Cybersécurité: Où est la place du CFO ?

La finance est l’un des domaines les plus vulnérables aux attaques informatiques. Le CFO doit se familiariser avec les nouvelles questions de sécurité informatique et maîtriser les cadres juridiques en fonction de son modèle commercial... Une tâche presque impossible. Quelles en seront leurs conséquences sur leur pouvoir décisionnel en termes d’intégration de la technologie et de facilitation de l'utilisation des données à l’échelle de l’entreprise ?

Nos interviews avec des CFO de PME et grands groupes ont révélé quatre façons principales d’aborder la cybersécurité.
 

On compte plus d’un million de cyberattaques par jour. La plupart de ces attaques échouent, et rares sont celles qui ont les effets dévastateurs de Wannacry, le ransomware bien connu qui a infecté des millions d’ordinateurs dans 150 pays l’année dernière. Mais les attaques de moindre envergure peuvent elles aussi avoir un impact important sur l’infrastructure des entreprises et, évidemment, entraîner des coûts élevés.

Les CFO savent qu’ils ont un rôle important à jouer face à ce défi : « La cybersécurité fait partie des toutes premières priorités », explique Jose Silva, CFO de la banque d’investissement Morgan Stanley. « Il ne suffit pas d’installer une mise à jour de sécurité et d’en être quitte pour 15 ans. Nous devons rester vigilants et évaluer notre performance en permanence. »

Mais la question reste : quel est le rôle particulier du CFO dans ce processus ?

Le scientifique : fixer la priorité des besoins de protection

La plupart des CFO qui ont participé à l’étude s’accordent à dire qu’une bonne compréhension de la gestion des données est essentielle. Un CFO qui souhaite jouer réellement son rôle aujourd’hui doit savoir filtrer les données critiques et confidentielles et définir les priorités pour la protection de l’entreprise.

« La capacité à comprendre réellement ce que l’on peut faire avec des spécialistes des données et à réfléchir de manière stratégique à l’utilisation des données massives dans la finance est très importante », affirme Philippe De Briey, CFO Europe de la multinationale des biotechnologies Monsanto.

Avec l'augmentation des violations des données, les CFO doivent se montrer proactifs et travailler en partenariat avec des experts informatiques. Cette exposition constante fait qu’il est de plus en plus important pour les CFO de s’y connaître en technologie.

Comme l'explique Andrea Wesson, CFO de l’entreprise ferroviaire Eversholt Rail : « Je suis personnellement responsable de faire en sorte que les systèmes de cybersécurité et de sécurité des données de nos fournisseurs soient bien adaptés. » Du point de vue du scientifique, le CFO devrait être familier avec les questions de sécurité informatique et ce, idéalement, dans le cadre de plusieurs systèmes juridiques.

L’ingénieur : assurer le respect des procédures

Ce n'est toutefois qu’une partie du rôle du CFO en matière de protection des données. En général, le risque le plus important ne réside pas dans le système informatique lui-même, mais dans les employés qui l’utilisent. « Peu importe le nombre de pare-feu et de mots de passe, le comportement inadapté de n’importe quel membre du groupe peut mettre en danger tout ce que nous essayons de protéger avec ces outils », affirme Thiago Oliveira, CFO de la société immobilière JHSF.

Dans une approche typique de l’ingénieur, Oliveira ne peut pas trop insister sur l’importance de systèmes au fonctionnement fluides et pleinement adoptés par les employés ; « Le respect par le personnel des procédures liées aux systèmes est essentiel pour protéger les informations et réduire le risque de cyberattaques. »

Le coach : enseigner la vigilance

Dans son rôle de coach, la formation du personnel aux risques des cyberattaques et aux mesures de prévention est désormais l’une des priorités de chaque CFO.

« Nous devons apprendre à nos employés à se montrer vigilants », explique Bob Braasch, CFO de la banque d’investissement Marathon Capital, « parce que les menaces qui pourraient nous nuire commenceront par quelqu’un qui envoie un virus par inadvertance dans un document, ce qui permettrait au virus d'accéder à notre système.  Tout commence vraiment par l’éducation au niveau individuel. »

Le pilote : trouver des stratégies pour protéger la vie privée

De plus en plus d’organisations surveillent l’utilisation de données par leurs employés afin de renforcer la cybersécurité, mais cette surveillance a un coût, et pas uniquement financier.

« Je pense que, pour la plupart des entreprises, le plus grand défi est de respecter la vie privée alors que chaque employé fait l’objet d’un suivi permanent. Je me lève chaque matin en me posant cette question », explique Oliveira.

Il faut trouver une solution adéquate sans nécessairement rentrer dans les détails opérationnels. Il s'agit d’un équilibre délicat mais nécessaire : « Il est facile pour un employé d’envoyer un e-mail contenant les chiffres de rémunération de notre entreprise », explique Eugene Low, CFO du cabinet de conseil Mercer, « mais j’ai confiance dans mon équipe informatique, mon équipe juridique, ils savent ce qu’ils font.  Et d’après ce que je vois, la situation est sous contrôle. Je ne peux pas rentrer dans les détails. En tant que CFO, il faut choisir ses combats. »

Certains pensent que le défi de la cybersécurité prendra finalement une trop grande envergure pour l’équipe du CFO. Comme l’observe David List, CFO de l'entreprise de transferts de fonds en ligne Conotoxia : « Je ne serais pas surpris qu’à l'avenir, un nouveau rôle apparaisse au niveau du conseil exécutif. Tôt ou tard, nous verrons apparaître des responsables de la cybersécurité aux conseils d’administration. »

Principaux enseignements

• La finance est l’un des domaines les plus vulnérables aux attaques informatiques, et les CFO doivent donc s'impliquer dans la gestion de la cybersécurité
• Le CFO doit être familier des questions de sécurité informatique et ce, idéalement, dans le cadre de plusieurs systèmes juridiques
• Les CFO doivent former les employés de l’entreprise pour faire en sorte qu’ils respectent les règles
• Le défi de la cybersécurité pourrait devenir tellement compliqué qu’il entraînera la création d’un nouveau rôle au conseil d’administration

Télécharger le rapport complet

Pour en savoir plus sur les autres défis clés du CFO pour 2018

Retournez aux défis du CFO et le Leadership Financier