Accueil / blog / Qu’arrive-t-il quand on ignore l’audit interne ? Demandez à la ville d’Atlanta

Qu’arrive-t-il quand on ignore l’audit interne ? Demandez à la ville d’Atlanta

L’été dernier, les auditeurs internes de la ville d’Atlanta ont averti l’exécutif que les systèmes d’information pourraient être facilement compromis et nécessitaient une intervention immédiate. Selon les médias, le rapport d’audit ne mâchait pas ses mots, invoquant le manque de ressources (outils et collaborateurs) disponibles pour faire face à ces « milliers de vulnérabilités » et qualifiant la situation d’ « exposition significative aux risques évitables ». La ville aurait apparemment commencé à mettre en œuvre certaines mesures de sécurité, mais celles-ci se sont révélées insuffisantes et trop tardives. Une attaque de rançongiciel (logiciel d’extorsion de fonds) a paralysé le réseau informatique de la ville et a presque forcé de nombreux départements à revenir au papier et au crayon. L’incident a même coupé le Wifi à l’Aéroport international d’Atlanta. Par chance, les services essentiels comme les services de secours (de même que les vols à l’aéroport le plus fréquenté du pays) n’ont pas été touchés. Il s’agit d’un cas d’école d’une attaque à l’aide d’un rançongiciel. Alors que des incidents de ce genre se produisent depuis des années aux quatre coins du monde, à Atlanta, la réponse aux avertissements réitérés des auditeurs internes aurait dû être aussi simple que dans un manuel. Et pourtant, cela n’a pas du tout été le cas. Que s’est-il passé ? Pourquoi la ville d’Atlanta, même après avoir été alertée, n’a pas réussi à mettre en place les contrôles recommandés pour renforcer ses systèmes ? Même si les réponses sont certainement nombreuses et complexes, tout porte à croire que le modèle des trois lignes de maîtrise en matière de management des risques a été ignoré. Ce modèle exige du management, la première ligne de maîtrise, qu’il endosse et gère les risques en mettant en place des dispositifs de contrôle interne efficaces, y compris des mesures correctives permettant de remédier aux déficiences des processus et des contrôles. La deuxième ligne comprend les fonctions de management des risques et de conformité. Ces dernières varient selon le secteur d’activité qui peut avoir une incidence sur la nature de leurs responsabilités précises. Cependant, elles soutiennent généralement la première ligne de maîtrise en l’aidant à à mettre au point ou à surveiller les contrôles relevant de cette dernière. La troisième ligne, comme nous le savons, est représentée par l’audit interne. Ce dernier fournit aux organes de gouvernance une assurance sur l'efficacité́ de la gouvernance, de la gestion des risques et du contrôle interne, ainsi que des recommandations pour traiter les vulnérabilités. Il s’agit d’un modèle efficace, mais uniquement si les trois lignes jouent leur rôle et si le management écoute ce que dit la troisième ligne. Dans le cas de la ville d’Atlanta, l’exécutif a manqué à sa responsabilité de prendre en compte rapidement les recommandations de l’audit interne, rendant ainsi le modèle inefficace. Certes, l’audit interne contribue parfois à compliquer le rôle du management en ne communiquant pas bien la valeur ou l’importance d’une recommandation, en ne priorisant pas les rapports en fonction des risques les plus critiques, ou en n’obtenant pas la validation du management assez en amont dans le processus. C’est pour cette raison qu’en tant qu’auditeurs internes, nous nous devons de faire tout ce qui est en notre pouvoir pour que le management comprenne aisément, et si possible systématiquement, l’ampleur de tels risques, et qu’il accepte et mette en œuvre nos recommandations. La capacité d’une organisation à agir face à de telles informations devient de plus en plus cruciale à mesure que la fréquence et l’impact des cyberattaques augmente. La semaine dernière, nous avons appris que la fuite de données subie par l’application MyFitnessPal de la marque Under Armour avait potentiellement compromis 150 millions de comptes. Le phishing (hameçonnage) est largement reconnu comme une méthode courante de diffusion de virus et pourtant les entreprises ne parviennent pas à éduquer leurs collaborateurs pour qu’ils repèrent et réagissent aux messages suspicieux. De nombreuses entreprises savent que des pirates trouvent et exploitent sans cesse les vulnérabilités des logiciels, pour lesquelles les développeurs fournissent des patchs dès qu’une nouvelle « brèche » est découverte. Pourtant, les patchs restent souvent inutilisés. Les mots de passe ont également la réputation d’être des sésames pour dérober des données (selon le rapport 2017 Data Breach Investigations Report de Verizon, 80 % des incidents liés à des piratages sont dus à des mots de passe volés, faibles ou faciles à deviner), et pourtant, certaines entreprises peinent à mettre sur pied une politique exigeant des mots de passe solides, modifiés régulièrement. Il est facile de se convaincre que le piratage n’arrive qu’aux autres (« Nous sommes trop petits pour attirer l’attention des pirates. » « Nos informations ne valent pas la peine d’être volées. »), mais cela revient à faire l’autruche. Presque toutes les organisations possédant des données sont exposées au risque, ce qui veut dire que chaque organisation est en danger, sauf peut-être si elle se situe sur une petite île isolée qui a trouvé le moyen de rester hors connexion. Il y a moins d’un an, à la suite d’une cyberattaque bien plus massive qui a frappé les réseaux informatiques du monde entier, j’ai posté un article intitulé « La cyberculture de votre organisation vous incite-t-elle à #auditer ?» dans lequel j’ai écrit : « Il me semble inconcevable que de telles attaques soient encore possibles. » À notre époque, la perspective d’une cyberattaque devrait être en continu dans notre radar et il est essentiel que les recommandations émises par l’audit interne, dès que des vulnérabilités sont décelées, soient entendues et reçoivent une attention immédiate. Pendant que les collaborateurs de la ville d’Atlanta se démènent pour se sortir de cette mauvaise passe, le moins que l’on puisse faire est de tirer quelques leçons de leur expérience :
  1. Instituer un modèle de défense en profondeur dans votre organisation. Veiller à ce que chacun connaisse ses responsabilités et les accepte.
  2. Se doter de l’expertise et des capacités nécessaires au niveau des équipes d’audit interne et de sécurité de l’information, et répondre rapidement à leurs points d’attention et aux mesures d’atténuation recommandées.
  3. Appliquer des mesures de sécurité de base comme les patchs, le renforcement des mots de passe, le cryptage des données et l’authentification multifacteur.
  4. Enseigner aux collaborateurs comment reconnaître les tentatives de piratage et y faire face.
Les organisations encourent déjà suffisamment de risques pour lesquels elles ne disposent pas de dispositifs d’alerte ou de défense. La cybercriminalité ne doit pas en faire partie. Comme toujours, vos commentaires sont les bienvenus. Richard Chambers Pour information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.

Un commentaire

  1. Avatar
    Konan François KOUADIO

    merci pour ce excellent article qui nous instruit beaucoup sur les risques informatiques et l’importance que le management doit accordé au rapport d’audit

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *