Nous évoquions dans un précédent article la problématique du risque cyber, soulignant notamment son coût élevé – pour les grandes sociétés comme les PME – et la méconnaissance dont il fait l’objet au sein des entreprises. Les pertes financières peuvent être multiples : amendes, enquêtes techniques, actions de relations publiques, sécurisation post-intrusion, frais de justice éventuels. Outre les diminutions de trésorerie et CA, ces attaques cyber se traduisent également par une hausse du cout des assurances : suite à la recrudescence de menaces de type « ransomware », les cyber-assurances ont en effet enregistré des pertes importantes au cours des dernières années.
D’après la société Beyond Trust, le montant moyen des rançons demandés aux entreprises est passé de 115 000 dollars en 2019 à 570 000 dollars au premier trimestre 2021. Le prix du risk management en entreprise s’envole donc, les assureurs adaptant les primes à l’ampleur de la menace. Selon le courtier Willis Towers Watson, « La hausse des primes, pour les grands comptes sans sinistre préalable, est comprise entre 50 et 150% sur un an. Et bien au-delà, quand l’entreprise a déjà subi une cyberattaque ». Pour les PME, la hausse oscille entre 20 et 50%, le courtier Marsh enregistrant pour sa part une hausse moyenne située autour des 40 à 45%… Certaines compagnies d’assurance ont même fait le choix du désengagement, Generali et Axa ne garantissant plus les rançons payées par les entreprises suites aux cyberattaques.
Les compétences du directeur administratif et financier (DAF) lui permettent ici de déterminer si une assurance spécifique est nécessaire, et de choisir le contrat adapté à ses clients.
Le pilotage financier de l’entreprise doit permettre la sécurisation de sa trésorerie et de son patrimoine en général. L’action du directeur administratif et financier consiste donc à fournir aux sociétés les outils nécessaires à leur protection face aux risque cyber, incluant bien sûr une police d’assurance adaptée. Le DAF externe va notamment accompagner l’entreprise dans la mise en place des mesures de cyber sécurité qui correspondent aux conditions des assureurs. Il doit également s’assurer que le budget consacré au risk management s’adapte aux besoins de la société : selon de nombreux experts en cybersécurité, la correcte gestion de ce risque nécessite 5 à 10 % du budget informatique.
Là encore l’action du DAF passe en premier lieu par la réalisation d’un audit nécessaire à l’évaluation du risque cyber, en tenant compte des spécificités de l’entreprise et de son activité. Après avoir établi une cartographie des risques – qui sera transmise à la direction – le DAF pourra mettre en place d’éventuelles actions correctives et adapter les process internes de l’entreprise à la réalité du risque cyber. Souscrire une assurance contre ces risques peut permettre de compléter les couvertures traditionnelles en matière de dommages, pertes (frais de reconstitution des données) et responsabilités, et de débloquer les sommes nécessaires au redémarrage de l’activité dans les plus brefs délais. L’expertise du DAF externe lui permet ici d’agir comme intermédiaire auprès des assureurs, et de négocier la signature d’un contrat d’assurance à même de protéger efficacement le patrimoine social de ses clients
La digitalisation des entreprises et la mutation de l’économie ont favorisé la diffusion de nouvelles menaces, PME et grands comptes étant désormais concernés par les enjeux de la cybersécurité. Si le conflit ukrainien fait redouter à certains observateurs une multiplication des attaques cyber, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) estimait déjà en 2021 que celles-ci avaient augmenté de 400 % au cours des 5 dernières années.
Le site du Sénat rappelle également que dans une étude de 2020 consacrée à 1 971 sociétés faisant face à des cyber-incidents et des failles dans le monde, « l’assureur britannique Hiscox évalue le coût médian à 51 200 €, soit près de six fois le coût observé en 2019 (9 000 €), avec un coût total de 1,6 milliard € contre 1,1 milliard € en 2019, et un nombre de société attaquées près de 33 % supérieur. » Pourtant le risque cyber et son impact financier demeurent méconnus et sous-estimés par de nombreuses entreprises, seules 43 % d’entre elles pouvant en dresser une évaluation. En sa qualité de risk manager, le DAF externe doit donc désormais être à même de prendre en considération cette nouvelle menace pouvant sérieusement porter atteinte au patrimoine de l’entreprise et à la pérennité de son activité.
La cybersécurité peut revêtir de multiples aspects, le risk management se portant ici sur différents outils technologiques : le rôle du DAF consiste avant tout à déterminer quelles sont les « zones à risques » au sein de l’entreprise. Il faut notamment considérer les systèmes de messagerie, en particulier les plates-formes collaboratives intranet ou extranet susceptibles de faire l’objet de tentatives de phishing ou de piratage. A l’heure où les entreprises se connectent toujours plus – à l’information, à leur clientèle, aux entre entreprises etc. – à travers la Wi-Fi, la domotique ou l’IoT, c’est un véritable audit technologique qu’il faut ici mener pour mettre en relief les outils insuffisamment protégés.
La sécurisation des données – que l’on considère leur stockage ou leur circulation – impose une protection étendue à l’ensemble de l’entreprise (direction, prestataires et salariés) mais également aux clients : ces derniers doivent en effet pouvoir faire confiance au professionnel avec lequel ils sont en relation commerciale. L’autre levier essentiel face au risque cyber réside évidemment dans la formation du personnel de l’entreprise. Les fraudes et hameçonnages prenant des formes de plus en plus subtiles, le DAF externe doit accompagner la direction dans la mise en œuvre de campagnes de sensibilisation efficaces et régulièrement mises à jour : souvenez-vous que vos salariés et collaborateurs forment la première barrière entre la cyberattaque et votre entreprise !