Comme le dit l’adage populaire, « le pire n’est jamais certain », et c’est particulièrement vrai en matière de fraude et plus spécifiquement avec le « cyber risk ». Certaines sociétés victimes d’attaques récemment ne vous diront pas le contraire. On n’est jamais certain d’être complètement à l’abri. On peut tout au plus tenter de se préparer au mieux, sans avoir aucune garantie d’être sain et sauf. Faire de son mieux et prévenir au maximum les attaques est une intention louable mais peut-être insuffisante. Est-ce frustrant de se préparer consciencieusement sans être sûr de ne pas subir le risque que l’on tente d’éviter ? Cela l’est indéniablement. Le risque d’attaque informatique est loin d’être un spectre ou une croyance exagérée, ni un épouvantail que l’on agiterait pour nous faire peur. C’est devenu une réalité quotidienne et finalement banale. On ne peut être totalement sûr, à 100%, d’être épargné. Alors, il vaut mieux se préparer sans cesse et remettre l’ouvrage de la lutte contre le piratage et la fraude informatique sur le métier de la gestion de trésorerie. Cela reste un exercice continuel, pour ne pas dire perpétuel, itératif, fastidieux et ingrat. En matière de risque cybernétique, c’est comme avec le dopage, le problème est que les tricheurs ont toujours une longueur d’avance sur vous, quoique vous fassiez. Cela ne doit évidemment pas vous affranchir de vous préparer et de vous protéger. Chaque attaque permet de renforcer les défenses, jusqu’à ce qu’une nouvelle ne vienne nous surprendre. Le risque est devenu tel que des agences étatiques existent destinées à nous avertir et à partager leurs connaissances sur ces risques d’un type nouveau. Finalement, il y a dix ans, nous ne parlions pas de telles attaques. Il faut aussi préciser que ce risque est parfois accentué, facilité ou initié par de la fraude interne, qui ne doit pas être sous-estimée, non plus. Les pirates ont aussi des complices même au sein des entreprises-cibles.
La lutte contre la fraude informatique s’est accentuée ces dernières années. C’est un des nombreux paradoxes actuels, que j’ai appelé le « paradoxe de la sophistication » : au plus on développe la technique informatique, au plus on est sujet à des attaques. Le pire est que même des Etats seraient derrières ces attaques (pensons à la Corée du Nord avec SONY ENTERTAINMENT, les Russes dans la campagne présidentielle Américaine, etc…). La technologie ne réduit pas le risque, au contraire, elle l’augmente. Certains diront présomptueusement que les trésoriers on fait preuve d’une certaine naïveté et que la fraude au président, par exemple, semblait assez basique et facile à prévenir. Ils affirmeront qu’il en est de même avec la désormais classique fraude à l’IBAN ou au fournisseur. C’est plus vite dit que fait, hélas. Dès qu’une faille est connue, une autre brèche risque de s’ouvrir. La technologie aide mais ne peut pas tout à elle seule.
De plus, on n’a pas encore réussi à ce jour à mettre en place un registre structuré de KYC, avec une transmission sécurisée des données via une communication sécurisée, malgré les initiatives existantes (même si SWIFT travaille à la généralisation d’un tel registre). Cela prouve que rien n’est simple et que tant qu’on se transmettra des informations sensibles par des moyens de communication fragiles ou dépassés, on s’exposera. On avance mais Dieu que la route est longue… Pourtant, le temps est un facteur qui nous pénalise dans cette lutte, et on en manque cruellement. En plus, il y a un manque patent de coordination des parties prenantes (i.e. associations de trésoriers, régulateurs/Etats, fournisseur de services IT, banques, infrastructures de marché, etc…). On voit une ébauche de collaboration se dessiner, mais cela frémit seulement. Nous devrions plus nous coordonner, pour mieux lutter contre le piratage informatique. Car la fraude nécessite de la préparation, le renforcement constant des contrôles internes et de la vigilance continue. Il faut également informer et former pour prévenir. Souvent, c’est comme si on était conscient d’un problème mais qu’on l’occultait quelque peu. On voudrait ne pas le voir et l’oublier ou penser qu’il ne peut pas nous arriver à nous. Pour prendre un exemple lié à la messagerie SWIFT, elle vient de renforcer son programme de sécurité en imposant une revue assez complète et lourde au travers d’une auto-estimation (i.e. Le SWIFT Customer Security Program). On ne peut que louer les initiatives visant à renforcer les protections, pour autant que leurs coûts marginaux de ne deviennent pas surdimensionnés par rapport aux risques qu’ils tentent d’éviter. Là encore, le mieux n’est-il pas l’ennemi du bien ? Il faut trouver l’équilibre raisonnable, sans être excessif ou trop dogmatique. Vendre un investissement informatique visant au renforcement de la sécurité n’est jamais simple. Il y a un besoin de conscientiser les Comités d’Audit et le niveau « C » du management des risques pour obtenir le droit d’investir en matière de sécurité. C’est un défi nouveau du trésorier, car tout un chacun impose « plus » pour éviter ou limiter tout risque. Le « plus, plus, plus » n’est peut-être pas la solution idéale. De plus, l’effet parachute (que certains ouvrent) peut s’avérer contreproductif au final. Il faut donc fixer les priorités et allouer judicieusement les ressources limitées dont on dispose. C’est un véritable art et une tâche ardue.
Nous devons aussi constater que lorsqu’une entreprise est victime d’attaques, elle doit sur-réagir et investit des montants considérables pour corriger le tir, pour redonner la confiance aux marchés et pour repartir. Le cas de Saint-Gobain le prouve. Lorsqu’il faut réparer, le coût de la remise ne état de marche est démultiplié. La réparation coûte donc toujours dix fois plus que la prévention, mais on l’oublie préférant s’en remettre à la chance.
Les réglementations qui pullulent n’aident pas directement le trésorier et sont souvent critiquées. Pourtant reconnaissons-leur qu’elles forcent à revisiter les processus et à renforcer ceux-ci. Elles permettent de « vendre » certains investissements en sécurité. Il faut remarquer que les CFO’s et CEO’s citent presque toujours depuis trois ans, dans les grandes enquêtes de type Marsh ou Allianz et autres baromètres des risques, le risque « cyber » comme étant le plus important aujourd’hui. Cela démontre un consensus du « C-Level » et une perception solidement ancrée dans les esprits (même si au final il y a peut-être d’autres risques plus importants). Le paradoxe, un de plus me direz-vous, est que perception et réalité divergent et que le risque perçu comme énorme n’est au final peut-être pas aussi grave que cela, pour autant qu’on le traite adéquatement. Il a le mérite de réveiller les consciences et de libérer les actions et les projets, ainsi que les budgets qui en découlent. Un incident est souvent bénéfique pour délier les cordons de la bourse. Pourtant, il est toujours préférable d’être prévoyant et persuasif pour débloquer ce type de budget avant qu’un incident ne survienne.
La profession de « Chief Risk Officer » est finalement récente, tout comme celle de « CISO ». Les standards internationaux, comme COBIT, ISO 27000 ou 31000, les certifications du type « SOC one type two », notamment, démontrent le besoin de codifier pour mieux prévenir et protéger. Ces normes ont réussi à émerger grâce précisément à ce contexte de dangers permanents. Lorsque les Américains nous ont imposé leur SAS70, on a crié au scandale. Pourtant, vouloir renforcer les contrôles internes et le démontrer semblait une sage décision. Le mieux peut paraître l’ennemi du bien et investir en temps, ressources et argent lorsqu’on est déjà sous pression est compliqué. Personne ne niera le bien-fondé d’initiatives ou mesures réglementaires nouvelles visant à améliorer la sécurité. Par contre, la mise ne œuvre de celles-ci est parfois sous-estimée par ceux qui nous les imposent. En matière de lutte contre la fraude, il n’y a hélas pas de recette miracle ni de panacée universelle. Il y a nombre de bonnes pratiques et de bon sens. Il faut être en veille permanente et ne pas dormir sur ses deux oreilles, au risque d’avoir un réveil douloureux. Le rôle des associations de trésoriers dans ce contexte est peut-être d’alerter, de réveiller les consciences, de partager les bonnes pratiques et d’informer. L’EACT en a d’ailleurs fait un sujet majeur et y a dédié un groupe de travail.
Je pense que l’on ne peut que conseiller la communication entre parties prenantes, l’information et la formation, sachant que partie des risques a pour origine l’interne et que un homme avisé en vaudrait deux. Un risque ne doit pas nécessairement être complètement éliminé mais à tout le moins accepté ou contenu. William Sheed disait: « A ship is safe in harbour, but that’s not what ships are built for ». Nous devrions méditer cette idée et ne pas oublier qu’une certaine prise de risques est l’essence même de notre métier. Il faut aussi douloureusement accepter le principe qu’en la matière, quoique l’on fasse on ne pourra pas éliminer tout risque d’attaque. Cela ne doit pas nous empêcher d’agir de manière proactive. Nous ne pouvons que donner que le conseil suivant prôné par Confucius: « Peu importe votre lenteur d’aller, à condition que vous ne vous arrêtiez pas ».
François Masquelier, Chairman of ATEL