Cybersécurité: risque majeur pour les directeurs financiers

La cybersécurité est l'un des risques d'affaires les plus critiques. Le directeur financier doit agir sur les piliers de résilience de son entreprise.

Les acteurs malveillants (pirates informatiques et autres) ont des moyens de plus en plus sophistiqués pour atteindre leurs objectifs. Ils se servent des technologies de pointe, incluant l'intelligence artificielle (IA), ce qui les rend encore plus efficaces et dangereux et qui augmente le risque et la fréquence d'attaques des organisations.

Réduire les risques de pertes financières pour les entreprises

La portée de leurs attaques s'étend aux PME et à tous les secteurs, notamment le manufacturier, ainsi qu'aux infrastructures essentielles. Ces pirates profitent de la convergence des réseaux, de l'infonuagique et des applications en modèle SaaS (logiciel hébergé par un fournisseur et généralement accessible par Internet), ce qui multiplie les portes d'entrée possibles, accessibles de n'importe où et en tout temps.

Le directeur financier (CFO) a un rôle primordial à jouer pour protéger son organisation. Il doit comprendre les risques technologiques et, par extension, les risques financiers qui en découlent. Pourtant, selon notre étude L'équipe finance en pleine transformation : défis et compétences de 2030, 39 % des chefs de direction (CEO) jugent que leur directeur financier est peu ou pas du tout outillé devant cette menace. Près de la moitié des directeurs financiers eux-mêmes considèrent la gestion des risques comme une compétence principale à acquérir pour la fonction finance.

Transposer les risques numériques en risques d'affaires

Alors qu'il fallait auparavant environ 180 jours pour qu'une intrusion se concrétise, un incident peut désormais paralyser une organisation en quatre à six heures, affecter sa production, fragiliser ses revenus et éroder durablement la confiance de ses clients et partenaires d'affaires.

Pour les directeurs financiers, il est difficile de qualifier et de quantifier ces risques pour l'organisation, surtout dans le contexte d'une PME, s'ils ne sont pas accompagnés à l'interne par des gens qualifiés. Le risque zéro n'existe pas en cybersécurité, mais les directeurs financiers doivent bien comprendre le niveau de tolérance aux risques de leur organisation.

Agir grâce à des mesures structurantes

Plusieurs mécanismes structurants sont incontournables pour le directeur financier:

• les comités mixtes finance-TI-cybersécurité (de membres internes et externes) permettant une visibilité commune des risques et de la maturité organisationnelle;
• les tableaux de bord orientés sur les risques financiers, quantifiant par exemple l'impact d'un arrêt de production ou d'un cyberincident sur le BAIIDA;
• les politiques de responsabilité partagée : les TI gèrent par exemple l'exécution technique tandis que la finance pilote la gouvernance budgétaire et la prise en charge des risques;
• une formation ciblée pour les directeurs financiers (identifié comme une lacune dans notre sondage).

Renforcer la résilience: une priorité immédiate

Le directeur financier exigera des rapports réguliers de tous les programmes de sécurité mis en place. Il établira un budget basé sur le risque et calculera les impacts financiers de potentiels incidents. Des audits externes réguliers viendront valider la pertinence et l'efficacité des programmes de sécurité prévus.

Pour pallier l'accélération des menaces, plusieurs mesures doivent être mises en place dès maintenant sous la gouverne du directeur financier, couvrant trois piliers.

Les personnes

• Une formation régulière de vos employés doit être prévue pour réduire le risque d'hameçonnage, de fraudes et d'hypertrucages.
• Des équipes multidisciplinaires à l'intérieur de l'organisation doivent modéliser la menace pour mieux prévenir les attaques et mieux y réagir.

Les processus

• Des plans de réponse aux incidents doivent être testés régulièrement, en simulant des attaques, afin de vous assurer que votre capacité de réponse est optimale.
• La cybersécurité doit être partie prenante de la stratégie de tous les projets en transformation numérique pour en saisir en amont les menaces potentielles et les failles possibles.
• Des indicateurs clés de performance doivent être mis en place pour une analyse d'efficacité en continu.

La technologie

• Des outils de détection, basés sur l'IA, servent à repérer rapidement les comportements anormaux afin d'y répondre sans tarder.
• Une surveillance continue 24/7 est essentielle pour détecter et contrer les attaques en temps réel.
• Une protection des courriels et des espaces de travail doit être instaurée.
• Une gestion robuste des accès, incluant l'authentification multifacteur et le contrôle des environnements hybrides ou distants, est également nécessaire.
• Des sauvegardes régulières et testées ainsi qu'un plan de continuité opérationnelle sont nécessaires pour assurer la reprise rapide des activités après un incident.

La cybersécurité n'est donc plus une problématique isolée ou purement technologique : elle est devenue un pilier essentiel de la performance organisationnelle durable.

Pour les directeurs financiers, elle représente une responsabilité stratégique: celle de convertir les risques numériques en décisions financières éclairées, tout en guidant l'organisation vers une posture plus mature, plus résiliente et plus agile.