Accueil / blog / La fuite de données Facebook est riche en enseignements pour les auditeurs internes

La fuite de données Facebook est riche en enseignements pour les auditeurs internes

Facebook, qui était il n’y a encore pas si longtemps le réseau social chouchou, irréprochable tant aux yeux des utilisateurs que des investisseurs, vient d’essuyer un nouveau revers. En effet, des chercheurs en cybersécurité ont récemment découvert que les données personnelles d’utilisateurs de Facebook étaient stockées, sans aucune protection, dans le cloud d’ Amazon.

Cette révélation intervient près d’un an après que Facebook a été cloué au pilori suite au scandale Cambridge Analytica, où un développeur d’application avait partagé les données personnelles de millions d’utilisateurs avec un cabinet de conseil en communication politique. Bien que Mark Zuckerberg, le CEO de Facebook, ait assuré que sa société prendrait davantage de mesures pour protéger les données des utilisateurs, des failles de sécurité, comme celle qui implique Amazon, continuent de se produire.

Du point de vue de l’audit interne, les déboires de Facebook offrent une leçon claire et irréfutable : les données, autrefois considérées uniquement comme un atout à exploiter, doivent désormais aussi être perçues comme une charge ou un risque potentiel. Il existe une demande croissante en faveur d’une meilleure protection des données, et plus particulièrement des informations à caractère personnel qui sont une véritable mine d’or pour les spécialistes du marketing, de la distribution, des campagnes électorales et pour tous ceux qui veulent influencer ce que le public fait ou pense.

De plus en plus de gouvernements envisagent de faire passer une loi visant à exiger des agrégateurs de données qu’ils protègent les données et garantissent le respect de la vie privée. Le public réclame aussi que des comptes soient rendus dans ce domaine, comme le montre clairement une enquête récente de l’IBM Institute of Business Value.

Trois quarts des participants à l’enquête d’IBM ont déclaré ne pas faire confiance aux entreprises qui détiennent leurs données. En outre, 87 % estiment que les gouvernements devraient réglementer les sociétés qui gèrent des données personnelles, et 40 % pensent que les dirigeants d’entreprise qui ne le font pas devraient être condamnés à payer des amendes ou à des peines de prison.

En bref, les données sont un peu devenues un « Docteur Jekyll et Mister Hyde ». L’exploration et l’analyse des données sont une étape cruciale de la prise de décision stratégique. Elles aident les entreprises et les organisations à construire des modèles fondés sur les enseignements du passé, pour prédire les comportements futurs. Mais la mauvaise gestion des données, et l’incapacité d’en tirer des conséquences, constitue un risque qui gagne en visibilité et en complexité dès lors qu’une défaillance en matière de protection des données nuit à la réputation de l’organisation. D’ailleurs, 70% des responsables de l’audit interne interrogés dans le cadre de l’enquête de l’ IIA « 2019 Pulse of Internal Audit» ont désigné le préjudice de réputation consécutif à une violation de données comme leur préoccupation principale en matière de cybersécurité.

Les auditeurs internes doivent cultiver et maintenir leur connaissance de la manière dont l’organisation recueille, gère, protège, utilise et partage les données. Ils doivent également être informés des pratiques actuelles, et passées, d’utilisation et de stockage des données. Nombreux sont les domaines dans lesquels l’audit interne peut fournir une assurance sur les données.

Conformité. De nouvelles réglementations relatives à la protection des données, telles que le Règlement Général sur la Protection des Données (RGPD) en Europe ou le « California Consumer Privacy Act », qui devrait entrer en vigueur l’année prochaine, sont rapidement en train de créer un réseau complexe de risques de conformité liés à la protection des données. L’audit interne doit suivre de près ces réglementations, ainsi que tout projet de réglementation, pour offrir des points de vue et une vision prospective concernant les mesures à prendre pour s’y conformer.

Opérations. Les politiques et les processus relatifs à la collecte, à la gestion et à la protection de données offrent de multiples opportunités en termes d’assurance. Le partage des données en interne et à l’externe est un aspect clé de la protection des données. Pour beaucoup d’organisations, les politiques et les processus qui visent à protéger les données sont moins importants que les politiques et les processus qui visent à les monétiser, ce qui accroît le risque de violation de données.

Stratégie.Les conseils d’administration et les dirigeants prennent des décisions stratégiques en fonction de nombreux facteurs, y compris l’analyse des données. L’audit interne doit fournir une assurance sur l’exactitude des données et sur le processus d’analyse lui-même.

Culture. Cet aspect des risques liés aux données est particulièrement difficile à saisir. L’audit interne doit être conscient de l’impact que l’approche et les décisions adoptées par l’organisation dans ce domaine peuvent avoir sur les activités quotidiennes de cette dernière. De plus, les auditeurs doivent avoir une idée précise de la capacité de l’organisation à s’adapter à des besoins variables en données. La culture est souvent définie comme « la façon de faire les choses dans l’organisation ». Toutefois, si cela revient à ignorer la nécessité de protéger les données, alors nous sommes face à un problème de culture.

Une enquête Gartner de 2018 a révélé que 87% des organisations présentaient un niveau de maturité faible en matière d’informatique décisionnelle et d’analytique d’affaires. Pour les organisations qui souhaitent accroître la valeur de leurs données et exploiter de nouvelles technologies analytiques, ce constat représente non seulement un handicap, mais suggère aussi une connaissance limitée des implications légales et éthiques liées à l’utilisation des données.

L’audit interne a manifestement beaucoup à offrir dans le domaine des données. C’est aux responsables de l’audit interne qu’il appartient d’attirer l’attention des conseils d’administration et des dirigeants sur la valeur de l’assurance dans chacun des domaines décrits ci-dessus, et d’être prêts à la fournir lorsque l’opportunité se présente.

Comme toujours, vos commentaires sont les bienvenus.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.