Le rôle du directeur financier (CFO) a considérablement changé pour s’adapter à la mutation numérique du monde. Alors que leurs principales responsabilités étaient axées sur l'interne, notamment pour l’équilibre des comptes et le contrôle des frais généraux, de nombreux directeurs financiers sont aujourd’hui de véritables acteurs de la cybersécurité. Cet intérêt a grandi ces dernières années car la cybersécurité a un impact directement relié à deux domaines essentiels au directeur financier : la productivité et la viabilité de l'entreprise.

Aujourd’hui, toutes les entreprises présentent une dimension numérique. Les performances financières sont ainsi fortement liées à un écosystème numérique alimenté par internet et le cloud. Des investissements importants sont dédiés à la protection des données dans le cloud qui sont aussi riches que sensibles. C’est pourquoi le directeur financier s'intéresse de plus en plus à l'atténuation des risques et à l'amélioration de la productivité de l'entreprise.

Les conséquences des cyberattaques

Les directeurs financiers cherchent à atténuer les risques liés aux activités de l’entreprise et consolider les résultats financiers pour en assurer la prospérité. Cependant, la réalisation de ces objectifs peut être mise en péril en cas de cyber attaque. Une étude récente révèle qu’en moyenne une attaque par ransomware coûte 1,1 million de dollars à une entreprise et que de nouvelles attaques et tentatives d'extorsion restent possibles après le paiement de la rançon. Elles sont d’ailleurs de plus en plus sophistiquées et leur impact financier peut être dévastateur, comme lors des récentes attaques de Log4j.

Autre exemple, en 2017, la violation de données de 147 millions de personnes avait coûté 700 millions de dollars à la société de crédit Equifax. L’agence américaine de protection du droit de la consommation, la Federal Trade Commission (FTC), a depuis publié un article rappelant aux entreprises qu'elles ont un "devoir légal de prendre des mesures raisonnables pour atténuer les vulnérabilités logicielles connues.". Elle ajoute qu'il pourrait y avoir des pénalités pour "les entreprises qui ne prennent pas de mesures suffisantes pour protéger les données des consommateurs contre les risques d’exposition à la suite de Log4j, ou des vulnérabilités connues similaires à l'avenir." Le directeur financier ne doit donc pas seulement s'intéresser au coût d'un incident de sécurité, mais aussi au coût de la conformité si son entreprise ne prend pas les mesures appropriées pour réduire les risques.

De plus, le directeur financier doit se préoccuper des atteintes à la réputation. En effet, après une violation, l’inquiétude des consommateurs quant à la sécurité de leurs données personnelles s’accroît et se répercute sur les entreprises qui ne sont pas toujours en mesure de rétablir un lien de confiance.

Rester productif

Après avoir constaté une violation de données, le directeur financier examine l'impact de la propriété intellectuelle volée. Néanmoins, la perte financière relève plutôt du temps d'arrêt des systèmes critiques et du manque de productivité pendant la panne. Les failles technologiques et le processus de gestion des risques de l'organisation apparaissent alors au grand jour. Il faut ensuite se demander quels sont les outils utilisés par l’entreprise, quels processus internes sont mis en place et comment résoudre le plus efficacement possible le problème avant qu’il n’empire. C’est à ce moment que le directeur financier entre en jeu pour évaluer les processus et les outils.

Les entreprises sont actuellement fragilisées par la pénurie de professionnels de la sécurité. L'ajout des enjeux de cybersécurité dès la phase de développement aide à réduire les risques et les investissements dans les outils de sécurité tout en améliorant les processus au sein des équipes informatiques internes. Auparavant, les développeurs créaient des applications avant de les soumettre pour vérification aux équipes de sécurité, qui renvoyaient ensuite le code si besoin de modification ou les transmettaient directement à l'équipe opérationnelle qui en assurait le déploiement. Cependant, ce modèle n’est plus adapté au rythme de développement des entreprises modernes. Il crée des goulots d'étranglement, diminue la productivité, ralentit l'innovation et génère de la frustration.

Pour répondre à ces mutations, un nouveau modèle de développement des applications plus agile qui confie la responsabilité de la sécurité aux développeurs dès l’écriture du code jusqu’à son exploitation émerge : le DevSecOps. En intégrant les enjeux de sécurité à chaque étape du cycle de vie du développement logiciel, ce nouveau modèle réduit les failles de sécurité, et les rend également plus facilement détectables et corrigeables.

Les directeurs financiers face aux enjeux de cybersécurité

Les directeurs financiers doivent être pleinement impliqués dans les discussions autour de la cybersécurité afin de pouvoir suivre les actions destinées à atténuer les risques, s'assurer que les investissements technologiques sont rentables et examiner les processus internes afin que l’entreprise puisse les optimiser au mieux.

Pour aider le directeur financier dans la gestion des risques, il est important de maintenir à jour une base de données qui recense les vulnérabilités et les solutions pour y remédier. L'analyse automatisée accroît la sécurité des logiciels, réduisant le risque de violation des données, ainsi que les perturbations commerciales et les atteintes à la réputation qui en découlent, tout en permettant des gains de productivités très importants.

Les directeurs financiers doivent prêter attention à la façon dont sont structurées les équipes de sécurité interne afin d’optimiser leurs tâches et favoriser la transmission de connaissances. Auparavant, renforcer les équipes de sécurité pouvait s'avérer très compliqué et coûteux mais aujourd’hui, les développeurs sont habilités à traiter la plupart des problèmes de sécurité. Cela permet aux équipes de sécurité internes de se concentrer sur des problèmes à plus grande échelle, tels que les problèmes de sécurité non techniques liés à la gouvernance. Elles peuvent en outre dédier plus de temps à la formation des développeurs aux pratiques de sécurité. Enfin, cette approche DeSecOps aide le directeur financier à avoir de la visibilité sur l’ensemble de l’écosystème pour s’assurer que les opérations commerciales sont sûres et que l'entreprise peut prospérer.