La révolution numérique a ouvert aux TPE et PME de nouvelles perspectives de croissance : gains de productivité, possibilité de conquérir de nouveaux marchés… Mais elles sont également tout particulièrement exposées aux nouveaux risques et aux nouvelles menaces de cyberattaques.
Quelle que soit la taille de l’entreprise, les directions financières ne peuvent pas rester indifférentes et sont amenées à se renouveler face à ces nouvelles attaques. Quel est le rôle du DAF et comment peut-il s’adapter et protéger l’entreprise grâce à la cybersécurité ?
Constat de la cybersécurité des TPE/PME en France
Les problématiques liées à la cybersécurité des entreprises prennent de plus en plus d’importance et d’ampleur. Si aujourd’hui, l’ensemble des organisations sont concernées par les menaces, les petites et moyennes entreprises sont tout particulièrement à risques :
- 52% des TPE-PME ont été victimes d’attaques par ransomwares en 2021, selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
- Seulement 25 % des Dirigeants de TPE/PME se sentent menacés, toujours selon l’ANSSI.
- Le coût médian de l’ensemble des attaques contre les TPE-PME est de 7 273€, d’après le rapport Hiscox sur les cyberrisques.
- 60 % des PME attaquées ne s’en relèvent pas et déposent le bilan dans les 6 mois.
Pourquoi les TPE-PME sont-elles les plus ciblées par les cyberattaques ?
Les TPE et PME font partie des structures qui n’ont pas forcément le réflexe de se protéger de ces attaques, souvent par manque de temps, de moyens financiers ou encore d’expertise technique.
La nature des risques a évolué au cours des dernières années. Les techniques d’attaques se complexifient et les hackers ne prennent plus la peine de cibler uniquement des grandes entreprises : les TPE et PME sont aujourd’hui principalement concernées. Ainsi, une PME ne détenant pas de données particulièrement sensibles peut être la cible d’une cyberattaque.
Quel rôle pour le DAF externe dans la cybersécurité ?
En tant que responsable du pilotage des entreprises, les directions financières sont particulièrement concernées. Le DAF externe doit assumer plusieurs rôles.
Analyse des risques de l’entreprise
En coopération avec le service informatique ou le DSI, le DAF externe peut faire l’inventaire des risques et mettre en place certaines actions. Parmi les bonnes pratiques, les collaborateurs peuvent s’assurer de l’existence d’une charte informatique qui :
- définit les accès au SI ;
- fixe la politique de renouvellement des mots de passe ;
- détermine les conditions de mise à jour ainsi que les sauvegardes.
La formation des équipes à la cybersécurité
Dans plus de 80% des cas, les attaques sont possibles à cause d’un manque de vigilance d’un collaborateur, selon l’ANSSI. Il est donc primordial de les sensibiliser en amont. Instaurer plus de sécurité commence par des règles simples et facilement applicables :
- Verrouiller des ordinateurs quand on s’absente de son poste.
- Changer régulièrement les mots de passe.
- Faire attention aux données partagées.
Il y a encore de très nombreuses entreprises où des collaborateurs ont accès à des données sensibles sans aucune justification !
Des formations spécifiques sont également indispensables. Ils permettent de présenter les cas classiques et de sensibiliser les équipes (ransomwares, phishing, …). Une fois la formation effectuée, le DAF externe peut mettre en place des tests pour vérifier que les collaborateurs l’ont bien assimilée, et recommencer à intervalles réguliers pour s’assurer qu’ils soient toujours vigilants.
Sécuriser les process Purchase-to-Pay
Le risque humain doit donc être limité. Il est donc nécessaire que peu de personnes puissent avoir accès directement aux comptes de l’entreprise ou aux outils de paiement. Il s’agit de :
- ne pas donner les droits administrateurs à n’importe qui ;
- demander la validation d’un virement avant qu’il soit effectué ;
- mettre en place une authentification forte pour limiter au maximum les risques.
Le DAF externe n’est plus cantonné à un rôle financier, il doit également prendre part à la transformation digitale de l’entreprise et à la mise en œuvre d’une stratégie de cybersécurité, sur tous les types de risques. A commencer par la sécurisation des paiements émis par l’entreprise.
Prenez contact avec un de nos experts afin d’échanger avec un professionnel de la finance d’entreprise.