Jadis dirigées vers les grands groupes, les cyberattaques se sont muées, ces dernières années, en une menace beaucoup plus globale. Tout récemment, cette évolution a pu être une nouvelle fois constatée : l’an dernier, une entreprise française sur quatre a subi une attaque informatique avérée, et une sur cinq au moins dix tentatives de cyberagression, selon le dernier baromètre d’Euler Hermes sur les risques de fraude publié la semaine dernière.

Les PME subissent de plein fouet cette mutation, puisqu’elles représentent aujourd’hui, selon Deloitte, 70 % des entreprises visées par les hackers. «Ces structures sont intrinsèquement plus fragiles que les entreprises de taille importante, car, contrairement à ces dernières, elles se dotent rarement de dispositifs ou de plans orchestrés de prévention et de gestion des risques, a fortiori cyber», indique Gérôme Billois, directeur de la practice cybersécurité chez Wavestone. De surcroît, une minorité d’entre elles disposent de responsables ou de directeurs des systèmes d’information (RSSI-DSI) capables d’anticiper et de réagir face au risque numérique.

Maîtriser des connaissances pointues

Dans un tel contexte, c’est donc bien souvent aux directeurs financiers de ces entreprises qu’échoit cette responsabilité. «Cette mission leur incombe naturellement – et presque fatalement –, puisqu’ils prennent plus largement en charge le contrôle de gestion et la prévention des risques traditionnels, souligne Mikaël Deiller, directeur finance et comptabilité chez Michael Page. Plus que les autres membres du Comex, ils disposent également d’une vision transverse des process de la société qui légitime, d’une certaine façon, cette attribution.»

Longtemps, les responsables financiers n’ont pas mesuré l’importance de l’enjeu cyber, ou bien se sont contentés d’assumer leur nouveau rôle avec pour seules armes leur bagage juridique et financier. Mais les temps ont changé. Sous l’effet de la recrudescence, de la complexification et de l’aggravation des attaques, un nombre croissant d’entre eux entreprennent désormais de se former aux enjeux et ressorts de la cybersécurité. «Cette recherche de perfectionnement, graduelle selon les cas, s’échelonne de la simple connaissance des réflexes et bonnes pratiques à mettre en œuvre dans le cadre de la cyberprotection à l’acquisition de connaissances informatiques et réglementaires très poussées», note Philippe Trouchaud, partner cybersécurité chez PwC.

Pour une grande part, cette mise à niveau est entreprise auprès de prestataires indépendants et de cabinets de conseil spécialisés. «Souvent, ces experts sont sollicités pour des missions opérationnelles – implémentation de nouveaux éléments dans l’architecture informatique de l’entreprise, installation de correctifs, colmatage de brèches, recherche d’éventuelles intrusions ou réparation de dégâts – qui débouchent, par la suite, sur des missions de sensibilisation», indique Gérôme Billois.

Se former pour former

De même, les organismes étatiques dédiés, comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Programme d’assistance et de prévention du risque numérique (ACYMA) sont de plus en plus sollicités par les responsables financiers. Les contenus consultés vont des simples guides de bonnes pratiques aux cours en ligne (MOOC), beaucoup plus circonstanciés. Ainsi, la SecNumAcadémie, MOOC lancé par l’ANSSI en 2017, a été consultée par près de 40 000 apprenants depuis sa création, «dont une part significative de responsables financiers d’entreprises», selon un porte-parole de l’Agence. De même, ces cadres se tournent de plus en plus vers les formations proposées par les établissements d’enseignement supérieur, à l’image de l’Institut des hautes études de défense nationale (IHEDN), qui propose depuis plusieurs années des cycles de formation dédiés à la cybersécurité dans les TPE/PME. Ces sessions peuvent durer de quelques jours à plusieurs semaines, et leurs prix s’échelonnent de quelques centaines à plusieurs milliers d’euros. «Originellement, celles-ci étaient davantage fréquentées par des chefs d’entreprise. Aujourd’hui, il n’est plus du tout rare d’y voir des financiers», témoigne le porte-parole de l’un de ces établissements.

En se formant, les responsables financiers disposent d’armes mieux affûtées pour, ensuite, eux-mêmes former. Et ce rôle semble leur tenir à cœur, puisque, selon PwC, toutes tailles d’entreprises confondues, près de la moitié affirment avoir pour ambition, en 2019, de sensibiliser leurs collaborateurs (contrôleurs de gestion, auditeurs, fiscalistes, risk managers, etc.) à la cybermalveillance. Certains, y compris dans les PME, particulièrement échaudés par des tentatives de cyberdéstabilisation répétées, ont même mis en place des sessions de sensibilisation régulières et obligatoires, sous forme de sessions digitales, de conférences ou d’ateliers pratiques. «Les directeurs financiers, évoluant à la croisée des fonctions de l’entreprise, sont légitimes pour superviser ces programmes de formation en l’absence d’un DSI», relève Mikaël Deiller.

Si l’acquisition de nouvelles compétences représente une opportunité pour les responsables financiers et permet à de nombreuses entreprises ne disposant pas de capital humain formé spécifiquement à la question cyber de gérer ces risques tant bien que mal, elle ne saurait être suffisante face aux cybermenaces. «La cybersécurité est un champ d’étude à part entière, extrêmement technique et évolutif, qui nécessite des compétences approfondies et homologuées par de longues années d’expérience, avertit un professionnel. Le recrutement de spécialistes aguerris et spécifiquement formés doit rester la priorité des entreprises.» Pas sûr que ce vœu ne se réalise à court terme : selon Deloitte, à peine un quart des entreprises interrogées l’an dernier projetaient de recruter un DSI en 2019.