Accueil / blog / Les 6 mois de la Cyber-Sécurité à l’IFACI

Les 6 mois de la Cyber-Sécurité à l’IFACI

Un groupe de travail composé d’auditeurs et contrôleurs internes de l’IFACI s’est penché sur cette menace, placée une nouvelle fois au premier rang des préoccupations selon la dernière enquête
« Risk in focus » (voir pages précédentes), et notamment sur l’aspect « managérial » du risque cyber. Avec à la clé les résultats d’une enquête mettant en lumière les attentes des professionnels, leurs réponses permettent d’enrichir le prochain guide de l’IFACI à paraître sur le sujet.

Par Guy-Philippe Goldstein, Strategic Advisor, Expon Capital

La cybersécurité est devenue en quelques années l’un des risques majeurs de l’entreprise. L’European Confédération of Institutes of Internal Auditing’s (ECIIA) en fait le tout premier risque pour les organisations dans son rapport « Risk in Focus » pour l’année 2019 (voir pages précédentes). Il n’est pas le seul. Pour les cadres supérieurs de la City de Londres, interrogés semestriellement par la Banque d’Angleterre, ce risque est identifié par 66% d’entre eux comme faisant désormais partie des grands risques systémiques de la place de Londres (juste derrière le risque « politique » - à savoir le Brexit) – alors qu’il n’avait jamais dépassé la barre des 5% de répondants avant 2015 . Pour les grands dirigeants économiques interrogés par le World Economic Forum de Davos, dans le cadre du Global Risk Survey, cette menace n’était jamais apparue parmi les 5 plus grands risques en termes de fréquence jusqu’en 2014. L’année dernière, il se classait au 3e rang des risques les plus importants – et il était identifié comme premier risque, devant le risque climatique, en Amérique du Nord, en Europe et dans la zone Pacifique.

Les raisons de cette explosion des cyber-risques sont connues : il s’agit tout simplement de la progression croissante de notre usage des systèmes d’information numérique, ce que l’on appellerait la « surface d’attaque » d’un point de vue de cybersécurité.

Cette « explosion » est liée aux gains de valeurs que rend possible l’économie numérique : l’obtention de systèmes d’information à faible coût permet d’amplifier nos capacités de gestion, de prédiction et donc d’optimisation tout en rendant les organisations plus intelligentes en libérant l’information là où elle peut se trouver. Ces avancées vont être amplifiées dans la décennie à venir grâce à au moins trois développements : celui des objets connectés, communiquant avec les temps de latence extrêmement réduit de la 5G, et permettant de collecter l’information sur n’importe quel processus industriel ; celui de la robotisation de masse qui va révolutionner les chaînes de production ainsi que les systèmes logistiques ; celui enfin de l’intelligence artificielle – ou tout simplement de l’apprentissage statistique - qui accélère notre compréhension et notre exploitation de la masse de données collectées.

Or, ces transformations radicales du système d’information, de production et in fine de cognition de l’entreprise ne se sont pas ou ont été mal accompagnées de mesures de sécurité. Celles-ci sont à la fois d’ordre technique, mais aussi humain (en particulier sur une certaine culture de la cybersécurité d’entreprise) et de l’ordre des procédures, de l’organisation et de la gestion de la cybersécurité, y compris dans ses liens avec la gouvernance générale de l’entreprise. Ces dimensions « managériales » de la cybersécurité sont tout aussi importantes que les mesures strictement techniques. Pourtant, elles sont encore mal mise en œuvre ou même identifiées et réfléchies. Le rôle de l’auditeur et du contrôleur interne est en ce sens tout à fait fondamental.

Un groupe de volontaires d’auditeurs et de contrôleurs internes de l’IFACI se sont donc penchés sur cet aspect « managérial » du risque cyber, et du point de vue qui leur importait le plus : le leur. Quelles étaient les questions qui constituaient les enjeux les plus importants pour l’auditeur et l’auditeur interne dans ce nouvel univers désormais critique que constituent les cyber-risques ? Le groupe de travail a identifié une longue suite de questions, qui ont été proposées en sondage aux auditeurs et contrôleurs internes en ligne de l’IFACI. 51 réponses ont été obtenues en retour, représentant pour l’essentiel des auditeurs (2/3) venant de sociétés de plus de 1 000 employés (71%), mais comprenant également des contrôleurs internes, des consultants et de nombreuses PME.

Les résultats ont mis en lumière à la fois la demande d’une précision des éléments et des contrôles de base : le « minima du minima » à savoir pour pouvoir engager certaines conversations (73% « très intéressés ») ; mais aussi et surtout les manières d’arriver à communiquer avec le top management sur ces questions cyber et de traduire le risque cyber en effets opérationnels concrets (68% et 65% de « très intéressés »). C’est-à-dire traduire en langage « business » pour les correspondants des auditeurs. D’autres questions clés pour l’auditeur et le contrôleur interne ont été mis en avant, telles que : la capacité à évaluer la maturité de l’organisation ; la sensibilisation des collaborateurs au risque cyber ; l’évaluation des capacités de gestion de crise & de résilience ; se tenir au courant de l’évolution des risques cyber (y compris dans leur composant géopolitique)... Mais aussi le rôle particulier de l’auditeur et du contrôleur interne face aux autres experts internes en matière de cybersécurité.

Quels que soient les risques auxquels est exposée l’entreprise, il y aura toujours besoin d’une troisième ligne de défense qui « audite » les contrôleurs. Leur rôle sera d’autant plus précieux qu’il devient vital aux instances de gouvernance de l’entreprise de bien comprendre et anticiper ce nouveau risque. Les auditeurs et contrôleurs internes qui se sont saisis des questions clés obtenues par le questionnaire l’ont bien compris. Depuis le printemps 2019, ils se sont mis à identifier les toutes premières réponses à ces questions clés. Les réponses seront par nature non exhaustives, mais elles marqueront un premier jalon. Elles s’inscriront dans l’édition par l’IFACI d’un guide des Cyber Risques 2.0, lui-même dans le prolongement d’une première édition parue en 2018. Cette fois-ci, ce guide sera co-écrit par et pour les membres auditeurs et contrôleurs du risque de l’IFACI. Il marquera un premier pas, probablement suivi par d’autres, vers un meilleur approfondissement de ce sujet désormais critique pour les auditeurs et les contrôleurs internes.

1 Voir https://www.bankofengland.co.uk/systemic-risk-survey/2018/2018-h2 2 Voir http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf À noter : en 2019, le risque de cyber-attaques « perd » un rang mais demeure au 4e rang, devant le risque climatique.

A propos La rédaction

Avatar