831. C’est le nombre d’intrusions relevées par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) dans son Panorama des Cybermenaces pour l’année 2022. C’est aussi plus de 30 incidents de sécurité majeurs auxquels ont été confrontés les experts cybersécurité de Wavestone (rapport du CERT-Wavestone 2022, Computer Emergency Response Team).

831

cyberattaques
en 2022


Dans ce contexte de niveau d’incidents élevé, comment la Direction Financière contribue-t-elle en matière de cybersécurité ?

Les cybermenaces évoluent avec le temps : elles sont au départ des risques dont il faut se prémunir, puis deviennent des attaques qu’il faut endiguer lorsqu’elles se déclarent, tout en tirant des enseignements.

Les attaques informatiques restent largement motivées par l’attrait financier et prennent la plupart du temps la forme de ransomware. Trois quarts d’entre elles sont dites “opportunistes”, car elles ne ciblent pas un type d’organisation en particulier.

Cependant, nous observons d’une part que les grands groupes qui ont pu réaliser les investissements nécessaires pour se protéger sont ceux qui s’en sortent le mieux. D’autre part, le délai moyen de détection des intrusions a considérablement baissé, passant de 167 jours en 2019 à 35 jours en 2022 (benchmark du CERT-Wavestone).

Les premiers réflexes à adopter pendant une cyberattaque

Lors d’une intrusion avec compromission du système durant laquelle il est décidé de couper les accès au système d’information (SI), les équipes de la Direction des Systèmes d’Information (DSI) se consacrent à la gestion de crise et à la reconstruction du SI. Dans ce cas, les métiers fonctionnels reçoivent pour consigne de fonctionner de manière autonome et sans système d’information afin de permettre à la DSI de se consacrer à la reconstruction du SI. Malheureusement, cette situation peut durer 2 à 3 semaines… voire plus.

Malgré le stress que cela peut générer chez les équipes Finance, notamment en période de planification budgétaire ou de clôture, la Direction Financière devra :

  • Mettre en place une gouvernance de crise spécifique, miroir de celle de la DSI
  • Définir un mode de communication pour animer l’ensemble de la filière Finance
  • Informer les Commissaires Aux Comptes et les partenaires bancaires tout au long de la crise, si nécessaire
  • Evaluer les pertes d’exploitation et cadrer la démarche avec les assureurs

A ce stade, la Direction Financière est face à deux situations possibles :

  • soit elle n’a pas de stratégie définie pour répondre à ce genre de crise, auquel cas, des solutions doivent être trouvées et mises en place dans l’urgence ;
  • soit des modes opératoires dégradés ainsi qu’un plan de reprise d‘activité (PRA) ont été définis en amont.

Dans un tel contexte, il faut définir les priorités, établir les modes opératoires qui permettent d’être effectif en mode dégradé et assurer les liquidités : suivre les encaissements, négocier avec les administrations le paiement des taxes, prioriser les paiements fournisseurs, etc. En parallèle, si les opérations ne sont pas stoppées, il est important de tracer tous les événements de gestion. Une fois le système d’information rétabli, il faudra resynchroniser les flux physiques, les flux dans le système d’information et les flux financiers. Enfin, la séquence dans laquelle les activités Finance sont redémarrées doit faire l’objet d’une coordination avec les équipes de la DSI.

S’il est possible pour les Directions Financières de trouver des solutions dans l’urgence, se préparer aux risques cyber est la meilleure façon de limiter leur impact négatif. Mais dans quel ordre faut-il faire les choses ? Quel(s) sujet(s) faut-il prioriser ?

Idéalement, en amont de la cyberattaque, les Directions Financières devraient avoir anticipé les sujets non exhaustifs cités précédemment afin d’éviter d’agir dans la précipitation :

  • Souscrire à une assurance perte d’exploitation couvrant le risque cyber
  • Préparer les modes opératoires dégradés sans systèmes et prioriser les exercices opérationnels clés
  • Structurer le Plan de Reprise d’Activité (PRA)
  • Participer aux activités de sensibilisation sur les risques cyber et aux exercices de simulation de crise

Après la cyberattaque : tirer des enseignements de la situation vécue

Toute gestion de crise devrait faire l’objet d’une boucle de retour d’expérience combinant les points de vue métier et IS / IT dans une logique d’amélioration continue. Le DAF doit être partie prenante dans la préparation des activités permettant d’améliorer la résilience des équipes métier aux cyberattaques.

Et vous, êtes-vous prêt en cas d’attaque ?