20 Oct Quel est le rôle de la DAF en matière de cybersécurité ?
De plus en plus nombreuses, de plus en plus dangereuses, les cyberattaques touchent toutes les entreprises. Comment les directions financières doivent-elles s’adapter pour faire face aux cyber-risques aujourd’hui et, demain, répondre aux nouvelles exigences en matière de protection de données ?
Quelles sont les bonnes pratiques à mettre en place au sein des DAF pour limiter les risques ?
80 % des incidents ont pour origine une erreur humaine. Le DAF doit donc sensibiliser ses équipes aux risques grâce à des règles simples (verrouillage de la session en cas d’absence, politique de changement des mots de passe, analyse par le service informatique d’une clé USB trouvée avant de l’introduire dans l’ordinateur, vigilance quant aux pièces jointes non identifiées, mise à jour régulière des antivirus…). C’est du bon sens.
Il faut être également vigilant sur l’utilisation des réseaux sociaux par les équipes financières (annonce des absences, des fonctions dans l’entreprise…). En effet, aujourd’hui, avec l’utilisation des réseaux sociaux, il est possible d’établir une cartographie claire et détaillée du fonctionnement d’une entreprise. Les fonctions financières ont un devoir de réserve.
Ensuite, la sécurité doit être démystifiée et l’absence de mesures simples connues peut être considérée comme une négligence.
Mettre en place un système de cybersécurité n’est pas forcément coûteux. Un budget de 10 000 € permet de mettre en place une couverture d’environ 50 % du risque et 100 000 € permettent d’en couvrir 70 à 80 %.
Il est ainsi recommandé d’avoir deux sauvegardes (une en interne et une en externe) et de les tester régulièrement. Faire des pentests (tests d’intrusion) est également une bonne pratique : une entreprise spécialisée dans la cyber-sécurité intervient pendant 2 ou 3 jours pour établir un diagnostic sécurité et mettre en évidence les zones de risques (nombreuses sont les entreprises qui sont visitées à leur insu).
Il est important de valider la qualité des prestataires informatiques par l’obtention des certifications ISO 27001 (norme de système de gestion de la sécurité de l’information) et PCIDSS (norme de sécurité de l’industrie des cartes de paiement).
Comment établir une cartographie des cyber-risques ?
Les cyber-risques appartiennent à une cartographie globale des risques de l’entreprise. Les étapes sont les suivantes :
1. Inventorier les risques.
2. Les valoriser en fonction de leur gravité et en fonction de leur probabilité.
3. Mettre des parades face à ces risques : élimination du risque, limitation des effets ou révision du process concerné.
4. Identifier s’il reste des points critiques.
5. Réviser annuellement la cartographie ainsi établie.
La cartographie des risques constitue un document sensible réservé au comité de direction.
Article complet :
http://www.efl.fr/actualites/affaires/biens-de-l-entreprise/details.html?ref=R-17eb9d81-e4a4-49a9-a3db-b999973c6146
No Comments