces dernières années et l’analyse des données financières se doit d’être désormais au cœur de leurs priorités. En plus de limiter les risques d’attaques envers leur entreprise, ce nouveau rôle les place en véritables leviers de croissance pour l’entreprise.
Article initialement publié par Benoit Grunemwald, expert en Cyber sécurité chez ESET France, et Claire Poirson, avocate associée IP-IT Data Protection chez Bersay.