Nul besoin de palabrer longtemps pour qualifier l’impact du Covid-19 sur les DAF et leurs équipes. Souvent appelés en soutien des décisions stratégiques au cœur de la crise, ils ont dû renforcer le pilotage de la performance. Avec des révisions parfois mensuelles, voire hebdomadaires, à certaines périodes (début de la crise, confinement, déconfinement). Les DAF ont aussi été les garants de la gestion fine de la trésorerie, souvent malmenée autant du côté des clients que des fournisseurs.
Mais 2020 et la pandémie ont aussi fait naître, ou au moins amplifié, une prise de conscience des risques associés à la cybersécurité. À l’occasion du Financium organisé la semaine du 14 au 18 décembre par la DFCG (Association des directeurs financiers et du contrôle de gestion), le cabinet PWC l’a ainsi évoqué dans son étude annuelle des priorités du directeur financier. Le pilotage de la performance et la gestion du cash restent les deux priorités des DAF, sans surprise. Mais le risque cyber, qui mobilise aussi les DAF, grands utilisateurs de cloud et de données sensibles, a donc fait l’objet d’une question spécifique de l’enquête.
La prise de conscience d’une menace croissante
84% des 400 répondants interrogés en ligne ont déclaré que leur entreprise était exposée. Une proportion qui a à la fois réjoui et provoqué l’étonnement des intervenants venus commenter les résultats. « On peut s’interroger sur les 16% restants, a ainsi réagi Laurent Morel, responsable des activités de conseil pour les directions financières de PWC. Soit leur entreprise n’est vraiment pas concernée, et cela paraît très étonnant, soit ils n’ont pas pris conscience de l’ampleur du risque. La pandémie a encore augmenté l’exposition des entreprises avec l’accélération de la digitalisation, du cloud, le télétravail, a continué Laurent Morel. Il est indispensable de résister, de se sécuriser. » L’enquête de PWC montre que pour les DAF, diminuer le risque des cyberattaques passe en priorité par la sensibilisation des équipes, mais aussi par une très forte attente vis-à-vis de la DSI en matière de sécurisation des outils.
"Nous investissons beaucoup dans la formation et la sensibilisation des équipes, mais aussi dans les modèles décisionnels face à ce risque", Franck Lemery, directeur financier chez Legrand.
Informer et former pour prévenir
Les DAF sont bien placés pour mesurer et anticiper l’impact potentiel d’une attaque. Les deux DAF présents en plateau ont clairement fait part de leur inquiétude. Et Judith Hartmann, DGA en charge des finances, de la RSE et de la supervision des entités cotées chez Engie et Franck Lemery, directeur financier chez Legrand ont tout autant été surpris par les 16% de répondants qui ne sentent pas concernés. « Chez Legrand, c’est une préoccupation du quotidien, a insisté Franck Lemery. La menace est exponentielle et l’on voit bien qu’il ne se passe pas un mois sans graves incidents dans les entreprises. Et nos statistiques de malwares et de phishing explosent. » Il suffit d’ailleurs de lire Le Monde Informatique régulièrement pour se rendre compte que, plus que mensuelles, ce sont des attaques quotidiennes qui visent depuis mars 2020 les organisations, quels que soient leur secteur, leur taille, leur localisation. « Nous investissons beaucoup dans la formation et la sensibilisation des équipes, mais aussi dans les modèles décisionnels face à ce risque, a continué le directeur financier de Legrand, avant de préciser que l’entreprise réalisait aussi de gros investissements technologiques pour se protéger.
Des mauvais comportements divisés par deux
« Nous testons nous-mêmes nos réactions au phishing et nous avons divisé par deux les mauvais comportements grâce à la formation des collaborateurs. 90% ont déjà été formés, raconte Franck Lemery ». L’enjeu est tout aussi important chez Engie, comme l’a expliqué Judith Hartmann. « Pour nous aussi, c’est une préoccupation extrêmement forte. D’autant plus forte au fur et à mesure que nous passons en digital. Et il est très important de sensibiliser les équipes, car la plupart des erreurs sont d’origine humaine. C’est souvent un simple clic sur un lien. » Et les deux DAF étaient sur la même longueur d’onde quant à l’indispensable formation qui ne coûte pas cher au point que même les PME doivent s’en emparer. « Ce n’est pas compliqué, a ainsi incité Franck Lemery. Il existe par exemple des formations gratuites en ligne sur le site de l’ANSSI (Agence nationale de la sécurité des systèmes d'information). » Reste à convaincre les 16% de DAF qui ne sentent pas encore concernés.
Commentaire