La Banque de France attentive aux risques de cybersécurité pour la cotation des entreprises

La Compagnie régionale des commissaires aux comptes (CRCC) Lyon-Riom, poursuit la mise en avant de ses partenaires qui interviendront à la Matinale de la "cyber" qu'elle organise le 11 juillet à Lyon.

Parmi ceux-ci, la Banque de France Auvergne-Rhône-Alpes (Aura), pour qui les enjeux de cybersécurité sont pris en compte dans la cotation des entreprises.

Explication avec Olivier Arthaud, président de la CRCC Lyon-Riom, et Kathie Werquin-Wattebled, directrice de la Banque de France Auvergne-Rhône-Alpes.

Pourquoi la Banque de France Aura participe-telle à cette Matinale de la cyber ?

Kathie Werquin-Wattebled : L'enjeu de la cybersécurité n'est pas éloigné de notre métier car ce type de risque concerne les entreprises avec qui nous sommes en relation au quotidien. Et la Banque de France cote les entreprises qui ont un chiffre d'affaires supérieur à 750 000 euros, soit 40 000 entreprises en Auvergne-Rhône-Alpes. Nous nous appuyons pour cela sur les comptes des entreprises mais aussi sur l'ensemble des éléments extra financiers comme les risques cyber. Dans notre rôle d'accompagnement des entreprises, nous restons vigilants à ces alertes et nous avons connaissance des entreprises qui ont été attaquées. Nous sommes donc concernés.

Olivier Arthaud : La Banque de France (BDF) est un maillon très important dans l'écosystème économique, car il assure la confiance entre les différentes entreprises qui travaillent entre elles. Il ne faut pas oublier que le premier mode de financement en France reste le crédit inter-entreprises. Et celui-ci ne fonctionne qu'avec la confiance qui se tisse entre les partenaires. Les entreprises restent très attentives à leur cotation Banque de France, car en cas de dégradation, les impacts sur leurs financements sont instantanés. De ce fait, la BDF est très écoutée et peut ainsi faire passer des messages notamment sur le risque cyber, en expliquant qu'il ne s'agit pas d'un risque virtuel mais bien réel et qui a fortement augmenté ces dernières années et dont les conséquences peuvent être très importantes en cas d'attaque. Il ne faut donc pas minorer ce risque car toutes les entreprises, quelles que soient leur taille, sont concernées. Elles doivent donc anticiper ces risques, notamment par de bonnes pratiques, que je nomme "l'hygiène informationnelle".

Cybersécurité : "Il ne s'agit pas d'un risque virtuel"

A quel moment la Banque de France peut-elle intervenir dans l'accompagnement des entreprises sur ce sujet ?

K.W.-W. : Dans notre démarche de cotation, nous rencontrons régulièrement les entreprises. Lors de nos entretiens nous balayons l'ensemble des risques de l'entreprises, notamment celui cyber, même si ce n'est pas le premier auquel pense un chef d'entreprise, qui reste optimiste dans son business et qui ne le priorise pas comme une réelle menace. Sans compter qu'il n'est pas toujours prompt à investir dans la protection de ses données. Notre rôle est alors de les alerter en expliquant que d'autres entreprises ont été touchées avec des conséquences financières voire de black-out. Nous les sensibilisons aussi sur le fait que le redémarrage d'une activité après une telle attaque peut être long, et que c'est surtout un véritable choc pour le dirigeant et ses collaborateurs, sans parler du risque réputationnel.

Se prémunir des risques cyber n'est donc plus une option ?

O.A. : Le coeur du problème réside dans le fait que ce risque est devenu quasiment inassurable. Le seul moyen est donc d'éviter l'attaque, et il est nécessaire de réaliser un minimum d'investissements en matériel ou en formation pour limiter les risques. L'enjeu n'est pas de se dire qu'on ne sera pas attaqué mais d'être préparé et de pouvoir redémarrer le plus vite possible son activité, avec un maximum de données protégées et sauvées. Les solutions existent et elles seront toujours moins coûteuses au regard des impacts financiers d'une attaque.

Dans le système de cotation de la Banque de France, existe-t-il une prime aux bons élèves, c’est-à-dire pour ceux qui auraient investi plus que d'autres dans la lutte cyber ?

K.W.-W. : A la Banque de France, une entreprise sur deux possède une cotation liée à la dimension qualitative. On surcote ainsi certaines entreprises pour lesquelles nous jugeons que la gouvernance est sensible et investie dans les enjeux de transitions énergétiques ou de risques cyber justement. Et je le rappelle, trop d'idées reçues circulent encore chez certains dirigeants qui pensent que leur entreprise est trop petite pour se faire hacker.

Cybersécurité : derrière une attaque, le blocage entier d'une production

Etes-vous plus vigilants sur des entreprises issues de secteurs particuliers ?

O.A. : La problématique centrale reste la confidentialité de la donnée. Plus la donnée est confidentielle, plus le risque est potentiellement élevé. Les secteurs de la santé, du chiffre ou du droit sont ainsi particulièrement exposés.

K.W.-W. : On pense toujours au fichier client qui peut se faire hacker mais les attaques peuvent aussi bloquer des process, notamment de fabrication si l'on prend l'exemple de l'industrie.

Quelles sont les actions que vous mettez en place dans vos métiers respectifs afin de lutter contre les risques cyber ?

K.W.-W. : Le système à la Banque de France est extrêmement verrouillé. Nous sensibilisons précisément nos collaborateurs sur les bonnes pratiques et les mettons régulièrement à l'épreuve via un système de fishing "fictif" qui est opéré pour que les collaborateurs prennent conscience des bonnes ou mauvaises manipulations. Malgré les formations ou les webinaires que l'on peut organiser, encore trop de collaborateurs cliquent sur des liens malveillants.

O.A. : Nos métiers sont également visés, et l'impact se situe surtout par rapport à la production des bilans. Il faut être vigilants sur la communication. En effet, les entreprises peuvent plus facilement se faire attaquer suite à la parution de leur communication financière, elles deviennent des cibles idéales. Il faut parfois savoir rester peu visibles...