À l’ère du numérique, le rôle d’un directeur financier (CFO) a évolué au-delà des responsabilités traditionnelles de gestion financière. Les DAF sont désormais des partenaires stratégiques clés qui jouent un rôle crucial dans la conduite de leur organisation à travers les complexités d’un paysage commercial en évolution rapide. La cybersécurité est un aspect qui a pris une importance considérable ces dernières années.

En tant que responsables de la gestion des risques financiers, les directeurs financiers jouent un rôle crucial en matière de cybersécurité. Selon une récente étude de PwC, 75 % des directeurs financiers participent désormais à la prise de décisions de haut niveau en matière de cybersécurité.

Dans cet article de blog, nous expliquons pourquoi les directeurs financiers doivent reconnaître le risque cybernétique comme un risque financier et investir en conséquence pour préserver la santé financière et la cybersécurité de l’organisation.

Traiter la cybersécurité comme un risque d’entreprise

Les menaces de cybersécurité ne doivent pas être considérées comme de simples problèmes informatiques, mais comme des risques commerciaux susceptibles d’affecter de manière significative les résultats d’une entreprise. Investir dans la cybersécurité peut sembler une dépense importante, mais il est essentiel de considérer les coûts potentiels de l’absence d’investissement. Le coût moyen d’une violation de données s’élevant à 4,45 millions de dollars, soit une augmentation de 15 % en trois ans, le retour sur investissement de mesures de cybersécurité robustes est évident.

Le coût réel de la cybercriminalité

Les violations de données ont fait la une des journaux ces dernières années, affectant des organisations de toutes tailles et de tous secteurs. Le coût d’une violation de données va au-delà des dépenses informatiques et englobe les frais juridiques, les amendes réglementaires et la perte de confiance des clients.

Conformité réglementaire

Les réglementations régissant la protection des données et la cybersécurité sont de plus en plus strictes. Le règlement général sur la protection des données (RGPD) a imposé des exigences strictes en matière de protection des données, assorties de lourdes amendes en cas de non-respect. Le géant technologique américain Meta a été condamné à une amende de 1,3 milliard de dollars en mai 2023 après qu’un tribunal irlandais a jugé qu’il avait enfreint les lois du GDPR relatives aux transferts de données entre l’Union européenne et les États-Unis. À défaut, la stabilité financière de l’entreprise peut être gravement affectée.

Impact sur la valeur actionnariale

Un incident de cybersécurité peut entraîner une chute importante du cours des actions, érodant ainsi la confiance et la valeur des actionnaires. Selon une étude réalisée en 2021 par Comparitech, les entreprises ayant subi des violations de données ont vu le cours de leurs actions baisser en moyenne de 7,27 % dans les jours qui ont suivi la violation.

Perturbation des activités

Les cyberattaques, telles que les ransomwares, peuvent perturber les activités des entreprises pendant de longues périodes. Il est important de prendre en compte les ramifications financières des temps d’arrêt, notamment les pertes de revenus, les coûts de récupération et les pénalités potentielles en cas de non-respect des obligations contractuelles. Des pirates informatiques se sont introduits dans les systèmes du NHS en Angleterre et au Pays de Galles, provoquant des pannes de système et des perturbations dont le coût est estimé à 50 millions de livres sterling, en tenant compte de la perte de productivité et des réparations d’urgence.

Une cyberattaque de 2022 contre un fournisseur de Toyota, par exemple, a contraint le constructeur automobile à interrompre sa production pendant une journée, ce qui a affecté 13 000 véhicules.

Augmentation des primes d’assurance

Des recherches récentes révèlent une tendance inquiétante dans le secteur de l’assurance : certains assureurs appliquent une augmentation stupéfiante de 200 % des primes pour les organisations victimes de la cybercriminalité.

Atteinte à la réputation

Une violation de données réussie peut avoir des effets durables sur la réputation d’une organisation, en signalant potentiellement aux clients, aux fournisseurs et aux autres partenaires commerciaux que les contrôles de gestion des risques et de sécurité de l’information de l’organisation peuvent être inadéquats.

Investir dans une formation de sensibilisation des employés à la sécurité

Selon IDC, les dépenses mondiales en matière de sécurité devraient augmenter de 8,1 % par an pour atteindre 174,7 milliards de dollars en 2024. Un aspect essentiel que les directeurs financiers doivent prendre en compte est la formation des employés à la sensibilisation à la sécurité. Les employés sont souvent la première ligne de défense contre les cybermenaces, mais ils peuvent aussi être un maillon faible s’ils ne sont pas correctement formés. Voici pourquoi les directeurs financiers devraient donner la priorité à cet investissement :

1. Atténuer les menaces d’initiés : Les menaces internes, qu’elles soient intentionnelles ou accidentelles, peuvent entraîner des pertes financières considérables. La formation des employés permet de réduire le risque de violations internes.

2. Prévention du phishing et de l’ingénierie sociale : Selon le rapport 2021 Cybersecurity Threat Trends de CISCO , environ 90 % des violations de données sont dues à des attaques de phishing. La formation à la cybersécurité aide les employés à comprendre comment réagir et se remettre rapidement des incidents, en minimisant l’impact sur la continuité de l’activité et la stabilité financière.

3. Économies immédiates et à long terme : Investir dans la formation peut sembler une dépense, mais c’est un moyen rentable de prévenir les pertes financières potentielles causées par des incidents de sécurité.

4. Conformité réglementaire : Le respect des réglementations en matière de protection des données est essentiel. Des employés bien formés sont moins susceptibles de manipuler des données sensibles, ce qui réduit le risque d’amendes coûteuses.

5. Renforcer le pare-feu humain: Les employés sensibilisés à la sécurité deviennent un élément précieux de la défense de l’organisation contre les cybermenaces, renforçant ainsi le dispositif de sécurité global.

Construire une culture cyber-résiliente

La cybersécurité n’est plus une préoccupation secondaire pour les directeurs financiers ; c’est une question centrale pour l’entreprise. En comprenant les implications financières des cyber-risques, en investissant dans des mesures de cyber-sécurité efficaces et en encourageant une culture de cyber-résilience, les directeurs financiers peuvent aider à protéger leur organisation à l’ère du numérique.

En reconnaissant l’importance de la formation des employés à la sensibilisation à la sécurité comme partie intégrante de cette stratégie, les directeurs financiers peuvent renforcer les défenses de leur organisation et protéger sa santé financière dans un paysage numérique de plus en plus interconnecté et vulnérable.