Rechercher
  • Archiya Mousavi

DOSSIER SPÉCIAL : Les enjeux de la cybersécurité pour les entreprises



La Pandémie Covid-19 a permis une prise de conscience et une accélération des changements qui s’opéraient dans la manière dont nous travaillons et interagissions. De nombreuses entreprises ont choisi d’opter pour une politique de télétravail afin de lutter contre la propagation du virus.

Néanmoins les moyens de connexions à distance ainsi que le travail sans supervision directe des employés exposent les entreprises à un risque considérablement accru dans le domaine de la cybersécurité.

Aujourd’hui, les échanges se sont dématérialisés et les technologies de l’information constituent le nerf névralgique des organisations. Les fraudeurs ont compris ces mutations et multiplié les armes pour attaquer les entreprises, quelle que soit leur taille. La dimension cyber est venue s’associer aux techniques éprouvées d’usurpation d’identité, permettant de solides moyens d’escroquerie et de développer des attaques plus massives.

Cette importante exposition au risque implique directement la responsabilité du conseil d’administration de mise en place des dispositions permettant d’éviter toute fraude ou cyberattaque et d’atténuer considérablement l’impact de celles-ci.

Le trésorier d’entreprise, garant de la liquidité de l’entreprise, chargé de gérer, anticiper et sécuriser les flux de trésorerie, il est nécessaire voir primordial de mettre en place une stratégie de défense face à ces problématiques.

En effet, si les nouvelles technologies ont permis au trésorier d’entreprise de jouir de nouveaux outils tels que la data analytics (analyse de données) et les modèles de prédictions, les nombreuses tentatives de fraude, dont la désormais célèbre « fraude au président » représente le revers du progrès et lui imposent d’avoir une vision exhaustive de ces problèmes et analyser la collecte de données et d’information.

Le Trésorier d’entreprise, son rôle, son évolution

Le trésorier d’entreprise est le « gardien du trésor de l’entreprise ». Il garantit la liquidité quotidienne. Il gère anticipe et sécurise les flux de trésorerie et veille à assurer la couverture des besoins financiers. Il convient de bien saisir les champs d’action de ce dernier afin constater l’évolution de son rôle face aux nouveaux défis, et notamment ceux de la cybersécurité. Tour d’horizon.

1. Gestion des flux et des soldes

  • Gérer les encaissements et les paiements

  • Analyser la situation des différents comptes dans les différentes banques

  • Veiller à l’équilibre des comptes et le placement des éventuels excédents de trésoreries

  • Assurer le financement des différents besoins de l’entreprise


2. Budget et prévisions de trésorerie

  • Établir le budget de trésorerie mensualisée en collaboration avec le contrôleur de gestion et le directeur financier et sur la base des connaissances de l’activité et son historique

  • Évaluer la position nette de trésorerie de fin d’année et d’endettement net afin de pouvoir mieux définir les besoins de financement externe à solliciter auprès des banques

3. Reporting

  • Élaborer et communiquer une synthèse hebdomadaire de la position de trésorerie consolidée avec les principaux flux de décaissement et d’encaissement de la semaine et les prévisions pour la semaine à venir

  • Analyser et expliquer les écarts entre le budget et les flux constatés

  • Contrôler la comptabilisation correcte des opérations de trésorerie


4. financement d’investissements

  • Participer au montage de financement d’acquisitions d’entreprise ou d’actifs importants

  • Proposer des solutions de refinancement de filiales par la mise en place de prêts, de garanties ou de recapitalisation

5. Gestion des relations bancaires

  • Mise en place des lignes de crédit, définies avec les plans de financement et prévisions de trésorerie

  • Négocier et contrôler les conditions bancaires appliquées

  • Mettre en place des outils de couverture de risques de change adaptés aux devises utilisées et aux flux spécifiques à l’activité

  • Gérer les pouvoirs bancaires et les délégations de signatures bancaires

6. Gestion et contrôle interne

  • Contrôle des procédures comptables, de rapprochement bancaire, de gestion des caisses et de remise en banque

  • Mettre en place, harmoniser et contrôler le respect des procédures dans les filiales

  • Veiller à la cohérence des procédures de gestion de trésorerie


7. Optimisation des coûts et produits financiers

  • Contrôler les échelles d’intérêt émises par les banques et vérifier les intérêts financiers facturés par celles-ci

  • Diriger les flux bancaires selon les avantages spécifiques à chaque établissement financier

8. Gestion de risques

  • Identifier et quantifier les différents risques qui peuvent toucher l’entreprise et évaluer leur impact

  • Mise en place des instruments de couverture

  • Mise en place des normes IFRS

  • Définition des indicateurs de suivi

  • Mise en place des procédures de contrôle

9. Systèmes d’informations

  • Mise en place et optimisation d’un logiciel dédié pour les modules de trésorerie

  • Choix et mise en place d’un logiciel de gestion de trésorerie sécurisée Au vu de ces attributions, éminemment stratégiques, il paraît donc évident que le trésorier d’entreprise est celui qui, au sein de l’entreprise, à la difficile tâche de mettre en place la forteresse qui permettra à l’entreprise d’éviter les fraudes et les risques liés à la cybersécurité. Le trésorier d’entreprise constitue donc la clé de voûte vers les informations les plus sensibles de l’entreprise et la gestion de celles-ci. Afin de mettre en place les stratégies les plus adaptées, le trésorier doit avoir une vision précise des risques auxquels il est confronté.


La Cybersécurité, état des lieux


Le terme de cyberespace apparaît pour la première fois dans le roman Le Neuromancien de William Gibson en 1984. Il s’agit d’une trilogie dans laquelle le personnage central est un voleur de données. Ce préfixe de Cyber reste dans la culture informatique et contribue a façonner de nouveaux substantifs relatifs à la société de l’information. Ainsi, la cybersécurité concerne les usages défensifs et offensifs de ces systèmes d’information qui gèrent désormais nos organisations modernes. Elle prend en compte les moyens techniques (réseaux informatiques, téléphoniques, satellitaires...) utilisés pour l’échange de données, qui peuvent faire l’objet d’opération d’infiltration, d’altération, de suspension voire d’interruption, comme les contenus, c’est-à- dire l’ensemble des informations qui circulent ou sont stockées sur des supports numériques (informations industrielles, site internet, base de données, messageries et communication électroniques, transactions dématérialisées...) La cybersécurité porte également sur la protection et l’attaque d’équipements informatiques afin de surveiller ou d’en prendre le contrôle, que sur les renseignements disponibles sur la toile, avec de possibles atteintes à la réputation, le vol de données sensibles, des actions de piratage numérique et autre campagne de dénigrement. En effet, sur internet, le patrimoine informationnel de tous est exposé. C’est aussi le cas des entreprises où les PME et les PMI sont des victimes potentielles au même titre que les multinationales. Les petites sociétés qui oeuvrent en sous-traitant d’un grand groupe servent de plus en plus de porte d’entrée pour les pirates : plus facilement accessibles, car souvent moins équipées en matière de sécurité, elles permettent d’infecter le système d’information de leurs clients. La taille de la structure, son éloignement géographique ou sa langue de travail ne sont pas sur la Toile des protections efficaces ni des immunités durables. La perspective de gains importants et le relatif sentiment d’impunité lié à la faiblesse de la coopération judiciaire internationale en la matière sont de réels en encouragements pour de futurs cyberdélinquants, à qui s’ouvre un marché potentiellement mondial.


Les entreprises, en première ligne contre les pirates

Le baromètre annuel Euler-Hermes/DFCG indique en mai 2017 que plus de huit entreprises sur dix en France ont fait l’objet d’une tentative de cyberfraude en 2016, et qu’une sur cinq a subi au moins une fraude avérée. Les informations ainsi recueilles peuvent servir a renseigner un concurrent, ou bien se monnayer avec tout ceux intéressés par des informations personnelles, bancaires en passant par des descriptifs de faille dans les systèmes d’information de l’entreprise. Autre piste sérieuse d’insécurité numérique : la sous-traitance. L’entreprise ouvre des accès à son système qui à des sociétés qui ne lui assurent pas toujours un niveau de sécurité suffisant. Nombre de pirates cherchent à identifier ces prestataires qui constituent potentiellement autant de maillons plus faibles dans la chaîne informatique. Le groupe de distribution américain Target a été victime, entre le 27 novembre et le 15 décembre 2013, d’une cyberattaque massive : 40 millions de données personnelles lui ont été volées. Les pirates ont visé le sous-traitant chargé de la surveillance à distance de la climatisation. De 2011 jusqu’en 2015, l’escroquerie aux faux ordres de virement dit « fraude au président » a visé des fleurons de l’économie française: Le Printemps, Michelin, Total, Vallourec, Vinci... À partir des informations disponibles sur le Net et les réseaux sociaux, les escrocs bâtissent un argumentaire pour obtenir par courriel ou lors d’une conversation téléphonique le virement rapide à leur profit d’une somme importante en prétendant agir au nom d’un dirigeant du groupe. Les pertes subies s’élèvent en millions d’euros. Autre cas: des managers cèdent à un chantage. C’est alors la publication ou la destruction de leurs données qui est en jeu après que le pirate parvient à entrer dans le système d’information de la société et à prendre le contrôle de tout ou partie de celui-ci. C’est la technique du ransomware. Saint-Gobain révèle en juillet 2017 qu’une attaque de type ransomware a eu un impact de 250 millions d’euros sur ses ventes et de 80 millions d’euros sur son résultat d’exploitation.

Plus généralement, ce sont pas moins de 14 % des PME françaises affirment que les attaques leur ont coûté plus de 51 000 euros, et mêmes plus de 100 000 euros pour 6 % d’entre elles. Des montants conséquents pour ces entreprises, dont les trésoreries sont souvent déjà sous pression. Dès lors qu’une action est pilotée par un ordinateur, cet échange peut être détourné de son but initial. Or la politique menée ces dernières années par les entreprises pour la réduction des coûts de fabrication à conduit à la suppression progressive de l’intervention humaine dans le contrôle et le suivi des opérations techniques. Les sociétés commerciales sont dans une logique paradoxale au sujet des technologies de l’information. Elles veulent à la fois apparaître sous leur meilleur jour sur la toile, profiter de la mobilité des équipes permises par les outils numériques (smartphones, tablettes, portables...) et faire des économies en externalisant à des prestataires ses infrastructures informatiques. Or, chacune de ces intentions a son revers en matière de cybersécurité. La prolifération des attaques informationnelles, les connexions à distance, comme en période de confinement, et les occasions de perte de matériels informatiques sont autant de facteurs de faiblesses potentielles. De même, le transfert systématique à des sous- traitants de la capacité informatique de l’entreprise peut menacer la confidentialité des données et rendre dépendant de fournisseurs qui peuvent aisément conserver certaines informations sensibles une fois le contrat arrivé à échéance. La recherche d’économies à court terme peut ainsi se révéler être finalement un facteur de destruction de richesses à moyen terme. Enfin, aspect qui n’est pas des moindres aux yeux du trésorier, des agences de notation financière telles que Moody’s et Standard & Poor’s prennent désormais en compte le niveau de cybersécurité de l’entreprise dans leur politique d’évaluation.

Les différentes formes de fraudes ou d’attaques

Ransomwares

Une cyberfraude sur 5 a été le fait d’un ransomware, d’après l’étude DFCG/Euler Hermes 2018. Le cryptage de données qui résulte d’une attaque par ransomware est susceptible voire de mettre en danger l’entreprise si sa politique de sauvegarde était fébrile.

Vol de données

Voler des données confidentielles constitue un classique de l’espionnage industriel. Fichiers clients, fichiers fournisseurs, fichiers du personnel et secrets de fabrication peuvent faire l’objet d’une véritable guerre de l’ombre dont les conséquences sont lourdes : perte de compétitivité, détournement de clientèle, pertes de contrat...

Chantage à la réputation

Les fraudeurs menacent leur propriétaire de publier des fichiers confidentiels sur le web, les rendant accessibles à tous médias, concurrents, salariés, administrations, etc. Cette pratique appelée doxing, rend vulnérables à l’usurpation d’identité des tiers dont l’entreprise détenait des données personnelles.

Chantage à la conformité

En menaçant de rendre publiques ces données personnelles, les cybercriminels mettent en danger la conformité de l’entreprise à la RGPD. Or la société qui aurait mal protégé ces données, ou qui aurait tardé à annoncer l’attaque dont elle a été victime, peut faire l’objet de lourdes amendes : jusqu’a 150 000€ au premier manquement, et ensuite jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial du dernier exercice clos.

Détournement financier

Les cyberfraudeurs ont développé une expertise quant à la manière dont sont gérées les transactions financières. Leur objectif est d’opérer un transfert de fonds. L’intrusion dans un système d’achats pour détourner les règlements destinés aux vrais fournisseurs. Créer des employés fictifs et générer les fiches de paie et les versements correspondants, faire envoyer des marchandises de valeur à une adresse complice. Le vol ou la compromission de données Selon une analyse du cabinet américain Gartner, publiée début novembre 2017, la capitalisation boursière d’une entreprise qui exploite intelligemment ses données serait trois fois supérieure à la moyenne. Sans parler des nombreuses start-up, à la valorisation spectaculaire, dont les business modèles sont entièrement fondés sur l’exploitation des données de leurs utilisateurs. En volant, en détruisant, ou en bloquant l’accès aux données via l’usage d’un cryptologiciel, les cybercriminels montrent qu’ils ont eux aussi compris les enjeux des

entreprises d’aujourd’hui. Leur objectif : vendre ces données sur un marché parallèle, ou obtenir une rançon.

Le blocage de l’exploitation

Bloquer la production est un puissant levier de chantage, car les conséquences peuvent s’avérer très importantes. La compagnie maritime danoise Maersk a annoncé une perte de revenus de 300 millions de dollars à cause du ransomware Petya. Le groupe de distribution Auchan, le fabricant d’emballages en verre Verallia, les hôpitaux britanniques, BNP Paribas, le groupe pharmaceutique Merck, le port de Barcelone, mais aussi des dizaines de milliers de petites entreprises, ont été atteints à travers le monde.

Les solutions du trésorier pour contrer les fraudes

Tous les risques mentionnés précédemment sont des sources d’inquiétudes pour les trésoriers d’entreprise dont la fonction a considérablement évolué avec l’apparition de ces problèmes, mais les solutions à leur disposition ne manquent pas et la mise en place de celles-ci permet d’éviter plus d’une déconvenue.

En premier lieu, le développement de la souscription d’assurances fraudes/cyber ces dernières années s’est multipliée. Aujourd’hui, près de la moitié des entreprises françaises sont assurées ou considèrent l’assurance comme un élément de la démarche de prévention. C’est encore peu, mais c’est le signe que les choses bougent», précise Sébastien Hager, responsable souscription assurances fraude chez Euler Hermes

En interne, vigilance informatique, processus de sécurisation des virements, double signature, sensibilisation, formation, responsabilisation des sous-traitants et partenaires : toutes ces techniques font partie de l’indispensable politique de prévention. Les statistiques tendent à prouver que les pirates s’attaquent en priorité aux cibles les plus fragiles ; chaque entreprise doit donc s’armer pour ne pas être de celles-là. Vigilance informatique, process de sécurisation des virements, double signature, sensibilisation et formation internes, responsabilisation des sous-traitants et partenaires font partie de l’indispensable politique de prévention.

Sensibilisation

Tout commence donc par l’éducation de l’ensemble des collaborateurs de l’entreprise, au- delà des services financiers. La formation se doit en outre d’être régulièrement renouvelée, notamment auprès des nouveaux entrants dans l'entreprise et pour mettre à jour les connaissances.

Test de résistance

Un excellent moyen de faire progresser le niveau de vigilance interne est de procéder à des tests réguliers de résistance, tant au niveau de l’informatique qu’à celui des utilisateurs.

Protéger ses messageries

C’est la plupart du temps par les messageries que passent les cybercriminels. La protection des messageries est donc absolument indispensable. Des e-mails bien souvent porteurs de pièces jointes ou de liens malveillants. Beaucoup tombent encore dans le piège. » La lutte contre le SPAM représente donc un élément important de la politique de prévention.

Faire usage du cloud

L’externalisation des données via le cloud permet de mutualiser les investissements nécessaires à un niveau de sécurité à la hauteur des risques, ainsi que sa maintenance. Le cloud permet aussi de garantir une mise à jour permanente des applications pour ne pas laisser de faille ouverte à une intrusion malveillante.

Sécuriser les virements

Ces nouvelles perspectives en matière de sécurité ne doivent pas faire oublier les fondamentaux. Pour protéger son entreprise, un processus de sécurisation des virements, une gestion correcte des mots de passe et la mise en place d’un plan d’urgence et de gestion de crise sont absolument indispensables.

Conclusion Compte tenu de l’augmentation du nombre d’activités frauduleuses visant les entreprises ces dernières années, avec une sensible augmentation constatée durant la pandémie de COVID-19, il est devenu vital pour le trésorier d’entreprise de mettre en oeuvre les moyens de prévenir celles-ci. Le rôle du trésorier est central et stratégique dans l’entreprise, car celui-ci est le gardien des informations les plus sensibles de l’entreprise ainsi que de leur exploitation. Cette lourde tâche s’accompagne du devoir d’éviter toute fraude ou cyberattaque, ou à atténuer rapidement les répercussions de ces actions. Si les attaques se diversifient, le rôle du trésorier évolue avec celles-ci et l’amène à dorénavant à mettre en place des contrôles adéquats pour gérer les réponses aux incidents de cybersécurité et atténuer les atteintes à la sécurité lorsqu’elles se produisent. Faire en sorte que son entreprise ne soit pas fébrile face aux questions cybersécurité assure au trésorier de limiter le risque de représenter une cible aisée aux yeux des pirates et des fraudeurs. Même si le risque zéro n’existe pas, les solutions existent et sont diverses, mais exigent du trésorier une adaptation constante à la réalité du monde, de ses menaces, mais aussi de ses opportunités.

Bibliographie :

  • - ArpagianN.LaCybersécuritéParisQuesais-je?,2015

  • - Bockel J.-M. La Cyberdéfense. Un enjeu mondial, une priorité nationale Paris, La Documentation française, 2012.

  • - Boyer B. Cybertactique Paris, Nuvis, 2014.

  • - Martel F. Enquête sur les Internets Paris, Stock, 2014.

  • - Quéméner M. Numériques Paris, Grasset, 2014

  • - Robert M. Rapport sur la cybercriminalité. Protéger les internautes Paris, La Documentation française, 2014.

Sources web :

https://www.nortonrosefulbright.com/-/media/files/nrf/nrfweb/knowledge-pdfs/cyberscurit-- fraude-et-responsabilit-pendant-une-pandmie.pdf?la=fr-ca&revision=


https://blog.eulerhermes.fr/outils/ebook-cyberfraude/


https://www.capexfi.com/article/tresorier-un-tresor-pour-lentreprise/


https://langlois.ca/industries/technologies/fraude-et-cybersecurite/

https://www.pwc.fr/fr/decryptages/securite/fraude-en-entreprise-augmentation-des-cyber- attaques.html

46 vues0 commentaire