Accueil / actualités / Nouveau guide IFACI pour la gouvernance des cyber risques

Nouveau guide IFACI pour la gouvernance des cyber risques

Face à une menace désormais bien présente, l’IFACI publie un document destiné à aider les organisations à se prémunir contre ces nouveaux risques. Un guide en 10 points réalisé par un groupe de travail animé par Guy-Philippe Goldstein, Enseignant-chercheur à l’École de Guerre Économique et expert en cybersécurité. Si le cyber risque figure dans le top 3 de la dernière réunion du World Economic Forum de Davos ainsi que dans Risk in Focus 2019, les sujets incontournables de l’audit interne (à retrouver sur www.ifaci.com), ce n’est pas sans raison. 2017 l’a encore montré avec les attaques Wannacry et NotPetya qui ont frappé coup sur coup et paralysé de nombreuses organisations. Ces attaques ont grandement contribué à faire connaître l’impact des cyber risques. Mais tout d’abord, quand parle-t-on de cyber risques ? On parle de cyber risque quand un risque « classique » de l’entreprise (risque de réputation, de continuité opérationnelle, de poursuite légale…) se matérialise à la suite d’une action malveillante utilisant les moyens digitaux, et pouvant exploiter une négligence humaine et/ou une vulnérabilité du logiciel ou du matériel.

Un document de référence

Le développement de ce risque est causé par la mutation de nos sociétés et des organisations avec notamment : la digitalisation des activités et une complexité technique et humaine accrue. Le cyber risque reste mal maîtrisé, sinon mal appréhendé aujourd’hui dans beaucoup d’organisations.
« Ce guide invite (…) les professionnels de la maîtrise des risques à réagir et approfondir les pistes soulevées »
Dans ce contexte, et pour les aider à faire face à cette nouvelle menace, l’IFACI a publié un document de référence sur la gouvernance des cyber risques. Guy-Philippe Goldstein, Enseignantchercheur à l’École de Guerre Economique et expert en cybersécurité a été sollicité pour rédiger ce guide. Les travaux ont été dirigés par un groupe de travail IFACI constitué pour l’occasion. Ils ont été revus gracieusement par trois personnalités : Alain Bouillé, Directeur de la Sécurité des Systèmes d’Information du Groupe Caisse des Dépôts, Président du CESIN ; Danny Bren, Ancien Brigadier Général de l’Armée de Défense d’Israël, Commandant des Divisions de Cyber-Défense et Philippe Trouchaud, Partner PwC France Technology, Cyber Security & Infrastructure Leader.

Le point de départ d'une réflexion collective

En proposant 10 principes généraux pour gérer les cyber risques, l’objectif de ce document est d’aider les acteurs de la maîtrise des risques à doter leurs organisations d’un premier niveau de protection efficace. La gouvernance des risques, dont l’adaptation à cette nouvelle menace peut, en fonction des contextes, se révéler nécessaire, est également traitée dans la seconde partie de la publication. Un comité d’adaptation aux Cyber Risques pourra, par exemple, être créé pour accélérer l’intégration des Cyber Risques dans le processus de maîtrise des risques de l’organisation. Le guide invite auditeurs et contrôleurs internes, risks managers et plus largement l’ensemble des professionnels de la maîtrise des risques à réagir et approfondir les pistes soulevées. C’est la raison pour laquelle le document propose une suite d’éléments clés afin que chaque entreprise puisse s’en saisir et l’adapter à son contexte. Ce document constitue également le point de départ d’une réflexion collective que l’IFACI souhaite conduire sur les enjeux de la Cybersécurité. Retrouvez la publication « Cyber risques : Enjeux, approches et gouvernance » sur Workplace. [box type="info" align="aligncenter" class="" width="50"]Composition du groupe de travail • Yann Boucraut, Directeur Central Contrôle Interne et Audit, Groupe Bouygues • Sylvie Sadones, Directeur Audit Interne Informatique, Groupe Renault • David Metivier, Head of Group Internal Audit, Benefit and Reward Services, Service Operations (incl. ICT), Sodexo • Vincent Maret, Partner, Cyber Security Services, KPMG Advisory.[/box] [box type="shadow" align="aligncenter" class="" width="50"]Réagissez et poursuivez les échanges sur le guide dans le groupe de travail cybersécurité sur Workplace[/box]