Mark Jackley | Responsable de la stratégie du contenu | 27 mars 2024
Les cyberattaques représentent un risque financier majeur pour la plupart des entreprises. Les directeurs financiers ont donc un rôle important à jouer dans la cybersécurité. Ils travaillent en étroite collaboration avec les directeurs de la sécurité de l'information (CISO) pour hiérarchiser les menaces potentielles en fonction de leur risque financier, maintenir les défenses en conséquence et, en fin de compte, aider à atténuer ces risques.
Les cyberattaques peuvent engendrer différentes formes de coûts aux entreprises. Dans l'ensemble, le coût moyen d'une violation de données pour les entreprises du monde entier était de 4,45 millions de dollars en 2023, selon une étude d'IBM et du Ponemon Institute. Près de 95 % des attaques ont des motivations financières, et non pour des raisons politiques, sociales ou personnelles, selon le rapport d'enquête Verizon sur les violations de données de 2023.
Les données confidentielles, telles que les numéros de carte de crédit des clients et les mots de passe réseau des collaborateurs, sont des cibles privilégiées. Il en va de même pour les vols de fonds, dérobés par de fausses factures de fournisseurs, des escroqueries à la paie et des attaques par rançongiciel. Près de la moitié des cadres supérieurs pensent que les attaques contre la comptabilité et la finance vont s'aggraver, selon une étude réalisée en 2023 par Deloitte Center for Controllership. Ensuite, il y a le coût financier des dommages à la réputation causés par une violation de la sécurité.
Les nouvelles règles de la Securities and Exchange Commission des États-Unis se trouve également au cœur de l'attention des DAF. La SEC a adopté des règles exigeant des entreprises publiques qu'elles fournissent aux investisseurs des informations « pertinentes » sur les incidents de cybersécurité, ainsi que des mises à jour périodiques de leurs programmes de cybersécurité. En outre, en vertu de ces règles, la SEC doit être informée dans les quatre jours si une entreprise détermine qu'un incident de cybersécurité est « substantiel », autrement dit qu'un des investisseurs pourrait considérer comme important.
Une autre législation importante est le Federal Information Security Management Act (FISMA), qui oblige les agences fédérales des États-Unis à élaborer, documenter et mettre en œuvre des mesures de sécurité à l'échelle de l'agence. Le respect de cette loi relève principalement de la responsabilité du RSSI, mais les DAF doivent aussi y prêter attention.
Points clés à retenir
Les DAF ne sont pas des experts en cybersécurité, mais des experts en gestion des risques. De ce fait, ils représentent tout naturellement des alliés pour le RSSI, qui est responsable de la protection des systèmes et des données de l'entreprise. Les DAF doivent être consultés sur les plans de cybersécurité, pour qu'ils reflètent le risque financier global de l'entreprise. Protègent-ils suffisamment les systèmes qui traitent et stockent les données les plus sensibles et les plus précieuses de l'entreprise ? Aident-ils tous les collaborateurs à repérer les e-mails malveillants, les appels frauduleux et les autres escroqueries ? En tant que principal responsable de la gestion des risques, le DAF doit être convaincu que le niveau de risques cyber de son entreprise est acceptable.
Les DAF ont également des obligations de reporting réglementaire qui incluent la cybersécurité. Ils sont étroitement impliqués dans le respect des règles établies par la Securities and Exchange Commission des États-Unis, le règlement général de l'Union européenne sur la protection des données et le California Consumer Privacy Act, entre autres. Les DAF collaborent avec des conseillers généraux, des auditeurs internes, des RSSI et d'autres experts pour assurer la conformité. Ils sont confrontés à des questions du conseil d'administration sur la divulgation de tout cyberincident, ainsi que sur la divulgation annuelle de la gestion, de la stratégie et de la gouvernance du risque cyber.
Pour assurer la conformité, les DAF doivent trouver le juste milieu entre un certain nombre de facteurs clés. Par exemple, la SEC exige la divulgation de tout « incident substantiel » aux yeux des investisseurs. Bien sûr, les DAF utilisent des mesures financières pour décider ce qui est important et par conséquent ce qu'il faut divulguer, mais ils devraient également prendre en compte des facteurs plus qualitatifs tels que l'impact sur la réputation d'une attaque de petite envergure sur les informations des clients.
Avec la dématérialisation du monde des affaires, les « vecteurs de menace » à la disposition des cyberattaquants se multiplient à mesure que les entreprises déploient des applications plus rapidement et pour un nombre toujours plus grand d'utilisateurs. Les entreprises intègrent également de plus en plus d'applications avec des systèmes de fournisseurs, de partenaires et d'autres tiers.
Quels que soient les environnements qu'ils ciblent, les attaquants utilisent des méthodes toujours plus inventives pour contourner les mécanismes de cyberdéfense. Les DAF n'ont pas besoin de saisir toutes les nuances techniques, mais ils doivent comprendre les techniques les plus efficaces des attaquants. De nombreuses attaques sont des variantes des cinq types de base suivants.
La compromission des e-mails professionnels (en anglais, « business email compromise », BEC) est une cyberattaque qui utilise des e-mails pour manipuler les collaborateurs. Par exemple, les pirates tentent de tromper le destinataire pour qu'il leur envoie de l'argent via une demande frauduleuse de virement de fonds ou une fausse facture fournisseur. Ces e-mails malveillants ciblent généralement les équipes comptables et finance, les achats et la paie. La BEC est un type d'attaque par hameçonnage. D'autres formes d'hameçonnage tentent d'amener les destinataires à communiquer leurs mots de passe, à fournir des numéros de carte de crédit ou à cliquer sur des liens malveillants.
Entre 2013 et 2022, les attaques par BEC ont coûté aux entreprises du monde entier 51 milliards de dollars, selon le Federal Bureau of Investigation des États-Unis. Abnormal Security, une entreprise de sécurité des e-mails, rapporte qu'au premier semestre de 2023, les attaques par BEC ont augmenté de 55 % par rapport au premier semestre de 2022.
Comme le terme l'indique, les attaques de la supply chain ciblent un produit qu'une entreprise achète à des fournisseurs, généralement un logiciel. En exploitant une vulnérabilité dans un logiciel, l'attaquant peut obtenir une porte dérobée à plusieurs entreprises qui utilisent le logiciel. L'attaquant a accès à des réseaux privés, y compris sa propriété intellectuelle, ses données client et d'autres actifs d'information. L'exemple le plus tristement célèbre est une attaque de 2020 qui a corrompu un outil de mise en réseau populaire, conduisant à des intrusions dans des agences gouvernementales américaines importantes et de grandes multinationales. Alors que les attaques de la supply chain sont associées à des acteurs financés par des États qui tentent de mener des activités d'espionnage ou de perturber des infrastructures essentielles, des criminels motivés financièrement lancent également ces attaques.
Une base de données publiquement accessible est la base de données d'un site Web ou d'une application publique qui n'est pas protégée par des mesures de sécurité telles que l'exigence d'informations d'identification utilisateur, une configuration sécurisée, des paramètres de sécurité adéquats ou une surveillance dans le déploiement des bases de données, ce qui en fait une proie facile. L'augmentation du travail à distance pendant la pandémie de COVID-19 a contribué à une augmentation des données non sécurisées et des attaques. En 2023, Group IB, une entreprise singapourienne de sécurité, a recensé près de 400 000 bases de données de ce type sur le Web ouvert. Une fois informés du problème, les propriétaires de bases de données ont mis en moyenne 170 jours pour le résoudre, risquant des fuites de données et des attaques de suivi contre les salariés ou les clients, a constaté Group IB. Dans une étude réalisée en 2022 par le fournisseur de sécurité Kroll, 53 % des entreprises ont déclaré que les attaques contre des bases de données exposées avaient entraîné une compromission de leur réseau.
Un initié est un collaborateur, un ancien collaborateur, un sous-traitant, un vendeur ou une autre partie dont l'accès spécial aux systèmes et réseaux d'une entreprise pourrait constituer une menace pour la sécurité. Les initiés se divisent en deux catégories : d'une part, ceux qui agissent intentionnellement pour faire tomber les systèmes d'une entreprise et voler ses données et, de l'autre, ceux qui créent involontairement une faille de sécurité parce qu'ils manquent de formation en sécurité ou simplement ne suivent pas les procédures. Le coût total moyen qu'un incident provenant d'une menace interne est passé de 15,4 millions de dollars en 2022 à 16,2 millions de dollars l'an dernier, selon une étude menée par le fournisseur informatique DTEX Systems et le Ponemon Institute, sur la base d'un échantillon d'entreprises de différents secteurs et de différentes tailles.
Les rançongiciels sont un type de logiciels malveillants utilisé par les attaquants pour chiffrer les données d'une entreprise. Ils sont souvent introduits par des logiciels compromis ou des e-mails frauduleux. Les pirates exigent une rançon pour déchiffrer les données. Lorsque le rançongiciel est activé, les collaborateurs ne peuvent plus accéder aux systèmes clés et aux données, ils sont incapables de travailler et les opérations s'arrêtent jusqu'à ce que l'entreprise paie la rançon demandée et que l'accès soit rétabli. Certaines entreprises décident que le paiement de la rançon est moins coûteux que les temps d'arrêt opérationnels, surtout si leur cyberassurance couvre une partie des pertes. Cependant, il n'y a aucune garantie que les pirates, une fois payés, fourniront une clé de déchiffrement pour libérer les données. En 2023, la rançon moyenne s'élevait à 1,54 million de dollars, selon l'entreprise de sécurité Sophos. En octobre dernier, la Counter Ransomware Initiative, un groupe d'organisations gouvernementales de 50 pays mené par les États-Unis, s'est engagée à ne jamais payer de rançons aux cybercriminels.
Cyberattaques : quelques statistiques clés |
---|
55 % Augmentation des attaques par compromission d'e-mails professionnels de janvier à juin 2023 |
138 milliards de dollars Coût global estimé des attaques de la supply chain en 2023 |
74 % Pourcentage d'entreprises considérées comme modérément à extrêmement vulnérables aux menaces internes en 2023 |
1,54 million de dollars Rançon moyenne payée en 2023 |
Sources : Abnormal Security, Cybersecurity Insiders, Sophos
Au-delà de la collaboration avec les RSSI pour hiérarchiser les risques cyber, les DAF les aident de plus en plus à établir un plan de sécurité, à élaborer un budget de sécurité et à surveiller les performances et les préparatifs en matière de sécurité.
Pour comprendre les risques liés à la cybersécurité, les DAF les classent en fonction des risques financiers. Cela signifie, par exemple, travailler avec les RSSI pour s'assurer que les applications clés, qui gèrent les données sensibles et les paiements, sont correctement défendues. Les différents rôles requièrent-ils différents niveaux d'autorisation pour accéder aux données et effectuer des transactions ? Qu'est-ce que l'on appelle le principal du moindre privilège ? Par exemple, un responsable de la supply chain peut avoir besoin d'une autorisation pour entrer dans un système d'achat et effectuer ou approuver des transactions. Un spécialiste de la comptabilité n'a peut-être pas besoin d'une autorisation pour travailler dans ce système, mais d'une autorisation pour accéder aux systèmes comptables et financiers et y exercer ses activités. De même, seuls les collaborateurs autorisés doivent pouvoir paramétrer les paiements des fournisseurs.
Les applications hautement prioritaires relèvent de la comptabilité et de la finance (comptes clients et fournisseurs), des opérations de supply chain (achats) et des RH (paie). Dans certains secteurs, tels que les services financiers et les soins de santé, la protection des applications qui gèrent les données des clients ou des patients s'avère particulièrement importante.
« Il n'y a pas de solution miracle en matière de cybersécurité », explique Aman Desouza, Directeur principal des produits chez Oracle, qui dirigeait auparavant les stratégies de gouvernance, de risque et de conformité de la multinationale Broadridge Financial Solutions. « Certaines applications sont beaucoup plus importantes que d'autres. Les RSSI devraient travailler avec les DAF, et parfois d'autres dirigeants, pour hiérarchiser les risques de l'entreprise et protéger les joyaux de la couronne. Parfois, le DAF doit être prêt à remettre en question le raisonnement du RSSI. »
Lors de l'évaluation de l'impact potentiel des attaques, les DAF ne doivent pas se contenter d'évaluer les dommages financiers immédiats. Ils doivent également tenir compte des effets durables sur la productivité, la réputation de la marque, les relations avec les clients et la conformité juridique.
Bien que la structure des entreprises varie, la planification de la cybersécurité est un effort interfonctionnel qui relève généralement principalement du RSSI. Toutefois, comme les cyberattaques présentent de graves risques pour les résultats, les RSSI doivent consulter les DAF lors de l'élaboration des plans. Avec les nouvelles règles de la SEC, les DAF des entreprises cotées en bourse aux États-Unis doivent également inclure certaines informations sur la gestion des risques, la stratégie et la gouvernance en matière de cybersécurité dans leurs rapports annuels. Ils doivent donc travailler en étroite collaboration avec les RSSI à ce sujet.
Tous les plans devraient inclure une évaluation des risques cyber. Les DAF évaluent les risques cyber en fonction de la valeur de diverses données, ainsi que des coûts juridiques et de réputation potentiels des incidents de sécurité. Les DAF prennent également en compte les risques liés à l'externalisation du stockage de données sensibles, en particulier les implications pour la couverture d'assurance de cybersécurité, et les risques de non-respect des règles notamment de la SEC.
Un autre aspect crucial de la planification : une évaluation des outils et des processus de sécurité actuels. Les RSSI évaluent les outils en fonction de leurs capacités techniques. Les DAF veulent que les outils et les processus associés puissent défendre des actifs de grande valeur, en particulier les applications de finance et de paiement. Grâce à l'analyse coûts-avantages, les DAF peuvent également évaluer les investissements dans les technologies de sécurité, une perspective qui aide les RSSI lorsqu'il est temps de présenter le budget de sécurité aux dirigeants et aux conseils d'administration.
Un bon plan est flexible pour permettre aux entreprises de s'adapter aux risques émergents tels que les deepfakes réalisés grâce à l'IA, qui peuvent présenter des usurpations d'identité ultraréalistes des dirigeants. Lors d'une attaque avec une vidéo deepfake au cours d'une conférence téléphonique, les pirates ont réussi à convaincre un membre de l'équipe finance d'envoyer 25,6 millions de dollars sur leurs comptes bancaires, a rapporté CNN. Un plan flexible laisse également de la place aux nouveaux outils de sécurité, dont certains utilisent, c'est vrai, l'IA générative pour repérer les anomalies du réseau et les activités malveillantes plus rapidement.
Comme pour le plan de cybersécurité, le RSSI prend l'initiative de proposer un budget de cybersécurité. Dans la plupart des entreprises, les DAF consultent les processus, examinent le budget, posent des questions et formulent des recommandations. Lors de l'examen des dépenses de sécurité, les DAF examinent les investissements dans les personnes disposant d'une expertise spécialisée, les technologies de détection et de lutte contre les attaques et les outils de surveillance de la conformité aux risques cyber et à la sécurité.
Dans le cycle budgétaire 2022-2023, les budgets alloués à la cybersécurité ont augmenté modestement, selon une étude réalisée en 2023 par le cabinet de conseil en sécurité IANS Research. Par exemple, les entreprises technologiques n'ont augmenté en moyenne que de 5 % leurs budgets pour la sécurité, contre une augmentation de plus de 30 % entre 2021 et 2022. Par rapport à d'autres secteurs, cependant, les entreprises technologiques allouent les budgets pour la sécurité les plus importants en proportion des dépenses informatiques totales (19,4 %). En revanche, le secteur de la vente au détail alloue en moyenne 7,2 % de son budget informatique à la sécurité.
Lorsque les fonds sont limités, les DAF posent des questions difficiles. Le budget proposé correspond-il aux objectifs de l'entreprise ? Est-ce qu'il finance correctement les efforts pour défendre l'entreprise et réduire les risques ?
Une fois que le budget alloué à la cybersécurité est défini, les RSSI déterminent s'il est plus judicieux de l'utiliser pour des ressources là où elles sont le plus nécessaires pour réduire les risques, d'embaucher des professionnels qualifiés, d'étendre les programmes de formation à la sécurité des salariés, d'acquérir de nouveaux logiciels de sécurité ou de migrer l'entreprise vers un modèle cloud plus sécurisé. Encore une fois, les DAF jouent un rôle consultatif, en veillant à ce que les allocations reflètent les priorités en matière de risque financier. Par exemple, en allouant des fonds pour les outils d'authentification multifacteur, l'entreprise réduira-t-elle le risque d'intrusion et protégera-t-elle mieux ses données que si elle dépensait une somme similaire pour les collaborateurs ou les améliorations de processus ?
Le plan de cybersécurité inclut des mesures de surveillance des performances, pour déterminer si les niveaux de risque actuels sont acceptables ou non. Le RSSI examine des mesures telles que le temps moyen nécessaire pour détecter les attaques et y répondre. Le DAF se concentre davantage sur la préparation à la sécurité que sur les performances de la technologie et des processus. « La plupart du temps, les DAF veulent des éléments tangibles qui prouvent la maturité des programmes de sécurité », explique M. Desouza. « Ils recherchent des indicateurs tels que des outils de surveillance automatisés ou des formations de sensibilisation à la sécurité qui apprennent aux collaborateurs à repérer les attaques par BEC et hameçonnage. Pour le DAF, la préparation prime. »
Lorsque les entreprises ignorent (ou ne prêtent pas assez d'attention à) la cybersécurité, le prix peut être élevé, entraînant une perte de données, de fonds et/ou de propriété intellectuelle. Les coûts peuvent également inclure une baisse de la confiance des clients, des commandes annulées, la baisse du cours des actions, des articles négatifs dans la presse et des condamnations. Selon Dark Reading, une faille de sécurité largement médiatisée en 2017 a fait chuter le cours de l'action d'une entreprise de 31 % en une semaine et qu'il a fallu deux ans avant qu'elle ne se rétablisse complètement. Cependant, les baisses immédiates du cours des actions ne sont que la partie émergée de l'iceberg.
Les dommages causés par la cybercriminalité mondiale devraient atteindre 10,5 billions de dollars d'ici 2025, d'après une étude menée en 2022 par Cybersecurity Ventures. Le fournisseur de sécurité Deep Instinct a rapporté que 75 % des professionnels de la sécurité ont été témoins d'une augmentation des attaques entre 2022 et 2023.
En vertu des nouvelles règles de la SEC en matière de divulgation relatives aux cyberincidents, les entreprises doivent « publier annuellement des informations sur la gestion, la stratégie et la gouvernance des risques de cybersécurité », fait observer Erik Gerding, Directeur de la division du financement des entreprises de la SEC, dans une déclaration. Cela s'ajoute à la nécessité de communiquer sur tout incident substantiel de cybersécurité. Compte tenu de ces exigences, les DAF des entreprises cotées en bourses doivent être sûrs de comprendre la stratégie et les pratiques de cybersécurité en cours. Ils doivent avoir les connaissances et les relations nécessaires pour reconnaître rapidement les incidents de cybersécurité pertinents et évaluer l'ampleur de ces attaques. Les DAF qui négligent ces exigences exposent leurs entreprises à des sanctions réglementaires.
La suite Oracle Fusion Cloud Enterprise Resource Planning (ERP), avec notamment ses applications financières, d'achats et de gestion de projet, a été conçue dès le départ pour être sécurisée. Les contrôles d'accès centralisés peuvent simplifier l'autorisation réseau et, associés aux fonctionnalités de sécurité offertes dans le cadre d'Oracle Cloud ERP, peuvent aider les entreprises à gérer leurs obligations en matière de conformité et de réglementation.
Oracle Risk Management and Compliance, qui fait partie de la suite Oracle Cloud ERP, est une solution de sécurité et d'audit qui inclut des outils d'IA permettant de contrôler l'accès aux données financières de la suite, de détecter les transactions suspectes et de fournir aux entreprises des informations précieuses pour les aider à se conformer aux réglementations de sécurité.
Quel est le rôle du DAF en matière de cybersécurité ?
En tant que responsable de la gestion des risques pour l'entreprise, le DAF s'assure que ses efforts de cybersécurité reflètent les stratégies de gestion des risques financiers. Le DAF aide le RSSI à comprendre les priorités en matière de risque dans l'ensemble de l'entreprise et à créer des plans et des budgets de sécurité adaptés.
Quelles certifications de cybersécurité un DAF doit-il avoir ?
L'une des certifications que les DAF devraient envisager est le Maximizing Digital Operational Excellence Certificate, proposé par l'American Institute of Certified Public Accountants et le Chartered Institute of Management Accountants. Il prouve que les responsables financiers sont à jour sur les méthodes pour renforcer la gouvernance financière, la sécurité et le contrôle.
Quelles sont les principales responsabilités en matière de cybersécurité qu'un DAF doit assumer ?
En plus de s'assurer que la cybersécurité s'aligne sur les risques financiers, les DAF doivent aider les RSSI à affiner les plans et les budgets de sécurité, ainsi qu'à prioriser la protection des applications qui gèrent les données et les paiements critiques. Le DAF des entreprises cotées en bourse peut également avoir des exigences réglementaires en matière de divulgation, selon la localisation de son entreprise.
Découvrez 5 stratégies pour réduire vos charges et augmenter votre productivité sans freiner votre croissance.