En 2022, les DAF sont donc amenés à traiter un volume d’informations colossal et doivent alors se doter de nouvelles qualifications pour exploiter ces données sensibles.

Benoit Grunemwald Expert en Cyber sécurité, chez ESET France nous dévoile quelques conseils pour protéger l’entreprise et protéger ses données sensibles :

De nombreuses données sensibles transitent par la direction financière

Nombreuses sont les données qui transitent auprès des directions financières. En entreprise, au gré des échanges qu’ils développent avec leur directeur financier, les employés font remonter des données variées. Des bilans financiers jusqu’à la gestion des payes ou des primes de fin d’année, chaque étape génère un fort transit d’informations en ligne, qui sont ensuite stockées numériquement.

Ce sont autant de données sensibles dont un pirate informatique pourrait rêver. Ces étapes ouvrent en grand le champ des possibles, depuis la fraude aux prestations jusqu’à la fraude au président, pouvant mettre en péril la santé financière de l’entreprise et de ses employés.

Se prémunir par les procédures et la sensibilisation

Comment se prémunir de cette menace ? Deux types de conseils sont à mettre en avant. Les premiers sont de nature culturelle, et visent à agir sur la sensibilisation des employés.

Mettez en place des réflexes, autour de vous, afin que les directeurs financiers ainsi que les autres employés ne cèdent pas aux premières sollicitations venues. Nous savons en effet que l’hameçonnage fonctionne sur des employés peu sensibilisés.

Nous savons également que les cyber-attaquants sont de plus en plus rusés, certains allant même jusqu’à user de deepfake vocaux – des outils d’intelligence artificielle usant la technique du clonage vocal – afin de se faire passer au téléphone pour des employés ou des prestataires.

Sachez donc apprécier toute sollicitation, et posez-vous les bonnes questions avant d’agir : est-il normal que cette personne me demande d’effectuer telle action en oubliant au passage les procédures en vigueur ?

Prenez l’habitude de confirmer un ordre inhabituel en appliquant des mesures convenues à l’avance, connues de vous seuls. Pour faire face aux situations imprévues, entrainez-vous et testez les procédures pour les faire évoluer.

Se prémunir par la technique

D’autres moyens de se prémunir sont de nature purement technique. Protégez d’abord votre messagerie, car c’est bien à cet endroit que vont se déclencher les hameçonnages – d’autant plus que celle-ci est de plus en plus collaborative.

Pensez également à activer des solutions de sécurité lors de vos réunions en visioconférences. Protégez encore tous les outils qui sont, au sein de votre organisation, connectés et munis de disques durs. Avez-vous pensé à vos imprimantes connectées ? Avez-vous fait attention aux appareils domotiques dans votre bureau ? Dans un cas comme dans l’autre, ces outils sont très utilisés pour faire circuler des informations sensibles.

Attention notamment aux échanges de mails sensibles entre votre messagerie et celles des autres services de l’organisation : vous n’êtes pas du tout certain que l’ordinateur de ce dernier ne soit pas infecté.

Réfléchissez également à la mise en place d’une procédure dès lors qu’un nouvel employé intègre votre entreprise. Faut-il placer ces données sur le Cloud ou sur un support déconnecté ? Sur ce point, je conseillerais aux directeurs financiers de réaliser le stockage de leurs données sur des outils « froids », c’est-à-dire non connecté à un réseau ou machine.

Vous l’aurez compris : les données stockées, mais également leur circulation, sont loin d’être anodines. Revisitez l’utilisation de vos outils comme vos pratiques quotidiennes à l’aune des cyber-risques largement présents. Réfléchissez en termes de protection, y-compris avec vos confrères et consœurs : comment protéger au mieux vos employés, votre direction et vos clients ?

Les directeurs financiers ont vu leur rôle évoluer ces dernières années et l’analyse des données financières se doit d’être désormais au cœur de leurs priorités. En plus de limiter les risques d’attaques envers leur entreprise, ce nouveau rôle les place en véritables leviers de croissance pour l’entreprise.