Accueil / actualités / Le guide Cyber de l’IFACI : “un véritable espace d’échange de bonnes pratiques”

Le guide Cyber de l’IFACI : “un véritable espace d’échange de bonnes pratiques”

Le guide Cyber de l'IFACI : "un véritable espace d'échange de bonnes pratiques"

L’enquête sur la cybersécurité réalisée ces derniers mois auprès des auditeurs et contrôleurs internes a permis de construire la seconde édition du guide, en mettant à jour les principales questions que se posent les professionnels et en évoquant quelques pistes de solutions. Guy-Philippe Goldstein, expert du sujet et directeur des travaux, nous en dévoile les grandes lignes.
Le risque cyber apparaît régulièrement en tête des préoccupations des dirigeants d’entreprises, des auditeurs et des contrôleurs internes. Une inquiétude qui ne faiblit pas...
Guy-Philippe Goldstein : C’est une préoccupation partagée par tout le monde dans l’univers de l’entreprise, dans tous les pays industrialisés, et qui est même citée aujourd’hui avant le risque climatique. En France, l’an dernier, l’actualité a été très forte avec de nombreuses attaques : contre le CHU de Rouen, Fleury Michon, Altran, Airbus... En général, on insiste beaucoup sur le risque technique, mais on oublie souvent qu’il y en a un qui est encore plus grave : la crise de confiance qui découle d’une attaque cyber. Confiance de ses clients, de ses partenaires et même de ses collaborateurs. J’ai participé à une étude préliminaire pour PwC qui montrait que dans les deux tiers des cas, le cours de bourse des entreprises cotées ciblées par des cyberattaques baissait de 10 % en moyenne au bout d’un mois. Et pour 40 % d’entre elles, la baisse moyenne après un an était de 20 %...
Comment s’est déroulée l’étude qui a permis de réaliser ce guide ?
Nous avons tout d’abord organisé plusieurs tables rondes avec des auditeurs et contrôleurs internes qui ont permis d’évoquer toutes les questions clés relatives à de la cybersécurité. Puis nous avons réalisé un sondage en ligne auprès des adhérents de l’IFACI pour établir quelles étaient les thématiques qui leur semblaient les plus importantes parmi celles issues des tables rondes. Ce qui nous a permis d’en retenir neuf, considérées comme « très importantes ». Celles qui ont recueilli le plus de suffrages (plus de 65 % des répondants) étaient : « Connaître les fondamentaux importants pour les auditeurs et contrôleurs internes », « Comment sensibiliser le top management et avec quel type de tableau de bord », et « Identifier les risques opérationnels concrets ».
Avez-vous été surpris par le score de certaines des questions retenues ?
Pas forcément par les thématiques principales, mais peut-être par le fait que certaines questions très pratiques, voire techniques, n’ont au contraire pas été retenues, comme « sélectionner le bon prestataire » ou « connaître le vocabulaire ».
Quel était le « profil » des répondants ? Nous avons reçu 52 réponses, deux tiers des répondants travaillant dans des entreprises de plus de 1 000 personnes et 40 % dans des groupes de plus de 10 000 collaborateurs. Plus de 60 % étaient des auditeurs internes, 15 % environ contrôleurs internes, les autres étant des professionnels du risque, des consultants... Et 64 % d’entre eux ont déclaré se sentir « fortement exposés » ou « très fortement exposés » au risque cyber. La rédaction du guide a-t-elle aussi été un travail collaboratif ? Oui, 24 auditeurs et contrôleurs internes ont proposé d’y participer et ont contribué à la phase de consolidation, répartis en huit groupes de travail. Et il faut vraiment les en remercier. Nous avons également reçu le concours de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information.
À l’issue de ces travaux, et de par votre expérience personnelle, considérez-vous que le risque est aujourd’hui suffisamment pris en compte dans les organisations ? La question ne se pose plus : il y a bien un risque cyber et tout le monde en est conscient. En revanche, on ne sait pas bien en évaluer l’impact et le niveau d’investissement n’est donc pas suffisant. Encore une fois, le risque principal ne pèse pas tant sur la production - le coût ne sera pas insurmontable si elle est stoppée quelques jours – mais sur la confiance, l’e-réputation... Un risque plus difficilement mesurable parce que les impacts sont souvent ressentis deux ou trois mois après la crise. Comment imaginez-vous les suites à donner à ce cyberguide 2.0 ? Nous allons au-delà du guide en proposant en ligne tout ce qui a été produit pendant les travaux, et notamment des outils Excel. Et ce qui est certain, c’est qu’il s’agit en fait d’un point d’étape. Tous les auditeurs et contrôleurs internes doivent saisir cette opportunité pour faire de ce guide un véritable espace d’échanges de bonnes pratiques : indiquer ce qu’il leur apporte, les points avec lesquels ils sont en désaccord. Ce qui devrait déboucher sur un guide 3.0 qui lui reste à écrire...

A propos joanna

Avatar