With your agreement, we and our 780 partners use cookies or similar technologies to store, access, and process personal data like your visit on this website, IP addresses and cookie identifiers. Some partners do not ask for your consent to process your data and rely on their legitimate business interest. You can withdraw your consent or object to data processing based on legitimate interest at any time by clicking on “Learn More” or in our Privacy Policy on this website.

We and our partners process data for the following purposesPersonalised advertising and content, advertising and content measurement, audience research and services development , Precise geolocation data, and identification through device scanning, Store and/or access information on a device

Logo Lefebvre Dalloz Desktop
Votre métier
icone de recherche
ACTUALITESNOS OFFRESESSAIS GRATUITS
RESSOURCES
CHIFFRES & TAUX
AGENDA
SIMULATEURS
BOUTIQUE
Logo Lefebvre Dalloz Desktop
icone de recherche
logo
Partager sur LinkedInPartager sur TwitterPartager sur Facebook
Envoyer par mail
Accueil/ Actualités - La Quotidienne/ Affaires/ Biens de l'entreprise
Affaires - Biens de l'entreprise

Quel est le rôle de la DAF en matière de cybersécurité ?

De plus en plus nombreuses, de plus en plus dangereuses, les cyberattaques touchent toutes les entreprises. Comment les directions financières doivent-elles s’adapter pour faire face aux cyber-risques aujourd’hui et, demain, répondre aux nouvelles exigences en matière de protection de données ? Eléments de réponse avec Bertrand Guégano, directeur administratif et financier du groupe OT (groupe spécialisé dans la cybersécurité).

Publié le 20/10/2017
QUOTI-20171020-UNE-affaires2.jpg

Quels sont les cyber-risques types encourus par la direction financière ?

Il y a 10 ans, la fraude au président était celle qui était la plus utilisée auprès des directions financières. Aujourd’hui, cette tentative de fraude est assez rapidement déjouée. En revanche, les cyber-risques ont grandement évolué et, s’ils ne sont pas nouveaux, se sont industrialisés.

Les cybermenaces sont notamment :

- les ransomwares (logiciels malveillants prenant en otage des données personnelles) ;

- les e-mails contrefaits ;

- les codes malveillants sur les sites web ;

- l’utilisation non sécurisée des mobiles via lesquels on peut facilement pénétrer le système d’information de l’entreprise ;

- la mauvaise sécurisation des mots de passe en interne.

Le rôle du DAF est d’identifier, d’analyser les risques de l’entreprise quels qu’ils soient, y compris les cyber-risques, et de les faire remonter en comité de direction. Cela ne doit pas rester la prérogative du service informatique.

Quelles sont les bonnes pratiques à mettre en place au sein des DAF pour limiter les risques ?

80 % des incidents ont pour origine une erreur humaine. Le DAF doit donc sensibiliser ses équipes aux risques grâce à des règles simples (verrouillage de la session en cas d’absence, politique de changement des mots de passe, analyse par le service informatique d’une clé USB trouvée avant de l’introduire dans l’ordinateur, vigilance quant aux pièces jointes non identifiées, mise à jour régulière des antivirus…). C’est du bon sens.

Il faut être également vigilant sur l’utilisation des réseaux sociaux par les équipes financières (annonce des absences, des fonctions dans l’entreprise…). En effet, aujourd’hui, avec l’utilisation des réseaux sociaux, il est possible d’établir une cartographie claire et détaillée du fonctionnement d’une entreprise. Les fonctions financières ont un devoir de réserve.

Ensuite, la sécurité doit être démystifiée et l’absence de mesures simples connues peut être considérée comme une négligence.

Mettre en place un système de cybersécurité n’est pas forcément coûteux. Un budget de 10 000 € permet de mettre en place une couverture d’environ 50 % du risque et 100 000 € permettent d’en couvrir 70 à 80 %.

Il est ainsi recommandé d’avoir deux sauvegardes (une en interne et une en externe) et de les tester régulièrement. Faire des pentests (tests d’intrusion) est également une bonne pratique : une entreprise spécialisée dans la cyber-sécurité intervient pendant 2 ou 3 jours pour établir un diagnostic sécurité et mettre en évidence les zones de risques (nombreuses sont les entreprises qui sont visitées à leur insu).

Il est important de valider la qualité des prestataires informatiques par l’obtention des certifications ISO 27001 (norme de système de gestion de la sécurité de l'information) et PCIDSS (norme de sécurité de l’industrie des cartes de paiement).

Quel est le coût d’une cyberattaque pour une entreprise ?

Il est très variable, de 10 000 € pour une rançon jusqu’à la disparition de l’entreprise. 60 % des PME cessent leur activité après une cyberattaque !

Comment établir une cartographie des cyber-risques ?

Les cyber-risques appartiennent à une cartographie globale des risques de l’entreprise. Les étapes sont les suivantes :

1. Inventorier les risques.

2. Les valoriser en fonction de leur gravité et en fonction de leur probabilité.

3. Mettre des parades face à ces risques : élimination du risque, limitation des effets ou révision du process concerné.

4. Identifier s’il reste des points critiques.

5. Réviser annuellement la cartographie ainsi établie.

La cartographie des risques constitue un document sensible réservé au comité de direction.

Faut-il souscrire une assurance contre les cyber-risques ?

La perte d’exploitation et si nécessaire les frais d’expert sont couverts par les assurances classiques. L’intérêt d’une assurance spécifique est de compléter les couvertures traditionnelles en matière de dommages, pertes (frais de reconstitution des données) et responsabilités. Elle permet de débloquer rapidement les montants nécessaires au redémarrage de l’activité.

Que doit faire la DAF en cas de cyberattaque ?

L’essentiel du travail se fait en amont, il faut s’assurer de l’existence d’une charte informatique qui définit les conditions d’accès au système d’information, d’une politique des mots de passe, d’une mise à jour des sauvegardes. En effet, 46 % des collaborateurs ne connaissent pas les comportements à adopter face aux attaques.

La DAF, en collaboration avec le service informatique, doit simuler les cyberattaques, tester et ajuster les process internes.

Il faut également s’assurer que le contrat d’assurance couvre les préjudices en cas de cyberattaque.

Propos recueillis par Chloé QUEFFEULOU

Bertrand GUEGANO, DAF, groupe OT



© Editions Francis Lefebvre - La Quotidienne
AffairesBiens de l'entreprise
Partager sur LinkedInPartager sur TwitterPartager sur Facebook
Envoyer par mail

Aller plus loin

Navis Associations
affaires -

Navis Associations

La plateforme de référence en droit des associations.
126,54 € HT
Je découvre
Mémentis Droit commercial
affaires -

Mémentis Droit commercial

Tout le droit commercial
33,08 € HT
Je découvre

A lire aussi

quoti-20220620-affaires.jpg
Affaires - Biens de l'entreprise

Le logement de l’entrepreneur en cours de divorce peut redevenir saisissable par ses créanciers

Lorsque le juge impose à l’entrepreneur individuel, dans le cadre d’une procédure de divorce, de quitter le logement familial, ce dernier n’est plus sa résidence principale et il peut être saisi par ses créanciers professionnels.
quoti-20210629-locaux-commerciaux.jpg
Affaires - Biens de l'entreprise

Répartition des charges des baux renouvelés : à quelle date s'applique la loi Pinel ?

Les dispositions de la loi Pinel sur la répartition des charges s'appliquant aux contrats renouvelés à compter du 5 novembre 2014, un contrat est considéré comme renouvelé à la date d’effet du bail renouvelé et non à celle de la fixation du loyer.
QUOTI20191118brda_fl35a9cc796f0aa4e3be9ea829ea1cbe64.jpg
Affaires - Biens de l'entreprise

Indemnité d'éviction due au locataire commercial évincé : aspects opérationnels

L’indemnité d’éviction est une spécificité française. D’origine légale, son régime est essentiellement le fruit de la pratique des opérateurs immobiliers, des conseils spécialisés et des juridictions. Benjamin Robine, expert spécialisé en immobilier, dresse un tour d’horizon de ces pratiques.