Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorAlerte pour l’audit interne : le prochain champ de bataille pourrait atteindre vos réseaux informatiques

Alerte pour l’audit interne : le prochain champ de bataille pourrait atteindre vos réseaux informatiques

À l’heure des risques contemporains, une multitude d’événements peut accélérer leur développement ou accroître la probabilité qu’ils affectent les organisations. Il peut aussi bien s’agir des incendies hors de contrôle en Australie que d’une épidémie du virus Ebola en Afrique de l’Ouest.

Concernant les organisations américaines ce mois-ci, la frappe mortelle sur une cible militaire iranienne suscite des inquiétudes quant à d’éventuelles représailles qui pourraient se produire « sans sommation ou presque » selon le National Terrorism Advisory System (NTAS). De telles attaques ne se limitent pas aux tactiques traditionnelles. Elles peuvent tout à fait prendre la forme d’attaques cyberterroristes. En tout cas, c’est ce que l’avertissement du NTAS indique, en faisant valoir que l’Iran a déjà été impliqué dans des attaques contre les États-Unis et qu’il est en mesure de mener des cyberattaques sur des infrastructures américaines critiques.

Cet avertissement du NTAS devrait pousser les auditeurs internes à évaluer ou réévaluer la stratégie de leur organisation en matière de cybersécurité, et ce dans les plus brefs délais. Cela ne concerne pas uniquement les auditeurs basés aux États-Unis dans la mesure où de nombreuses entreprises américaines sont implantées dans le monde entier et constituent des cibles potentielles

De nos jours, les organisations sont hautement tributaires des services de communication et autres systèmes qui s’appuient sur des réseaux informatiques. Outre leur potentiel disruptif, les attaques compromettant ces systèmes peuvent être dévastatrices. En s’habituant à être facilement connecté, que ce soit en matière de sécurité du domicile ou de gestion d’immenses réseaux électriques, le monde est devenu de plus en plus vulnérable aux cyberattaques qui peuvent déstabiliser voire paralyser des économies entières.

Dans un article publié l’an dernier, Business Insider expliquait justement comment de telle attaques pouvaient se produire. Il exposait des scénarios inquiétants, invitant à réfléchir, selon lesquels une attaque coordonnée sur plusieurs fronts pouvait bloquer des systèmes essentiels pour l’économie. L’auteur comparait, à juste titre, les répercussions d’une telle attaque à une catastrophe naturelle qui couperait les réseaux d’électricité, d’eau et de transport et paralyserait les entreprises.

Pour certains, la probabilité qu’un tel scénario se produise est risible. Toutefois, celle-ci augmente jour après jour, à mesure que le monde devient davantage dépendant des systèmes interconnectés fortement automatisés. C’est pourquoi il est essentiel de protéger les infrastructures publiques de toute attaque numérique et physique.

L’IIA a publié, seulement l’an passé, un article (Global Knowledge Brief) abordant le rôle de l’audit interne dans l’amélioration de la résistance des infrastructures critiques. Intitulé Strategic Public Asset Protection, il a pour sujet le rôle de l’audit interne au sein des organismes publics qui sont chargés de réagir et d’intervenir en cas de menaces d’ordre naturel ou humain portant sur des actifs publics stratégiques, tels que les réseaux de distribution d’électricité ou d’eau. Il propose aussi d’auditer l’adéquation et l’efficacité opérationnelle des dispositifs de contrôles sur le niveau de préparation des agences gouvernementales et des différents échelons du gouvernement.

Une autre ressource sur cette thématique a été publiée la semaine dernière par Protiviti. Il s’agit d’un flash report, qui contient un guide concis et pratique sur la manière d’évaluer la cybersécurité d’une organisation. Il propose neuf étapes simples mais fondamentales pour déterminer dans quelle mesure une organisation se protège, détecte et gère des cyberattaques. Sans répéter les détails de ce rapport, je vous partage néanmoins les neuf points :

  • Accroître la sensibilisation à la sécurité.
  • Identifier les systèmes les plus critiques.
  • Mettre en place des dispositifs de contrôles pour maîtriser les risques et protéger les technologies essentielles.
  • Évaluer tous les accès aux systèmes et aux réseaux.
  • Perfectionner les stratégies de protection et de détection.
  • Se renseigner et partager les informations liées aux dernières menaces cyber.
  • Mettre à jour plus d’une fois par an le processus d’évaluation des risques en lien avec les menaces cyber.
  • Veiller à ce que l’organisation ait une stratégie solide et à jour de traitement des incidents.
  • Veiller à ce qu’il y ait suffisamment de ressources financières et humaines dédiées à la cybersécurité afin de maîtriser l’évolution des risques et des menaces.

Il est facile de rejeter la probabilité d’une cyberattaque massive et paralysante en la qualifiant d’invraisemblable voire de cygne noir. Toutefois les cygnes noirs – des événements peu probables aux conséquences immenses – ont malheureusement tendance à apparaître de temps à autres. Il est impératif d’être prêt à les affronter, surtout lorsque les enjeux sont aussi élevés.

Comme toujours, je me réjouis de lire vos commentaires.

Communication:  Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, publie un article hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l'audit interne.