Depuis 2014 la DFCG s’implique dans le sujet de la cyberfraude, notamment à travers l’organisation de conférences auxquelles participent régulièrement des experts d’Euler Hermes. Nous avons demandé à Laurent Mahéo, Président de la DFCG Ile-de-France, comment directeurs financiers et experts-comptables se situent face à cette menace, qui a récemment trouvé une nouvelle dimension dans le développement des attaques par cryptologiciels, ou ransomwares.

En 2015, la France s’est classée au 5ème rang mondial des pays les plus touchés par les ransomwares : l’éditeur Symantec a dénombré plus de 391.000 attaques par ce type de logiciel malveillant, qui chiffre et prend en otage les datas dans le but d’obtenir une rançon. C’était 2,6 fois plus qu’en 2014. Depuis, le phénomène s’est encore amplifié : d’après l’éditeur français Wooxo, on compte par exemple plus de 60 versions différentes du cryptologiciel Locky, qui compte parmi les plus utilisés. Et ces ransomwares s’attaquent dorénavant aussi aux smartphones.

Une menace sur la valeur des entreprises

« Aujourd’hui la valeur des entreprises est pour près de 80% immatérielle », commence Laurent Mahéo. « Son premier capital, ce sont avant tout ses clients et ses relations commerciales ». On comprend instantanément la gravité de la menace, qui agit à deux niveaux :

  • la non-accessibilité aux données : « Imaginez ce qu’un cryptologiciel pourrait entraîner s’il s’introduisait dans les programmes de trading à haute fréquence ! »
  • l’usage malveillant des données : « On a vu des groupes de logistique se faire dérober les fichiers de livraison de leurs clients ». Car quand le malfaiteur libère les données cryptées en fournissant à sa victime, contre rançon, un code de décryptage, il prend aussi la main sur les données.

« La perte de données est d’une grande violence. Ce sont des années de travail qui ne pourront pas être reconstituées intégralement. C’est l’expérience qui disparaît. Et un choc psychologique : la lumière s’éteint », commente le Président de la DFCG Ile-de-France.

Le DAF en première ligne

Le DAF est vu par ses collègues comme un rempart contre les risques, qu’ils soient financiers, fiscaux, ou relatifs aux performances de l’entreprise. Il est aussi le garant de l’information financière de l’entreprise auprès de ses actionnaires et de ses tiers. Il se retrouve dans l’œil du cyclone lors de telles attaques.

Il suffit d’une simple pièce jointe à un mail, d’allure parfaitement anodine, pour que le ransomware s’infiltre. Il peut par exemple altérer le logiciel de consolidation financière. « Faire tomber une consolidation, c’est toute l’entreprise qui se retrouve aveugle. » Même si les sauvegardes ont été correctement exécutées, il faut alors reconstruire un passé, ce qui s’avère particulièrement difficile à l’heure de la gestion en temps réel. Et quand l’attaque se déclare à la veille d’une Assemblée Générale, ou d’un roadshow, on imagine facilement les conséquences. Parmi lesquelles l’obligation de se justifier auprès du comité d’audit…

Pour les PME aussi

« Les grands groupes se structurent en conséquence. Ils effectuent des études d’impact. Ils souscrivent une assurance-fraude », continue Laurent Mahéo, qui fait le distinguo : « Un grand groupe ça l’ennuie beaucoup. Une PME, ça la met en danger ». En d’autres termes, alors que la fraude externe classique est relativement complexe et demande une certaine technicité de la part des malfaiteurs (qui n’en sont malheureusement pas dénués…), les ransomwares, faciles à trouver sur le darknet, font beaucoup de mal aux PME, aux experts-comptables, et aussi dans la sphère privée.

Experts-comptables, protégez-vous, protégez vos clients !

Il y a 20.000 experts-comptables en France, et ils ont plus de 120 000 collaborateurs. Ce sont autant d’entreprises, le plus souvent de petites tailles, dans le métier desquelles les données tiennent une place fondamentale. Les cabinets constituent donc une cible naturelle. D’autant qu’ils sont tout particulièrement exposés : « les experts-comptables se déplacent beaucoup, ils vont en clientèle avec un ordinateur, ils répliquent leurs données et celles de leurs clients », ajoute Laurent Mahéo. Leur risque est double :

  • pour eux-mêmes, comme c’est le cas pour les PME en général. Avec comme conséquence la perte d’un nombre considérable de jours hommes… qui constituent leur principale source de revenus. Et la nécessité de produire à nouveau les documents comptables.
  • pour leurs clients, qui bien souvent leur confient l’ensemble de leurs données.

Dans la profession, certains sont déjà au point, relève Laurent Mahéo. A commencer par ceux d’entre eux qui ont déjà été victimes de cyberfraude en général, ou de cyberextorsion en particulier. Mais « d’autres se sentent peu concernés ! » regrette le financier, qui rappelle la lourde charge de travail de ces professionnels. Pourtant, ajoute t-il, « la lutte contre la cyberfraude peut aussi constituer pour les experts-comptables une opportunité de services additionnels. D’où son conseil, qu’il résume ainsi : « Protégez-vous, protégez vos clients ».

Se préparer

L’élément majeur de vulnérabilité, c’est la confusion de l’environnement professionnel avec l’environnement personnel. Il faut donc installer d’autres sécurités, sans baisser la garde. « On a toujours un peu de retard, il faut rester humble, recommande Laurent Mahéo. Mais pour décourager l’agresseur il faut le retarder. » Le temps ainsi gagné peut être consacré à l’action. A condition d’avoir un plan d’urgence prêt à être déclenché…

« L’hébergement externe des données (dans le cloud) garantit contre la perte des données – du moins en théorie. Mais tout le monde n’est pas encore dans le cloud ! », ajoute Laurent Mahéo. En effet, d’après l’INSEE, seules 12% des entreprises françaises y avaient recours en 2014, parmi lesquelles 36% des sociétés de plus de 250 salariés, mais seulement 9% de celles qui en comptaient entre 10 et 19. Aujourd’hui les chiffres ont progressé, mais l’écart entre grandes et petites sociétés demeure.

PME et ETI gagneraient beaucoup à être accompagnées d’un DAF à temps partagé, venu d’une entreprise plus grande. Ce partage d’expérience leur permettrait d’établir un diagnostic en amont, tout particulièrement de :

  • définir les points de vulnérabilité,
  • trouver les partenaires,
  • définir le périmètre de préparation et d’intervention.

La GPDR fera progresser les pratiques

La GPDR – qui est un règlement européen et s’applique donc tel quel en droit local – entrera en vigueur en août 2018. Ses dispositions, que l’on retrouve dans la loi de transition numérique, assurent des droits aux salariés et parties prenantes, que les entreprises devront respecter sous peine de lourdes amendes. Parmi les obligations figurent celle de prévenir la CNIL dans les 72 heures qui suivent la constatation de l’attaque, et un délai de 30 jours pour se mettre en conformité. On peut en attendre des comportements plus vertueux et une plus grande sécurité pour tous, conclut Laurent Mahéo.

A propos de Laurent Mahéo

Laurent Mahéo est Président de la DFCG Ile de France, en charge des réflexions sur l’innovation au niveau national et membre du pôle économique de la plateforme RSE du syndicat. Il est également vice-président de France Blockteck, l’une des associations de Blockchain. President de sa société SCF (Supply Chain Finance), et DAF en temps partagé au sein d’un Start-UP studio pour accompagner les PME, dont notamment JEI Fintech et Cleantech.