Le risque de fraude et de cybercriminalité augmente dans les entreprises. Les directeurs financiers, souvent en première ligne, doivent se montrer vigilants face à des fraudeurs de plus en plus organisés. Interview de Christian Laveau président du groupe Cybersécurité / Cyberfraude de l’ Association Nationale des Directeurs Financiers et de Contrôle de Gestion (DFCG).
REALEASE CAPITAL : D’après le Baromètre Euler Hermes-DFCG 2020, plus de 7 entreprises sur 10 ont subi au moins une tentative de fraude. Comment expliquez vous ces chiffres ?
Christian Laveau : Depuis quelques années, les cyber-fraudeurs sont passés d’une méthode artisanale et individuelle à une méthode industrielle, systématique et organisée. Résultat : les entreprises sont plus ciblées et les attaques sont plus difficiles à déjouer. En général, les petites et moyennes organisations sont plus vulnérables à ces attaques car elles disposent de dispositifs de protection moins efficaces. L’usurpation d’identité reste la technique privilégiée par les fraudeurs, suivie par la cyberfraude et la fraude interne.
REALEASE CAPITAL : Pourquoi utilisent-elles des dispositifs de contrôle moins efficaces ? Est ce une question de coût ?
Christian Laveau : Ces entreprises n’ont pas conscience de leur vulnérabilité et de leur faiblesse. Et pour cause : elles n’ont pas procédé à une cartographie des risques de fraudes auxquels elles sont confrontées et de leurs moyens internes pour s’en protéger. Beaucoup d’entreprises fonctionnent par réaction. Les sociétés se rendent compte de leur point de vulnérabilité et mettent en place des mesures idoines quand elles sont la cible d’une cyberfraude ou que l’un de leurs concurrents subit une attaque. Avant d’être confrontées à ce ce type de situation, les entreprises ne mesurent pas les risques qu’elles encourent.
[Vox-Fi ?]
— DFCG (@dfcgasso) May 25, 2020
Les #fraudeurs s’adaptent à la #digitalisation pour tirer parti des peurs comme de la générosité.
Quels sont les risques de #fraude les plus fréquents en cette période de #pandémie ? Comment s'en prémunir ? #cyberfraude #VoxFihttps://t.co/cMv3exGdgB
REALEASE CAPITAL : Est ce que les risques de cyberfraude s’accroissent pendant cette période de crise sanitaire ?
Christian Laveau : La crise sanitaire que nous traversons est une période où les risques de fraude et de cybercriminalité ont tendance à augmenter. Cette situation conduit à une moindre vigilance ou à la « dégradation temporaire » des dispositifs de contrôle en raison de la priorité, légitime, donnée à la continuité d’exploitation. Les cyber-fraudeurs peuvent en profiter pour exploiter toute faille ou faiblesse, liées par exemple à la réduction ou à la désorganisation des équipes, des dispositifs de contrôle des entreprises en les exploitant de façon systématique et rationnelle à leur profit. En cette période, les directions financières doivent veiller à la robustesse et à la non-dégradation « temporaire » de leurs dispositifs de contrôle interne et de lutte contre la cyberfraude.
REALEASE CAPITAL : Sur quoi les directeurs financiers doivent-ils se montrer particulièrement vigilants ?
Christian Laveau : Je pense qu’il est fondamental d’établir une cartographie des risques de fraudes auxquels on peut être confrontés et des dispositifs de contrôle dont on dispose. A partir de cette base, les sociétés pourront déterminer les priorités d’actions par rapport aux zones de vulnérabilité maximales. Les sociétés qui ont été confrontées aux risques de fraudes peuvent avoir des difficultés à communiquer à ce sujet car cela peut remettre en cause les compétences ou la vigilance d’un ou plusieurs collaborateurs . Pourtant, il est très important de ne pas cacher ces échecs. C’est en communiquant sur ces attaques, en renseignant le lieu, la date et l’heure, les dispositifs de protection mis en œuvre, que l’on diminue sa vulnérabilité.
REALEASE CAPITAL : Quels sont les impacts de cette cybercriminalité sur les entreprises ?
Christian Laveau : Ces cyberattaques peuvent coûter une partie significative du chiffre d’affaires et entacher la réputation de l’entreprise visée. Une société qui est systématiquement attaquée renvoie l’image d’une structure qui n’est pas capable de garantir la sécurité des données qu’elle détient notamment pour le compte de tiers. Et de ce fait, elle encourt le risque de perdre la confiance de ses clients et de l’ensemble de ses parties prenantes. Ces attaques fragilisent la trésorerie des entreprises et dans certains cas, notamment pour les plus petites structures, peuvent signer la fin de leur activité plus encore dans le contexte actuel où les chaînes d’approvisionnement sont perturbées et la demande à l’arrêt.
REALEASE CAPITAL : Quels sont les moyens dont disposent les directeurs financiers pour faire face aux cyberattaques ? Quels sont les dispositifs à mettre en place ?
Christian Laveau : Il existe des principes préventifs simples qui s’appuient sur des procédures de contrôle écrites, une séparation claire des tâches entre les différents acteurs et un échange sur les bonnes pratiques quand ces attaques ont été déjouées. Par exemple, cela peut passer par le fait de ne prendre aucun ordre, aucune instruction, quelque soit le niveau hiérarchique, qui reposerait sur un message mail qui n’a pas été vérifié ou sur un coup de fil de tel ou tel dirigeant. Dans certaines organisations, il est important de mesurer le poids de la hiérarchie et de la parole donnée. Des sociétés qui n’ont pas structuré des process écrits et qui ne reposent que sur l’oral prennent le risque d’être attaquées.
[Vox-Fi ?]
— DFCG (@dfcgasso) May 25, 2020
Les #fraudeurs s’adaptent à la #digitalisation pour tirer parti des peurs comme de la générosité.
Quels sont les risques de #fraude les plus fréquents en cette période de #pandémie ? Comment s'en prémunir ? #cyberfraude #VoxFihttps://t.co/cMv3exGdgB
REALEASE CAPITAL : Pourquoi avez vous créé le groupe cyber fraude ?
Christian Laveau : Le risque de cybercriminalité est un risque majeur pour l’entreprise : il est classé dans le Top 5 des risques par le Forum économique mondial (WEF), au même titre que le changement climatique. Au niveau mondial, les pertes économiques se chiffrent en centaines de millions d’euros . En France, la cybercriminalité est le deuxième risque le plus important et représente en cumul 50 % des attaques subies par les entreprises. En conséquence, la cybercriminalité présente de très forts enjeux, et les impacts sont considérables – qu’ils soient économiques, financiers, ou stratégiques. De par ses fonctions, le directeur financier se trouve être l’élément clef de la première ligne de défense de l’entreprise. Sur la base de ce constat, un groupe de travail Cybersécurité a été créé fin 2019 pour définir et réfléchir au positionnement du directeur financier face au risque de Cybersécurité / Cyberfraude, ainsi que vis-à-vis des autres parties prenantes et lignes de défense de ce risque : systèmes d’information, contrôle interne, contrôle externe, audit interne, risques, directions opérationnelles, etc.
La feuille de route du groupe Cybersécurité / Cyberfraude est triple. Premièrement, il s’agit de produire au plus tard en 2021 un cahier technique à vocation très opérationnelle à destination des dirigeants financiers de PME, ETI et grands groupes. Il s’agira d’une synthèse et d’une prise de position de la DFCG sur la typologie des risques cyber, la typologie des risques de fraudes et la mise en place de dispositifs et d’outils de contrôle appropriés. Deuxièmement, l’objectif est de produire des éléments d’information sur l’actualité de la Cyberfraude et de la Cybercriminalité dans la Newsletter hebdomadaire de la DFCG, sur la page LinkedIn de la DFCG, et sur le groupe Workplace du groupe Cyber Sécurité Troisièmement, il s’agit de rédiger des articles, produire des documents d’analyse, et intervenir dans des forums qui portent sur la Cybercriminalité et la Cyberfraude.
REALEASE CAPITAL : Est ce que les directeurs financiers ont conscience qu’ils sont en première ligne pour éviter ces risques de fraude ?
Christian Laveau : C’est un enjeu d’où l’intérêt d’assurer une bonne coordination entre les différents acteurs. Les spécialistes de l’IT ont longtemps assuré la cybersécurité des entreprises. Pourtant, le directeur financier, de part son positionnement et sa fonction régalienne dans la société, est le socle sur lequel doit s’appuyer cette fonction de contrôle. Il est le seul à mesurer les impacts financiers de ces attaques.
REALEASE CAPITAL : Les directeurs financiers doivent-ils changer de positionnement ?
Christian Laveau : Il s’agit plutôt d’un renforcement de leurs conscience du risque et du rôle pivot qu’ils doivent jouer. Parce que les directeurs financiers doivent se positionner de plus en plus en orchestration des moyens de contrôle par rapport aux risques majeurs vis à vis de l’entreprise.
Le + de REALEASE CAPITAL, société de location financière
Depuis le début de la crise sanitaire , de nombreux spécialistes de la cybersécurité alertent sur les vols de données et le rançonnage informatique. Leurs cibles favorites : les milieux médicaux ainsi que les entreprises.
« Face à ces hackers, les entreprises ont besoin de renforcer leur sécurité informatique. REALEASE CAPITAL propose leur intervention en financement locatif pour des solutions comme la mise en place de VPN, passerelle sécurisée. Firewall matériel ou logiciel. »
(Franck Kalfa. directeur commercial au sein de REALEASE CAPITAL, société de location financière évolutive)
Pour plus d’informations, retrouver notre article : Cyberattaques : 5 conseils pour sécuriser son parc informatique
