Les DAF et la cybersécurité : une relation désormais stratégique

La cybersécurité n’est pas qu’un sujet IT. C’est un risque financier, opérationnel et réputationnel. Les attaques se multiplient. Les coûts grimpent. Les régulateurs durcissent le ton. Les directions financières ne peuvent plus regarder ça de loin. Elles doivent piloter l’investissement, cadrer le risque et co-animer la réponse avec le RSSI. ( enisa.europa.eu)

 

Pourquoi le DAF est concerné

Une cyberattaque coûte. Directement et indirectement. En 2024, le coût moyen mondial d’une violation de données a atteint 4,88 M$ selon IBM. Le secteur financier dépasse 6 M$. Ces montants incluent remédiation, interruption d’activité, pertes commerciales et amendes. Pour un comité de direction, c’est un P&L à part entière, pas une ligne annexe. (IBM)

Le risque n’est pas théorique. Le paysage des menaces évolue vite : disponibilité des services visée, ransomware, exfiltration de données. L’ENISA place ces scénarios au cœur des incidents observés en Europe. Traduction concrète pour la finance : pertes de revenus, cash immobilisé, dégradation du besoin en fonds de roulement, hausse des primes d’assurance, et parfois sanctions. (enisa.europa.eu)

Un cadre réglementaire qui vous met en première ligne

En Europe, NIS2 élargit le périmètre d’entreprises concernées et impose des exigences de gestion des risques, de reporting et de gouvernance. Les États membres devaient transposer la directive au 17 octobre 2024. Beaucoup sont en retard, mais la pression juridique est là. Pour un DAF, cela signifie budget, preuves et suivi. (ECSO)

Dans la finance, DORA est déjà applicable depuis le 17 janvier 2025. Il impose des exigences d’exercices, de gestion des prestataires critiques, d’incident reporting et de tests. Là encore, le DAF et la cybersécurité pilote une partie des arbitrages : contrats, dépendances tierces, seuils d’appétence au risque, et financement des plans. (EIOPA)

Le facteur humain et la fraude : un sujet trésorerie

La « fraude au président » et les fraudes au virement restent des menaces majeures. Les attaquants exploitent l’ingénierie sociale et, de plus en plus, les deepfakes. Des cas médiatisés ont montré des virements massifs déclenchés sur la base de visioconférences falsifiées. Pour la trésorerie, l’enjeu est clair : sécuriser les circuits d’ordonnancement et de validation. (The Guardian)

Les attaques de type BEC (Business Email Compromise) progressent en Europe. Plusieurs analyses signalent une hausse marquée entre 2023 et 2024. Cela impose des contrôles renforcés sur la chaîne fournisseur, la séparation des tâches et la confirmation hors bande des changements de RIB. (Hoxhunt)

Bonne nouvelle, certains indicateurs de fraude aux moyens de paiement en France reculent, grâce à la sensibilisation, au scoring et à de nouvelles obligations d’authentification. Cela prouve que les investissements ciblés paient. Mais la menace se déplace vite. (Le Monde.fr)

DAF–RSSI : un duo à organiser

Le RSSI gère la technique. Le DAF gère la valeur, les risques et le temps. Ensemble, ils doivent :

1. Chiffrer les scénarios
   Évaluez le coût d’un arrêt de production d’un, trois, sept jours. Chiffrez la perte de marge, le coût du rétablissement, la pénalité contractuelle. Utilisez ces chiffres pour prioriser les contrôles et justifier les CAPEX/OPEX de sécurité. Appuyez-vous sur des benchmarks sectoriels pour situer vos ordres de grandeur. (IBM)
2. Intégrer le cyber au risk management
   Inscrivez les risques cyber dans la cartographie d’entreprise. Définissez l’appétence au risque avec le comité d’audit. Reliez chaque contrôle clé à un scénario financier. Calez les seuils d’alerte sur des impacts mesurables.
3. Aligner budget et risques réels
   Évitez l’arrosage. Financez en priorité : sauvegardes immuables et tests de restauration, segmentation réseau, MFA partout, gestion des identités et des droits, patching, EDR/XDR, sécurisation des accès tiers, et entraînement phishing. Ce sont les postes qui réduisent le plus la perte attendue. (enisa.europa.eu)
4. Cadencer la continuité d’activité
   Testez la reprise. Mesurez des RTO/RPO réalistes. Vérifiez l’ordre de redémarrage des applications critiques finance, paie, facturation, achats. Simulez un blocage de trésorerie avec coupure des accès bancaires. Branchez la communication de crise.
5. Sécuriser la chaîne fournisseurs
   Cartographiez les dépendances critiques (ERP, paie, facturation électronique, TMS, banques, infogérance, cloud). Vérifiez clauses contractuelles, réversibilité, exigences DORA/NIS2 et preuves d’audit. Ajustez les limites de paiement et les contrôles en conséquence. (EIOPA)

Assurance cyber : utile mais pas un substitut

L’assurance ne remplace pas les contrôles. Le marché durcit. Les assureurs exigent preuves de maturité, formation, MFA, sauvegardes testées, plan de réponse. Les primes et franchises varient fortement selon ces éléments. Anticipez les exigences pour éviter refus de couverture ou exclusions. (EIOPA)

Ciblez une police qui couvre : coûts de crise, expertise forensique, remise en état, interruption d’activité, extorsion, responsabilité RGPD, et assistance communication. Vérifiez les limites, les sous-limites ransomwares et les conditions sur les prestataires. Là encore, la coordination DAF–RSSI est clé.

IA et menaces émergentes : adapter les contrôles

L’IA améliore la détection. Elle aide à trier les alertes et à automatiser la réponse. Mais elle arme aussi les attaquants : hameçonnage personnalisé, usurpation vocale et vidéo, accélération du repérage de cibles. Intégrez ces risques dans les politiques de délégation et de validation de paiements. Exigez des validations hors bande et une preuve d’identité forte pour les ordres exceptionnels. Les cas de fraude par deepfake l’ont prouvé. (The Guardian)

Feuille de route pragmatique pour un DAF

• Mesurer : un tableau de bord trimestriel avec trois indicateurs simples. Perte financière attendue, exposition fournisseurs critiques, temps de reprise mesuré.
• Budgéter : fléchez 70 % du budget vers les fondamentaux à ROI clair. Sauvegardes immuables, MFA, EDR/XDR, patch, durcissement AD, gestion des accès tiers.
• Former : ciblez la trésorerie, les acheteurs et la direction. Scénarios concrets. Jeux d’essai de fraude au virement et deepfake.
• Tester : un exercice « ransomware » par an. Un test de restauration par trimestre. Un test « faux RIB » par semestre.
• Contractualiser : clauses DORA/NIS2 dans les contrats critiques. Exigences de sécurité, reporting d’incidents, droits d’audit, réversibilité. (EIOPA)

Comment calcule-t-on le ROI

Prenez un scénario d’arrêt de 3 jours. Estimez la marge perdue, les pénalités et les coûts de remise en état. Comparez avec le coût d’un projet de sauvegardes immuables et de tests trimestriels. Faites la même chose pour MFA universel vs probabilité d’un compte compromis donnant lieu à paiement frauduleux. Ce sont des arbitrages quantifiables. Les études de coûts de brèche donnent les ordres de grandeur initiaux. (IBM)

Conclusion

La cybersécurité est un sujet financier. Elle pèse sur le cash, la marge, l’assurance et la conformité. Le DAF doit co-piloter la stratégie avec le RSSI. Le cadre européen l’exige. Le marché l’attend. Les chiffres le confirment. En traitant le cyber comme un risque d’entreprise, en finançant les fondamentaux, en testant la reprise et en sécurisant la chaîne fournisseurs, la fonction finance transforme un risque diffus en levier de résilience mesurable. (enisa.europa.eu)

Note : ce texte s’appuie sur les rapports ENISA, IBM et les cadres NIS2/DORA, ainsi que sur des analyses publiques de fraudes et deepfakes récents. (enisa.europa.eu)