La numérisation de l’économie et de la société est porteuse d’innovation, mais elle fait également de la cybersécurité un enjeu crucial du 21ème siècle. Logiciels pirates et malveillants, surcharge des serveurs, arnaques au faux fournisseur ou au changement de RIB, etc. ; les cyberattaques sont réelles pour les entreprises.
Elles deviennent, d’ailleurs, encore plus prégnantes dans le cadre de la crise sanitaire. L’épidémie de coronavirus a effectivement imposé aux entreprises et administrations de recourir au télétravail. Les pirates profitent alors de cette période confuse pour exploiter les failles des organisations. Il est dès lors nécessaire pour le directeur financier et ses équipes de faire preuve de vigilance et de déployer des protocoles et contrôles adaptés.
Une recrudescence des cyberattaques observées
La crise sanitaire constitue une aubaine pour les cyberpirates, et ceux, à deux niveaux. Premièrement, les processus de télétravail ayant souvent été décidés dans l’urgence, ceux-ci sont susceptibles de contenir de nombreuses backdoors, ou brèches, pour les hackers. Deuxièmement, les fraudeurs rivalisent d’ingéniosité en se servant du contexte épidémique, par exemple en ce qui concerne l’usurpation d’identité. De nombreuses entreprises et administrations ciblées ont ainsi reçu par mail des appels au don à la prétendue initiative de telle ou telle organisation internationale, notamment l’OMS (Organisation Mondiale de la Santé). Didier Schreiber, directeur chez Zscaler (société américaine de cybersécurité), indique ainsi que « depuis janvier 2020, avec la crise du coronavirus, on a constaté une augmentation de plus de 30 000 % des attaques informatiques ».
Les moyens employés par les hackers évoluent donc et s’adaptent au contexte pour gagner en crédibilité. Pour autant, on peut énumérer plusieurs techniques phares :
- Le ransomware : avez-vous déjà entendu parler de WannaCry ou encore Petya ? Ce sont là les noms de logiciels informatiques malveillants, dissimulés par exemple dans les pièces-jointes d’emails. Leur mode d’action est simple : une fois activé, le ransomware crypte les données sur votre ordinateur. Celles-ci deviennent alors illisibles et ne peuvent plus être utilisées. Le logiciel exige alors de la victime qu’elle paye une rançon afin que les clés de décryptage vous soient communiquées.
- Le DDoS (ou attaque par déni de service) : cette cyberattaque vise a surcharger les serveurs d’un site web avec de nombreuses requêtes afin de le mettre (temporairement) hors-service. C’est une menace sérieuse, puisqu’elle ne demande que des ressources limitées aux pirates.
- Le phishing (ou hameçonnage) : le plus souvent au moyen d’un email usurpé (spoofing), la technique consiste à tromper le(s) destinataire(s) en les amenant, par exemple, à se rendre sur un site piégé, ou encore à effectuer un paiement rapide. Cette attaque informatique est en plein boom : le cabinet Euler Hermes parle ainsi d’une augmentation de 700 % des tentatives de phishing au début de l’année 2020 selon l’étude Euler Hermes.
- La fraude au président (ou fraude au FOVI) : audacieuse, cette technique vise pour le pirate à se faire passer pour un dirigeant d’une entreprise, voire une personne publique de haut rang (comme un ministre). Dans le cadre d’une prétendue opération urgente et confidentielle, le pirate intime à un membre de la DAF (par exemple) de réaliser un virement immédiatement, sans en parler à ses collaborateurs. D’après l’OCRGDF, le préjudice subi par les entreprises françaises en trois ans s’élève ainsi à 430 millions d’euros pour cette seule fraude.
Bien qu’elles constituent des menaces permanentes, ces techniques de fraude visent tout particulièrement la chaîne de paiement.
Faillibilité des processus : la porte ouverte aux cyberattaques
On parle ici du processus P2P (Procure-to-Pay) : il démarre à la demande d’achat et se termine au moment du paiement. De nombreuses étapes composent le « cycle d’achat », comme le fait de traiter la demande, de l’intégrer au système, d’établir et d’envoyer la facture et encore de mettre à jour la base tiers. Ce sont là autant d’étapes que les fraudeurs peuvent employer pour arnaquer l’entreprise.
La méthode la plus employée est certainement celle de la fraude au faux fournisseur. L’escroc se renseigne sur les moyens de communication d’un fournisseur connu de votre entreprise, en créant par exemple une adresse email proche (jean.pierrick@entreprise.fr devient alors jean-pierrick@entreprise.fr). Sous les faux traits du fournisseur, l’arnaqueur demande alors le paiement d’une prestation récemment effectuée : il est donc payé pour ladite facture à la place du vrai fournisseur.
S’il s’agit d’un fournisseur régulier, le fraudeur va alors tenter de pénétrer plus durablement les systèmes de l’entreprise. Il vous contacte pour vous informer d’un changement de compte bancaire, et vous communique le nouveau RIB en pièce-jointe. Une fois la donnée actualisée dans le référentiel tiers, c’est désormais l’escroc qui recevra tous les paiements normalement destinés au fournisseur. Il s’agit alors d’une arnaque au RIB.
Bien que dangereuses, les cyberattaques ne sont pas inévitables, et le Directeur Administratif et Financier joue un rôle important dans la prévention et la détection. Il existe des modèles comme le Zero Trust qui a fait ses preuves dans le domaine de la cybersécurité. Il s’agit de ne donner aucune garantie aux process internes et externes en ajoutant des étapes d’authentification à chaque processus.
Le DAF comme garant de la cybersécurité de l’entreprise ?
Puisque la DAF est en charge des finances de l’entreprise, c’est évidemment une cible privilégiée des fraudeurs. Ainsi, comme le fait remarquer Sébastien Hager, Euler Hermes France, « le DAF est […] très souvent responsable du pilotage de la lutte contre la fraude » ; il doit dès lors posséder « un regard opérationnel mais également stratégique sur le sujet ».
Son rôle est double :
- Il doit sensibiliser les collaborateurs à la cybersécurité, par exemple « afin qu’ils n’ouvrent pas de pièces jointes inconnues et ne cliquent pas sur n’importe quels liens » ;
- Il doit établir une cartographie des risques, en détaillant les scenarii possibles, leur impact et les mesures à prendre.
Or, constate Sébastien Hager, ce second rôle est bien souvent déconsidéré. Le baromètre DFCG/Euler Hermès indique ainsi que seules 20% des entreprises interrogées ont mis en place une cartographie des risques. Le coût tend certes à refroidir les DAF. Iil est toutefois à mettre en parallèle avec le montant des dégâts des cyberattaques, régulièrement de l’ordre de plusieurs millions d’euros.
Si le Directeur est chargé de réaliser les investissements nécessaires pour contrer les cyberattaques de l’entreprise, l’ensemble des acteurs de la DAF sont eux aussi concernés. Ceux-ci doivent dès lors prendre part activement à la révision et à la sécurisation des processus.
Malgré une vigilance de tous les instants, les contrôles manuels demeurent souvent faillibles. Ils sont de plus chronophages et lourds pour les collaborateurs de l’entreprise. Automatiser et sécuriser ces tâches avec Trustpair se présente comme une réponse adaptée pour la DAF ! Sa solution SaaS (Software-as-a-Service) vérifie chaque entrée et modification des tiers dans le référentiel et alerte en cas d’anomalies. De plus, un audit continu et en temps réel permet de vérifier systématiquement l’ensemble de la base de données.