Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLes entreprises capitulent-elles face aux risques cyber ?

Les entreprises capitulent-elles face aux risques cyber ?

La dernière faille de cybersécurité en date nous sensibilise aux vulnérabilités liées aux services « cloud », aux menaces internes et aux risques posés par les tiers. Elle illustre à quel point les risques cyber peuvent s’avérer complexes et se chevaucher. Aussi, il convient à toutes les organisations de posséder une connaissance approfondie des risques de cybersécurité non seulement dans leur structure, mais aussi dans leur cyberculture.Dans cet article de blog de 2018, je reviens sur l’importance de la relation entre l’audit interne et les responsables de l’informatique ainsi que sur la valeur de la connaissance de la cyberculture.

En l’espace d’une douzaine d’années environ, la cybersécurité est devenue une priorité absolue des conseils d’administration et des dirigeants, alors qu’elle était auparavant considérée comme une thématique informatique mystère, à la seule portée des responsables de la sécurité et des DSI. Et pourtant, pour un problème dont chacun s’accorde à dire qu’il évolue à la vitesse de l’éclair, les progrès tardent à se manifester.

Les cyberattaques de grande ampleur sont devenues monnaie courante et aucun secteur n’est à l’abri. La Privacy Rights Clearinghouse a recensé aux États-Unis plus de 8 600 violations de données depuis 2005, dont 831 en 2017. Cette organisation, située au Center for Public Interest Law de la faculté de droit de l’université de San Diego, admet qu’elle n’arrive pas à rendre compte de toutes les cyberattaques qui ont abouti à une perte mais elle estime néanmoins à plus de 11 milliards le nombre de fichiers touchés depuis qu’elle a commencé à les comptabiliser.

Quand bien même, je dois admettre que je suis perplexe chaque fois que j’entends parler d’une cyberattaque qui aurait pu être évitée. Les piratages sont trop souvent dus à des défaillances humaines, et non technologiques. Voilà qui est particulièrement inquiétant quand on sait que, dans les sondages sur les risques, tous les dirigeants et les administrateurs désignent la cybersécurité comme l’une des principales priorités, si ce n’est la plus importante.

Je commence à me demander si ce n’est pas l’immensité du champ de la cybersécurité qui provoquerait l’immobilisme de certaines organisations. Je me demande si les entreprises ne jettent pas tout simplement l’éponge en se résignant face à ce qu’elles pensent être « inévitable ». Même si elles sont parfaitement conscientes du fait que les violations de données peuvent être très dommageables tant du point de vue financier que réputationnel, les entreprises ne prennent pas les mesures nécessaires pour se protéger. Pire, en adoptant une vision défaitiste ou fataliste quant à l’éventualité d’un piratage, elles pourraient contribuer à la faiblesse ou l’inefficacité des dispositifs de contrôle.

Deux études récentes fournissent des exemples supplémentaires de nos difficultés en matière de cybersécurité. Une étude menée par Spencer Stuart auprès des sociétés du S&P 500 a révélé que, l’année passée, les conseils d’administration ont engagé un nombre record de nouveaux administrateurs (397), jamais vu depuis 2004, mais que seulement 19 % d’entre eux avaient de l’expérience dans le domaine des technologies ou des télécommunications. Ainsi, malgré la prise de conscience croissante de l’importance d’avoir des administrateurs compétents en matière de SI et de cybersécurité, il semblerait que celle-ci ne se traduise pas toujours par des actions concrètes dans la réalité.

Dans un autre rapport, l’entreprise de sécurité informatique IOActive a identifié des vulnérabilités en matière de cybersécurité sur la quasi-totalité des 40 plateformes de courtage en ligne qu’elle a investiguées. La sévérité de ces vulnérabilités était variable, allant du stockage de mots de passe non cryptés à la promotion de fonctionnalités exposées aux logiciels malveillants.

Cela reflète à quel point le manque d’intégration de la cybersécurité dans tous les domaines de l’organisation représente un enjeu permanent. Je suis certain qu’aucune de ces plateformes de courtage en ligne n’a délibérément choisi de devenir une cible mais trop souvent l’exigence de simplicité et l’impératif de fluidité dans les échanges avec les clients interviennent au détriment de la cybersécurité.

Si les dirigeants capitulent face aux risques cyber, les auditeurs internes ne peuvent certainement pas se permettre d’en faire autant. Nous devons non seulement nous assurer que nous avons dans notre équipe les talents requis pour auditer les processus et les contrôles SI, mais nous devons aussi comprendre comment la cybersécurité est perçue au sein de l’organisation. En bref, une partie du périmètre d’intervention de l’audit interne doit être dédiée à l’évaluation de la cyberculture de l’entreprise et à la création d’une culture cyber-avertie.

La gestion des talents est l’un des quatre leviers de la transformation de l’audit interne que j’ai évoqués dans un article de blog début 2017. En résumé, l’audit interne doit redéfinir sa gestion des talents, particulièrement dans le domaine des SI.

Extrait dudit article :

Les solutions dans le domaine de la gestion des talents sont probablement les plus complexes à mettre en place. Par exemple, les responsables de l’audit interne font état de difficultés importantes à recruter des collaborateurs dotés de compétences en matière de cybersécurité, de protection des données/data mining et d’analyse de données. Cependant, il existe des mesures claires que nous pouvons prendre afin de nous assurer que nous disposons des talents adéquats pour répondre aux demandes des parties prenantes, innover et faire preuve d’agilité.

[L’enquête North American Pulse of Internal Audit] identifie six clés pour recruter les personnes adéquates, notamment l’élaboration d’une stratégie de gestion des talents, la recherche de candidats issus d’horizons divers ainsi que des formations et un développement professionnel prenant en compte les perspectives futures. Mais l’une des clés les plus importantes est de veiller à ce que le périmètre de l’audit interne définisse les compétences de l’équipe et non l’inverse. Trop souvent, les missions réalisées par les fonctions d’audit interne sont dictées par les compétences de leurs collaborateurs. Cette pratique est dangereuse et va à l’encontre de l’innovation et de l’agilité.

Le rôle de l’audit interne dans l’instauration d’une culture cyber-avertie va de pair avec la présence de talents adéquats dans l’équipe. Les fonctions d’audit interne sont capables d’intégrer des évaluations de la culture dans chaque mission qu’elles réalisent et elles sont donc également capables d’évaluer la contribution de la culture aux succès et aux échecs en matière de cybersécurité.

L’audit interne doit coopérer avec les responsables informatiques et les responsables de la sécurité informatique pour identifier les faiblesses au niveau des contrôles et des pratiques de cybersécurité dans l’entreprise. Il est particulièrement important que la relation entre l’audit interne et les responsables SI soit saine et collaborative. Après tout, ils ont tous pour objectif une cybersécurité efficace.

L’audit interne doit, en toutes circonstances, fournir au conseil d’administration une évaluation directe et objective de l’application des règles de cybersécurité au sein de l’entreprise, et vérifier comment la culture de l’organisation soutien ou entrave la cybersécurité. Et, ce qui est tout aussi important, nous devons fournir l’assurance sur le degré de préparation de l’entreprise en cas de failles de sécurité informatique.

J’aimerais savoir quelles mesures vous avez prises pour évaluer la culture de cybersécurité dans votre organisation.

Comme toujours, je me réjouis de lire vos commentaires.

Communication externe:

Richard F. Chambers, est présidente et directeur général de l’IIA (Institute of Internal Auditors) et publie chaque semaine un blog traitant des sujets d'actualité liés a l'audit interne.