Accueil / blog / Quand la SEC parle de cybersécurité, mieux vaut l’écouter

Quand la SEC parle de cybersécurité, mieux vaut l’écouter

Il m’arrive souvent de discuter avec des journalistes du rôle de l’audit interne dans le management des risques, particulièrement dans le domaine de la cybersécurité. L’un d’eux m’a récemment interrogé sur un nouveau rapport de la SEC (Securities and Exchange Commission) intitulé « Cyber-Related Frauds Perpetrated Against Public Companies ». Le rapport décrit les enquêtes menées auprès de neuf sociétés cotées qui ont été victimes de cyberfraude.

Dans tous les cas examinés par la SEC, des fraudeurs avaient réussi à duper des collaborateurs pour qu’ils transfèrent des sommes d’argent importantes sur des comptes en banque qu’ils contrôlaient. Certaines de ces fraudes ont duré pendant des mois et n’ont été détectées que suite à l’intervention des autorités ou d’autres parties extérieures à la société. Les neuf sociétés ont transféré un montant total de près de 100 millions de dollars aux malfaiteurs, dont la majeure partie est, selon la SEC, irrécupérable.

À la suite de son enquête, la SEC a encouragé les sociétés cotées à prendre en compte les cybermenaces lors de la mise en œuvre de leur dispositif de contrôle interne comptable. C’est un bon conseil. Mais en tant qu’auditeurs internes, nous savons que la préparation dans le domaine de la cybersécurité n’est pas seulement un enjeu comptable. C’est un aspect crucial du management des risques au quotidien, dans tous les secteurs de nos organisations.

Des initiatives telles que le mois de la cybersécurité en octobre sensibilisent le public aux cybermenaces mais il y a une grande différence entre être conscient des problèmes de cybersécurité et être prêt à y faire face. Dans beaucoup de nos organisations, il existe des lacunes considérables en matière de préparation. Par exemple, plus de 90% des répondants à l’enquête « 2018 North American Pulse of Internal Audit » de l’Audit Executive Center de l’IIA ont déclaré que leur organisation avait un plan de continuité d’activité, mais qu’en matière de cyberattaques, beaucoup de ces plans n’offraient qu’une illusion de sécurité. Un quart seulement des participants à l’enquête ont déclaré que leurs plans comprenaient des procédures claires et spécifiques de réponse à une cyberattaque, et 17% ont indiqué que leurs plans de continuité d’activité ne comprenaient pas de procédures de réponse.

En tant qu’auditeurs internes, nous reconnaissons l’importance des contrôles de prévention et de détection qui contribuent à protéger nos organisations contre les cyberattaques. Mais tôt ou tard, ceux-ci ne suffiront plus. Même les contrôles les mieux conçus peuvent s’avérer défaillants et les experts sont pratiquement unanimes pour reconnaître que la question n’est pas de savoir si nos organisations pourraient succomber à une cyberattaque, mais de savoir quand. La prévention et la détection sont essentielles mais nous devons également nous assurer que nos organisations sont en mesure de se remettre d’une attaque de manière efficace, effective et rapide.

La cyber-résilience prend en compte la capacité de l’organisation à fonctionner durant une attaque, à s’adapter et à rétablir la situation après l’attaque. Elle permet à nos entreprises d’atteindre leurs objectifs en dépit des cyber-attaques. Mais assurer la transition de la cybersécurité vers une véritable cyber-résilience ne sera pas chose aisée. Les changements au niveau de la culture d’entreprise ne le sont jamais et ceux qui combinent la sécurité de l’information, la continuité d’activité et la résilience, sont particulièrement redoutables. C’est pourquoi la cyber-résilience est une problématique qui nécessite l’aide de tous et qui mérite l’attention des trois lignes de maîtrise.

Certaines organisations estiment que les questions de cybersécurité sont du ressort de la fonction SI et des experts en matière de sécurité ; selon elles, l’audit interne ne fournit guère plus qu’une assistance sur ces sujets-là. Pourtant, une partie du périmètre d’intervention de l’audit interne est dédiée à l’évaluation de la cyber culture de l’entreprise et à la création d’une culture cyber-avertie.

Selon le GTAG (Global Technologies Audit Guide) de l’IIA « Evaluer le risque de cybersécurité », l’audit interne joue un rôle crucial lorsqu’il évalue les risques de cybersécurité d’une organisation. Pour ce faire, il prend en compte les éléments suivants :

▪ Qui a accès aux informations les plus précieuses de l’organisation ?
▪ Quels actifs constituent les cibles les plus probables d’une cyberattaque ?
▪ Quels systèmes causeraient le plus de perturbations s’ils étaient compromis ou rendus inopérants ?
▪ Quelles sont les données qui, si elles tombaient entre les mains de tiers non autorisés, pourraient causer des dommages financiers, en termes de compétitivité, d’ordre juridiques ou de réputation ?
▪ Le management est-il préparé à réagir en temps opportun en cas d’incident de cybersécurité ?

Les risques de cybersécurité ne cessent de s’accroître et les conséquences potentielles vont bien au-delà du domaine des SI. Selon un rapport du Council of Economic Advisors, la cybercriminalité a coûté, rien qu’en 2016, entre 57 et 109 milliards de dollars à l’économie américaine. Les risques de réputation peuvent même être plus élevés que les risques financiers. Pour citer Stéphane Nappo, responsable de la sécurité des systèmes d’information à la Société Générale, « il faut 20 ans pour bâtir une réputation mais un incident de cybersécurité peut la détruire en seulement quelques minutes ».

Les Normes internationales pour la pratique professionnelle de l’audit interne de l’IIA stipulent que le responsable de l’audit interne doit rendre compte périodiquement à la direction générale et au Conseil des risques significatifs et des contrôles correspondants. La fréquence et le contenu de la communication devraient dépendre de l’importance des informations à communiquer et de l’urgence des actions correctives à entreprendre par la direction générale et/ou le Conseil. Si, comme la plupart des auditeurs internes, vous travaillez dans une organisation qui n’a pas de procédures claires et spécifiques de réponse à des cyberattaques et de retour à la normale, le temps est peut-être venu d’augmenter la fréquence et le contenu des communications relatives aux cybermenaces et à leurs conséquences. Les risques sont trop grands pour être ignorés.

Le rapport récent de la SEC devrait, une fois de plus, nous rappeler l’importance des contrôles internes en matière de cybersécurité. Les cyber-risques sont toujours présents et devraient toujours être dans notre radar, mais le fait que la SEC en parle devrait nous inciter à redoubler d’effort.

Vos réflexions sur ce sujet capital sont les bienvenues.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.