Cybercriminalité : une menace pour la fonction finance ?
La cybercriminalité est un phénomène que chacun a pu observer à l’aune des différentes publications dont la presse, parfois généraliste, a pu se faire l’écho. Et parfois, puisque c’est dans la presse, ou parce que c’est une question qui a trait aux systèmes d’information, la fonction finance se considère parfois éloignée de cette épineuse question. Or, il n’en est rien, et certains enjeux actuels ou futurs, semblent indiquer que la « fonction finance », entendue au sens large devra faire sienne cette problématique si contemporaine.
Cybercriminalité : une menace aux multiples visages
Avant toute chose, il convient de définir ce que l’on entend par cybercriminalité, et quelles peuvent en être les applications au sein d’une fonction finance. La cybercriminalité peut être définie comme la capacité pour un individu, interne ou externe à l’entreprise à pénétrer sur un système d’information sans y être autorisé, ou à le détourner de son usage initial de différentes manières.
Le parallèle que l’on peut faire avec la vie « non numérique » est celui de la maison : cette dernière représente le système d’information, et le pirate va chercher à en forcer les serrures, pour atteindre son objectif.
Malgré son caractère éminemment protéiforme, la cybercriminalité vise un nombre d’objectifs finalement assez réduits qui peuvent être présentés schématiquement en quelques catégories :
- empêcher un système de fonctionner correctement, et l’on parlera de déni de service, ou de bloquer la porte, pour reprendre la métaphore de la maison,
- récupérer les données présentes sur un système pour les utiliser à des fins détournées – l’utilisation pour la revente en faisant évidemment partie-, et l’on parlera de pillage d’informations, ou de la maison,
- prendre en otage un système ou les données qu’il contient, pour en tirer quelque bénéfice, et l’on parlera de ransomware, ou de changement inopiné de serrure,
- utiliser un système d’information comme vecteur de communication, pour la diffusion d’un message politique, ou encore pour permettre à des tiers de bénéficier d’infrastructures numériques pour diffuser illégalement des contenus. Il s’agira ici d’une forme de squat de la maison.
Quelles applications pour la fonction finance ?
Le premier des risques est bien évidemment le détournement d’actifs financiers, ou le vol pur et simple, par l’usage d’un virement frauduleux réalisable de différentes manières : par détournement d’un outil de trésorerie, par utilisation indue des coordonnées de carte bancaire stockée sur les infrastructures de l’entreprise, ou moins directement, par la substitution indue de coordonnées bancaires de fournisseurs, ou de salariés.
Les moyens de détournement ne manquent donc pas, et les plus classiques précités ont pu être observés à plusieurs reprises dans nos activités. Au-delà de ceux-là, il existe un moyen moins direct mais tout aussi dommageable qui consiste en le détournement d’informations financières : je suis un concurrent, ou je suis un actionnaire désireux de faire une opération lucrative quoi qu’illégale, et je m’introduis sur le système de l’entreprise cible pour y collecter quelque information confidentielle et la faire fructifier.
Plus dangereux encore, un pirate s’introduit sur un site ou un système dépositaire d’un document officiel public (rapport annuel, document de référence…) et modifie certaines données, délivrant de fait une information erronée et diffusée au marché. Cette dernière hypothèse n’est pas théorique, et entraîne même, dans certains pays anglo-saxons, des sanctions pour l’entreprise victime, qui ne corrigerait pas rapidement l’information erronée diffusée.
Ces illustrations montrent bien que la fonction finance est exposée au risque cyber, parce qu’elle concentre en son sein suffisamment d’informations attractives.
Alors, une fois posées les pathologies, reste à savoir si en tant que telle, la fonction finance a les moyens de se défendre.
Pour répondre à cette question, il faut caractériser les moyens qui permettent aux pirates d’agir, et qui sont essentiellement de trois ordres : il s’agit pour eux,
- soit d’utiliser des mots de passe qui auront été déterminés de façon insuffisamment rigoureuse, et donc de trouver les clés de serrures quelque peu légères,
- soit d’utiliser la naïveté ou la crédulité de complices involontaires, mais bien imprudents pour faciliter certaines manœuvres utilisées par les pirates,
- ou bien enfin, plus de façon plus technique, de rechercher, dans le système attaqué, des applications qui n’auraient pas fait l’objet d’une mise à jour rigoureuse, et qui auraient par ailleurs fait l’objet de publication sur la toile de leur(s) faille(s) en matière de sécurité.
Si le dernier moyen décrit, très courant en matière de cybercriminalité, est le plus technique et donc plutôt l’apanage et la responsabilité des DSI, les deux premiers en revanche, sont techniquement triviaux et doivent être combattus de façon managériale, et non technique.
Et c’est ici que la fonction finance doit redoubler d’attention : si cette dernière ne peut rien contre les attaques techniques, elle peut en revanche beaucoup plus contre les attaques, très nombreuses, et qui n’ont finalement trait qu’au facteur humain.
Pédagogie vis-à-vis de ses équipes et collaboration avec la DSI : les meilleures armes du DAF face à la menace cyber
Dès lors la fonction finance doit désormais considérer que les informations, qui transitent par elle, sont sujettes à piratage de différentes façons. Charge à elle, si elle n’est pas responsable de ses infrastructures matérielles et logicielles de s’assurer impérativement :
- que sa DSI, ou son RSSI, a engagé toutes les diligences nécessaires à la protection de ses données et accès,
- que les mots de passe utilisés par ses équipes sont raisonnablement robustes et que ceux de type « congé », «soleil », «toto » ou encore « polo » appartiennent à un sympathique folklore du passé,
- qu’enfin une politique de communication régulière sur les enjeux et risques de la cybercriminalité soit diffusée, et que les errements qui consistent à cliquer de façon inconsidérée sur des pièces jointes, ou sur des messages alléchants deviennent une pratique appartenant définitivement au passé.
Ces exigences doivent être d’autant plus respectées que la réglementation européenne General Data Protection Regulation ou GDPR entrée en application constitue un nouvel enjeu la sécurisation de l’accès aux données, personnelles cette fois. L’effort à fournir par la fonction finance en matière de sécurisation des systèmes ne sera donc pas fourni en vain, il constitue au contraire un enjeu majeur pour les années à venir.