Cybersécurité : les directions financières s'équipent
Le risque de cyberattaques touche désormais toutes les entreprises, indépendamment de leur taille ou secteur. L'évolution des technologies, notamment des intelligences artificielles génératives, accroît la menace. En effet, selon le baromètre Allianz 2024, les incidents de cybersécurité sont le premier risque perçu par les entreprises en France. Avec une cybercriminalité ayant coûté 129 milliards de dollars en 2024 contre 5,1 milliards en 2016, l'ampleur de cette menace oblige toutes les entités de l’entreprise à réagir, incluant les directions financières, souvent sous-formées sur le sujet. Les cyberattaques exploitent fréquemment des failles internes, rendant la vigilance des collaborateurs cruciale. Un simple clic suffit à introduire une menace. Comme l’explique Nicolas Quairel, les entreprises sensibilisent leurs employés, mais une erreur humaine peut transformer une menace en catastrophe. L’exemple de Hong Kong, où un employé a été piégé par des deep fakes visuels en réunion, démontre que les techniques d’attaque deviennent sophistiquées, augmentant le risque financier et l’impact d’image pour les entreprises victimes.
Face à cette sophistication des attaques, les directions financières se retrouvent en première ligne. Au-delà des conséquences financières, les obligations réglementaires, comme la directive européenne DORA, imposent aux directeurs financiers (DAF) de s’assurer que les systèmes informatiques ne fragilisent pas l’entreprise. Pourtant, malgré cette responsabilité croissante, beaucoup de DAF peinent à apprécier l'urgence de la situation et à investir suffisamment dans la prévention des cyber-risques, faute de formation adéquate. Une meilleure collaboration avec les directions des systèmes d’information (DSI) s’impose, mais elle reste insuffisante. Bien que de plus en plus de CFO soient sensibilisés aux enjeux de cybersécurité, ils n’ont souvent qu’une connaissance théorique des risques. Cette distance entre les équipes financières et informatiques, accentuée par une perception des sujets techniques comme “secondaires” par certains experts financiers, entrave la coordination nécessaire entre DAF, DSI et RSSI pour une cybersécurité efficace.
Pour relever ce défi, les directions financières doivent dépasser ces barrières idéologiques. Avec la quantité de données qu’elles manipulent, leur implication dans la gestion des cyber-risques devient cruciale. Pourtant, il demeure complexe pour un CFO non formé de sensibiliser ses équipes sur des risques qu’il comprend mal. Une coopération active entre DAF et DSI pourrait inverser cette tendance et permettre une gestion intégrée des risques. Certaines entreprises se démarquent en adoptant des DAF ayant une appétence pour les technologies. Comme le souligne Nicolas Quairel, un CFO formé aux cyber-risques est mieux placé pour diffuser ses connaissances en interne. Cependant, les profils combinant expertise en finance et en cybersécurité sont rares, souvent réservés aux grandes organisations. Une prise de conscience collective est donc nécessaire pour combler ce manque de compétences et pour adapter les stratégies face à une cybermenace de plus en plus pressante.
- Vues168