Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLa cyberculture de votre organisation vous incite-t-elle à #auditer ?

​La cyberculture de votre organisation vous incite-t-elle à #auditer ?

Le 15 Mai 2017

Suite à la cyberattaque de grande ampleur qui a récemment frappé les réseaux informatiques, l’adoption du #wannacry sur les réseaux sociaux ne s’est pas faite attendre. Près de 100 pays ont été touchés, dont les États-Unis, la Grande-Bretagne et la Chine. Les hackers ont utilisé Wanna Decryptor, un virus de type ransomware (« rançongiciel ») qui crypte les données présentes sur les réseaux infectés puis menace de les détruire si une rançon n’est pas payée.

Cette cyberattaque est une véritable source de frustration pour ceux qui se sont efforcés, tout au long de leur carrière, à promouvoir les bonnes pratiques de contrôles internes et de management des risques. En effet, le virus a exploité, avec un certain succès il faut le reconnaître, certains des cyber-risques les plus simples et les plus faciles à atténuer.

Comme l’ont expliqué les nombreux experts en cyber-sécurité interrogés par la presse, les hackers ont eu recours à une simple technique de phising (« hameçonnage ») pour introduire le virus par le biais d’une pièce jointe à un courrier électronique.

Les médias ont également signalé que fin mars, Microsoft Corporation avait distribué un correctif permettant de corriger les vulnérabilités face à certains logiciels malveillants (malware) spécifiques. Pourtant, une grande partie des organisations ciblées, comme le Service national de santé du Royaume-Uni, n’ont pas appliqué le correctif recommandé et ont été victimes du virus.

Il me semble inconcevable que de telles attaques soient encore possibles mais son ampleur prouve à quel point nous demeurons vulnérables face à ce phénomène. On entend de plus en plus souvent, qu’il ne s'agit plus de se demander « si » une organisation sera victime d’un piratage réussi mais plutôt de savoir « quand » cet évènement aura lieu. Je trouve que de tels messages, incitant les organisations à ne pas se limiter à la prévention, peuvent avoir un effet néfaste sur la culture de la cyber-sécurité des organisations.

Le rapport d’enquête 2017 sur les vols de données (2017 Data breach investigations report) récemment publié par Verizon nous en dit long sur le travail qui reste à accomplir en la matière. L’analyse des vols commis en 2016 a parmi de mettre en évidence un certain nombre de conclusions dont vous retrouverez un extrait ci-dessous :

  • 80% des infractions liées au piratage sont dues au vol de mots de passe ou à des mots de passe vulnérables ou trop faciles à deviner.
  • 1 utilisateur sur 14 a été piégé en suivant un lien ou en ouvrant une pièce jointe.
  • 66% des logiciels malveillants ont été installés via des pièces jointes malveillantes.
  • 95% des attaques par phishing (« hameçonnage ») ayant entrainé un problème de sécurité ont provoqué l’installation d’un logiciel.

Si ces chiffres ne vous impressionnent pas, voici quelques données supplémentaires :

  • 61% des organisations victimes de vols de données comptaient moins de 1 000 employés.
  • Les virus de type ransomware sont passés de la 22ème position (2014) à la cinquième position (2017) dans la liste des pourriciels les plus répandus.

Ces faits alarmants sont la preuve que les organisations ne sont pas conscientes des risques auxquels elles sont confrontées, ni de l’importance des mesures préventives les plus élémentaires en matière de cyber-sécurité. En tant qu’auditeurs internes, nous devons nous demander si la culture de la cyber-sécurité, telle que diffusée au sein de nos organisations, ne favorise pas accidentellement ces piratages.

Fournir une assurance sur le cyber-risque ne consiste pas seulement à déterminer si les protocoles et les politiques de blocage ou de dissuasion des cyber-attaques sont en place et fonctionnent efficacement. Nous devons également examiner la manière dont la culture de l'organisation influence la façon dont ces mesures de protection sont appliquées. Par exemple, les organisations peuvent accepter des comportements plus risqués en matière de courriers électroniques pour favoriser la productivité. Ou encore, les efforts consentis en matière d’encryption des données peuvent être anéantis si les règles interdisant ou limitant les impressions ne sont pas mises en place ou si elles sont ignorées. Enfin, nous devons également être attentifs à la « mystification du département informatique », qui conduit à ne pas remettre en cause sa parole du fait qu’il serait seul à comprendre certains aspects de la cyber-sécurité.

Pour les auditeurs internes, une partie de la solution consiste à coopérer avec les services informatiques, les responsables du management des risques, les responsables de la sécurité de l'information, les responsables des ressources humaines ainsi qu’avec les autres acteurs gérant les cyber-risques. Cette démarche est essentielle pour que l'audit interne puisse comprendre clairement les cyber-risques et ce qui influence la culture de la cyber-sécurité de l'organisation. Ces éclairages doivent ensuite être partagés avec la direction et le conseil.

Pour conclure, je souhaiterais revenir sur le rapport 2017 de Verizon dans lequel vous retrouvez des conseils pertinents pour toutes les organisations :

  • Soyez vigilant. Les journaux systèmes et des changements réalisés sont un bon moyen d’alerte précoce lorsqu’un piratage se produit.
  • Faites de vos ressources humaines votre première ligne de maîtrise. Formez votre personnel pour qu’il soit capable de détecter les signaux d'alerte.
  • L’accès aux données doit être géré en fonction des besoins opérationnels. L’accès aux données doit être réservé au personnel qui en a effectivement besoin pour effectuer ses tâches.
  • Appliquez rapidement les correctifs. Cela permet de se prémunir contre de nombreuses attaques.
  • Crypter les données sensibles. Rendez vos données inutilisables en cas de vol.
  • Utilisez la double authentification. Cela permet de limiter les dommages en cas de perte ou de vol d’identifiants.
  • N'oubliez pas la sécurité physique. Les vols de données ne se produisent pas uniquement en ligne.

En tant qu’auditeurs internes, nous faisons souvent face à des échecs frustrants en matière de management des risques et de contrôle interne au sein de nos organisations. Les failles de cyber-sécurité sont de parfaits exemples d'échecs des lignes de maîtrise. Alors au lieu de pleurer avec #wannacry, retroussons-nous les manches et faisons face aux défis de notre profession. A nous d’#auditer.

Comme toujours, vos remarques sont les bienvenues.

Richard Chambers

Information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog un article sur les enjeux et les tendances concernant la profession d'audit interne.