Cybersécurité : quels rôles pour les directions financières ?
56% des PME ont déjà été victimes d'une cyberattaque pour un coût médian de 50 000 euros. Pour inverser la tendance, directeurs financiers et responsables informatiques doivent travailler main dans la main.
Suivre cette thématique pour rester informé
2 min
L'évaluation des risques
Il incombe aux directions financières d'évaluer les répercussions financières de chaque risque pris par leur entreprise et aux équipes informatiques d'assurer la sécurité des systèmes d'information. À ces deux directions de déployer ensemble une véritable stratégie d’investissement, de réduire la menace et développer une culture de sécurité et de confidentialité des données.
En réponse à cette cartographie des risques, des stratégies de gestion des risques doivent être prévues pour pallier aux différentes menaces. Que faire en cas de violation de données ou de phishing ? Comment communiquer auprès des clients ? Comment continuer l’activité de l’entreprise sans prendre de risque supplémentaire ?
La mise en place d'un budget pour se prémunir des cyberattaques
Les directions financières, en tant que responsables de l'allocation de la trésorerie, priorisent un budget plus ou moins conséquent à la cybersécurité de l’entreprise. Elles sont aussi en charge de souscrire à une assurance spécifique pour couvrir les pertes et dommages liés la fuite de données notamment. Or, le pilotage du risque cyber fait cependant souvent l'objet d'arbitrage en faveur d'autres budgets considérés comme prioritaires, comme l'équipement informatique ou le service commercial.
Seules 44% des ETI font de la cybersécurité une priorité d’investissement.
Choix des outils
Autre mission des directions financières : la sécurisation, la gestion et le choix des outils numériques (espaces de travail partagés, logiciels comptables…), du matériel informatique, mais aussi des process communs à l’entreprise.
Pour garantir que leurs activités sont suffisamment protégées contre les risques cyber, elles doivent pouvoir s’appuyer sur des outils d’aide à la décision et ainsi accompagner les responsables de la sécurité des systèmes d'information (RSSI) dans l’arbitrage des investissements réalisés. Ils doivent aussi définir le niveau de risque en fonction du secteur ou en mettant en perspective les scenarios applicables à des entreprises similaires à la leur.
Des réglementations qui s'imposent aux entreprises
La cybersécurité doit être perçue comme un investissement au regard de la réglementation, comme la directive NIS 2.
C’est en tenant compte du contexte juridique et du retour sur investissement des solutions de sécurité et d’assurance que les directions financières pourront fixer les provisions qui reflètent de manière appropriée le degré de risque identifié.
La directive NIS 2 impose aux entreprises de construire une solide feuille de route pour déployer et renforcer leurs moyens de cyberdéfense, établir des plans d'intervention et procéder régulièrement à des évaluations des risques.
La directive Résilience Opérationnelle Numérique (DORA) vient renforcer la stabilité et la sécurité des services numériques utilisés par les entreprises du secteur financier.
Formation et sensibilisation des équipes
Les directions financières et les services informatiques jouent également un rôle dans la sensibilisation des équipes. Chaque collaborateur de l’entreprise doit être formé pour comprendre les tendances cyber et les appréhender pour déployer une véritable stratégie de pilotage du risque.
