Bilans d’entreprise, résultats comptables, données bancaires, fiches de paies... Les directions financières disposent d’énormément de données sensibles, convoitées par les cybercriminels.
Les directeurs administratifs et financiers accompagnent historiquement la direction générale de leur entreprise pour rendre celle-ci plus agile. Leurs responsabilités ne cessent donc d’évoluer. Cette tendance est d’autant plus accélérée par la numérisation des activités de l’entreprise qui a un fort impact sur le secteur financier. En 2022, les DAF sont donc amenés à traiter un volume d’informations colossal et doivent alors se doter de nouvelles qualifications pour exploiter ces données sensibles. Voici quelques conseils pour protéger l’entreprise et protéger ses données sensibles.
De nombreuses données sensibles transitent par la direction financière
Nombreuses sont les données qui transitent auprès des directions financières. En entreprise, au gré des échanges qu’ils développent avec leur directeur financier, les employés font remonter des données variées. Des bilans financiers jusqu’à la gestion des paies ou des primes de fin d’année, chaque étape génère un fort transit d’informations en ligne, qui sont ensuite stockées numériquement. Ce sont autant de données sensibles dont un pirate informatique pourrait rêver. Ces étapes ouvrent en grand le champ des possibles, depuis la fraude aux prestations jusqu’à la fraude au président, pouvant mettre en péril la santé financière de l’entreprise et de ses employés.
Se prémunir par les procédures et la sensibilisation
Comment se prémunir de cette menace ? Deux types de conseils sont à mettre en avant. Les premiers sont de nature culturelle et visent à agir sur la sensibilisation des employés.
Mettez en place des réflexes autour de vous afin que les directeurs financiers ainsi que les autres employés ne cèdent pas aux premières sollicitations venues. Nous savons en effet que l’hameçonnage fonctionne sur des employés peu sensibilisés. Nous savons également que les cyber-attaquants sont de plus en plus rusés, certains allant même jusqu’à user de deepfakes vocaux – des outils d’intelligence artificielle utilisant la technique du clonage vocal – afin de se faire passer au téléphone pour des employés ou des prestataires. Sachez donc apprécier toute sollicitation et posez-vous les bonnes questions avant d’agir : est-il normal que cette personne me demande d’effectuer telle action en oubliant au passage les procédures en vigueur ? Prenez l’habitude de confirmer un ordre inhabituel en appliquant des mesures convenues à l’avance, connues de vous seuls. Pour faire face aux situations imprévues, entrainez-vous et testez les procédures pour les faire évoluer.
Se prémunir par la technique
D’autres moyens de se prémunir sont de nature purement technique. Protégez d’abord votre messagerie, car c’est bien à cet endroit que vont se déclencher les hameçonnages, d’autant plus que celle-ci est de plus en plus collaborative. Pensez également à activer des solutions de sécurité lors de vos réunions en visioconférence. Protégez encore tous les outils qui sont, au sein de votre organisation, connectés et munis de disques durs. Avez-vous pensé à vos imprimantes connectées ? Avez-vous fait attention aux appareils domotiques dans votre bureau ? Dans un cas comme dans l’autre, ces outils sont très utilisés pour faire circuler des informations sensibles.
Attention notamment aux échanges de mails sensibles entre votre messagerie et celles des autres services de l’organisation : vous n’êtes pas du tout certain que l’ordinateur de ce dernier ne soit pas infecté. Réfléchissez également à la mise en place d’une procédure dès lors qu’un nouvel employé intègre votre entreprise. Faut-il placer ces données sur le cloud ou sur un support déconnecté ? Sur ce point, je conseillerais aux directeurs financiers de réaliser le stockage de leurs données sur des outils « froids », c’est-à-dire non connectés à un réseau ou une machine.
Vous l’aurez compris : les données stockées, mais également leur circulation, sont loin d’être anodines. Revisitez l’utilisation de vos outils comme vos pratiques quotidiennes à l’aune des cyber-risques largement présents. Réfléchissez en termes de protection, y compris avec vos confrères et consœurs : comment protéger au mieux vos employés, votre direction et vos clients ?
Les directeurs financiers ont vu leur rôle évoluer ces dernières années et l’analyse des données financières se doit d’être désormais au cœur de leurs priorités. En plus de limiter les risques d’attaques envers leur entreprise, ce nouveau rôle les place en véritables leviers de croissance pour l’entreprise.
Benoit Grunemwald, expert en cybersécurité, ESET France