Le mardi 24 novembre se tenaient les JAFTE 2020, organisées par l’AFTE, avec au programme de nombreuses conférences et plénières afin de donner la parole à plusieurs professionnels et experts. Pour vous faire vivre ou revivre cet événement, Trustpair vous propose de revenir sur certaines conférences dans une série de 3 articles. Dans ce compte-rendu, nous intéressons à la sécurité cyber et au rôle du trésorier vis-à-vis de ce sujet.
Trésorier, garant de la sécurité cyber
Etaient présents lors de cette conférence :
- Guillaume Peslin, responsable du cash management, Transdev Group (Modérateur)
- Franz Zurenger, directeur de la trésorerie et crédit, Interparfums (Modérateur)
- François Beaume, directeur des risques et assurances, Sonepar
- Rodolphe Bernard, directeur du pôle innovation et LCL Smartbusiness, LCL
- Olivier Herisson, cyber security manager, EY
Une recrudescence des attaques cyber a été observée lors de la crise. Quel panorama des enjeux peut être dressé ?
« Si la digitalisation de l’économie était déjà initiée avant le crise, le recours au télétravail et aux outils digitaux sont venus bouleverser le quotidien des entreprises, ainsi que leur relation avec les Systèmes d’Information. » — François Beaume, directeur des risques et assurances, Sonepar
Malaware, ransomware, vol de donnée, faillibilité des partenaires, attaques ciblées sur une personne ou un groupe … Les entreprises font l’objet de nombreuses menaces cyber. Ces attaques ont pour but de faire « chanter » l’entreprise, d’obtenir une rançon, ou sont purement un acte criminel. Une fois l’attaque survenue, les SI sont alors paralysés, entraînant pour l’entreprise une perte d’exploitation, ainsi qu’une atteinte à son image et sa réputation.
Par ailleurs, des études recensent une augmentation de 600% des tentatives de vol de mots de passe, et définissent que la durée d’interruption et perte d’exploitation du SI pour l’entreprise est de 3 semaines.
« L’attaque cyber peut arriver à tout le monde, durer longtemps, et être très critique voire mortel. Il ne faut pas prendre ce risque à la légère. Il existe des solutions à mettre en place en amont (formation, sensibilisation, outils spécialisés) et des solutions d’assurance. Pour définir la bonne assurance à mettre en oeuvre, il faut avoir une vision à 360° du risque cyber, poser le diagnostic et bien choisir son partenaire. » — François Beaume, directeur des risques et assurances, Sonepar
Les outils digitaux viennent transformer la physionomie des entreprises
« Le risque cyber est considéré comme le risque majeur pour l’économie par plusieurs études, c’est un risque systémique. Il ne faut pas sous-estimer les moyens et les fonds déployer par les hackers, et ne pas sur-estimer les dispositifs en place au sein de l’entreprise. » — Rodolphe Bernard, directeur du pôle innovation et LCL Smartbusiness, LCL
Pour mettre en place un plan de protection de sa structure, deux phases sont à prendre en compte. La phase amont :
- mesurer de la maturité cyber de l’entreprise,
- tester régulièrement son dispositif (test d’intrusion),
- travailler sa stratégie de défense,
- faire des sujets réglementaires (RGPD par exemple) l’occasion d’améliorer son niveau de maturité,
- se faire accompagner en cas de crise (réponse à l’incident ou en direct),
- former en continu ses équipes
La phase avale, avec le transfère du risque à l’assurance lié aux cyberattaques. Il faut alors bien identifier ses besoins afin de définir les clauses du contrat. Le but est de répondre à la question : quand est-ce que le risque cyber va avoir lieu ?
« Le trésorier est l’homme clé pouvant fédérer les collaborateurs concernés par les sujets cyber. Trop souvent, on considère ce sujet comme quelque chose de technique, de métier que l’on délègue à la DSI. Mais le trésorier peut être un réel coordinateur du projet, en compagnie du Risk Officer lorsqu’il y en a un. Il est une force de proposition supplémentaire pour ses équipes. » — Rodolphe Bernard, directeur du pôle innovation et LCL Smartbusiness, LCL
Quel est l’impact d’une cyber attaque sur une entreprise ?
« Lorsqu’un ransomware est « entré » dans une société, on est vraiment en situation de crise. Toutes les entreprises n’ont pas la maturité pour bien réagir à une crise cyber. » — Olivier Herisson, cyber security manager, EY
Aujourd’hui, les entreprises sont assez démunies face au ransomware et n’ont pas toutes la même capacité à pouvoir négocier. Négocier ne veut pas dire payer de suite, mais surtout gagner du temps lorsque le hacker pose un ultimatum. Cela permet aussi d’analyser les risques Business (comme identifier le coût pour revenir à un business normal, généralement 3 semaines après l’attaque). Cela dégage plus de temps pour pouvoir investiguer et savoir quel est le niveau de sensibilité des données impactées.
« Il est important de mettre en place des processus de détection d’incident, savoir mesurer le risque, savoir calculer l’impact économique et technique pour l’entreprise. Le trésorier à vraiment sa place dans la cellule de crise pour identifier les risques métiers, et pouvoir comparer le risque business avec le risque technique. » — Olivier Herisson, cyber security manager, EY
Pour conclure : quels sont le positionnement et le rôle du trésorier vis-à-vis de la sécurité cyber ?
L’humain est à la fois le maillon faible et le maillon fort de la chaîne, permettant trois étapes clé : préparation et anticipation, répétition, et intervention.
« Il ne se passe pas une semaine sans qu’il n’y est un nos clients touchés. Le trésorier a son rôle à jouer pendant la phase de préparation en s’assurant (avec le Risk Manager s’il y en a un) que la Direction Générale a bien une vision stratégique et en apportant sa vision métier. » — Rodolphe Bernard, directeur du pôle innovation et LCL Smartbusiness, LCL
« Deux mots-clés sont à mettre en lumière : la co-construction et l’analyse. Le trésorier a un rôle prépondérant à jouer dans la sécurité cyber. Il doit pouvoir comprendre et analyser le risque. Il va ainsi faire ressortir un certain nombre de stratégies. Pour pouvoir juger, il faut reconnaître les faits et les comprendre. » — François Beaume, directeur des risques et assurances, Sonepar
« Le trésorier n’est pas assez inclut aux cellules de crise. Il doit être positionné comme un collaborateur de ces cellules afin de définir la stratégie de reprise de l’activité. » — Olivier Herisson, cyber security manager, EY
