Le nouveau guide des risques Cyber, réalisé « par des auditeurs, pour des auditeurs »

« Le guide des risques cyber 3.0, les questions de l’auditeur et du contrôleur internes » est désormais disponible¹. Un guide de plus de 90 pages qui a nécessité des mois de travail pour une trentaine d’adhérents et d’experts, sous la direction de Guy-Philippe Goldstein, chercheur et consultant sur les questions de cybersécurité et de cyberdéfense.

Quelle est la genèse des guides Cyber IFACI ?

Guy-Philippe Goldstein : L'IFACI et la question du risque cyber, c’est une longue histoire, qui a débuté en 2017. Ce premier guide était assez court, une dizaine de pages seulement, sur ce risque qui n’était alors qu’émergent Nous nous sommes fait par la suite la réflexion qu’il faudrait à l’avenir un guide vraiment dédié aux auditeurs et aux contrôleurs internes, fait par les auditeurs et les contrôleurs internes eux-mêmes. Parce que des guides sur le risque cyber, et heureusement d'ailleurs, il y en a aujourd'hui pléthore, qui sont édités par de multiples sources comme l'ANSSI², avec beaucoup d'informations techniques. C’est un risque qui historiquement a été d'abord géré par les techniciens, alors qu’il s’agit d'un risque qui nécessite une approche pluridisciplinaire.

Nous avons donc eu la volonté d'utiliser l'intelligence collective et l'expérience des adhérents de l'IFACI qui, en tant qu'auditeurs et contrôleurs internes, sont les mieux à même de pouvoir déterminer ce qui est intéressant et pratique pour leurs collègues. C’est ce que nous avons fait pour le second guide publié en 2020.

Et pourquoi ce nouveau guide, baptisé Cyber 3.0, maintenant ?

G-P.G. : Avec le temps, ce risque cyber est devenu encore plus important, comme l’a souligné ces dernières années l’étude « Risk in focus »³, dans laquelle cela fait plus de 3 ans qu’il est identifié comme le risque numéro 1 par les auditeurs et contrôleurs internes. Nous souhaitions donc aller vers une réflexion plus affûtée, avec de nouveaux retours d'expérience, parce que les choses ont bougé et que de nouvelles questions ont émergé. La philosophie de ce guide est restée la même. D’une part, à nouveau, adresser les questions très particulières que les auditeurs et les contrôleurs internes peuvent se poser – non pas “comment je fais du reverse engineering de maliciel” mais bien plutôt “Quels sont les risques opérationnels concrets?”, “Comment sensibiliser le top management?”, “Quel est le rôle de l’audit et du contrôle interne face aux autres experts internes en cybersécurité”, etc. D’autre part, le guide ne se veut pas un volume encyclopédique exhaustif sur toutes les questions de cyber-risque, ce serait illusoire avec une matière si large et en constante évolution. Par contre, il a pour ambition d’être un point d’entrée utile et intelligent sur ces questions pour l’ensemble des auditeurs et des contrôleurs internes. Idéalement, il sera aussi un point de départ pour avis, commentaires et critiques constructives qui ne manqueront pas d’émerger. Et qui sont vitales pour animer notre réflexion collective.

« Les éclaireurs du cyber »

Comment avez-vous travaillé cette fois ?

G-P.G. : La manière de le faire est restée pratiquement la même que pour le guide précédent. Nous avons procédé en plusieurs étapes. La première était de réunir d'abord tout un ensemble d'auditeurs et de contrôleurs internes adhérents de l’IFACI intéressés par le sujet et prêt à s’engager un peu en terme de temps d’échange, de réflexion et de rédaction. Il y a 4-5 ans, ils étaient une vingtaine. Là, nous en avons réuni 33, qui sont nos nouveaux « éclaireurs » du cyber. Avec un bon mélange d'anciens qui avaient participé au guide précédent et de nouveaux, ainsi qu’une mixité en termes de niveau de séniorité et d'expérience. Avec aussi des experts comme par exemple Mathieu Couturier ou Fabien Renaudin de l’ANSSI ², Vincent Maret de KPMG, Jamal Basrire de PwC ou Maxime Cartan, de Citalid. Mais aussi des personnes totalement novices. C’était important de multiplier les points de vue.

Et vous vous êtes appuyé également sur des remontées d’information des adhérents ?

G-P.G. : Nous nous sommes dit que pour connaître leurs attentes, le mieux était de leur poser la question directement. Nous avons donc partagé un questionnaire comprenant une vingtaine de questions, à noter de 1 (« je ne suis pas du tout intéressé ») à 5 (« Je suis très intéressé »).

Et en retour, plus d’une douzaine de questions étaient cochées 4 ou 5 à plus de 80 % et souvent même plus de 90%. Visiblement, les thèmes étaient bien choisis. 64 personnes ont répondu, avec des profils plus souvent issus d’ETI et de PME que pour le précédent rapport, ce qui indique que la prise de conscience du risque cyber s’est étendue à de plus petites structures. Nous avons ensuite sélectionné les 10 questions qui suscitaient le plus l'intérêt des auditeurs et des contrôleurs internes.

Les 10 questions clés du guide Cyber 3.0

1 – Les impacts opérationnels concrets du risque cyber

2 – Sensibiliser le top management, et avec quels types de tableaux de bord

3 – Le rôle de l’audit et du contrôle interne face aux autres experts internes en cybersécurité

4 – Les fondamentaux techniques/contrôles de base à connaitre a minima pour les équipes audit et contrôle internes

5 – Mesurer la maturité de l’organisation et son niveau d’exposition au risque cyber

6 – Prendre en compte et intégrer les régulations à venir

7 – Se tenir au courant de l’évolution du risque cyber – y compris au niveau géopolitique

8 – Sensibiliser les collaborateurs, développer une « cyber-hygiène » et mieux contrôler le facteur humain

9 – Le risque cyber dans les projets informatiques, y compris cloud, low-code, IA

10 – Vérifier et contrôler l’état des risques-cyber des fournisseurs clés de l’entreprise ou des entités cible d’opérations d’acquisition.

Quels sont les enseignements principaux tirés des réponses au questionnaire ?

G-P.G. : L’une des choses les plus intéressantes, selon moi, c'est la remontée en première place de la question sur les impacts opérationnels concrets du risque cyber, alors que dans le même temps, celle sur les fondamentaux techniques / contrôle de base à connaître à minima est passée en quatrième position, alors qu’elle était en première place il y a 4 ou 5 ans.

Vous y voyez le signe d’une maturité un peu plus forte des auditeurs et contrôleurs internes sur ce sujet de la cybersécurité ?

G-P.G. : Un signe de maturité oui, même si la question des fondamentaux reste dans le top 5. Il y a malgré tout une évolution, notamment dans le fait d’être bien conscient désormais des impacts : fuite de données, risques juridiques, perte de clients fâchés, production qui s'arrête pendant X jours de vente… Ceci, les dirigeants le comprennent maintenant très bien. Je trouve intéressant que cette question soit passée en tête cette année. De certains retours que j’ai eu auprès de RSSI (responsable de la sécurité des systèmes d’information), l’approche par les risques opérationnels les plus concrets reste la meilleure façon d’accrocher de manière prolongée l’intérêt du dirigeant.

« Il y a un tsunami de régulations qui arrivent »

Quels sont les changements notables par rapport au questionnaire précédent ?

G-P.G. : Il y a des questions qui sont remontées dans le classement. Par exemple, la question portant sur le risque cyber lié aux projets informatiques. Lorsqu’il existe une accélération d'une nouvelle technologie, comme c’est le cas aujourd’hui avec, entre-autres, l’Intelligence Artificielle, c'est normal que cette question remonte un peu plus fortement.

Et puis il y a de nouveaux entrants dans notre top 10, comme la question sur les régulations à venir. Là, on peut dire que cela s’explique assez facilement, parce qu'il y a un tsunami de régulations qui arrivent, dont NIS2⁴.

La question du risque cyber des fournisseurs est aussi plus forte. C'est sans doute lié au RGPD qui avait introduit cette réflexion-là. Et aujourd'hui, on travaille avec tellement de prestataires à tous les niveaux que l'on risque d'importer dans son organisation le risque des prestataires. L’entreprise est en réseau : son risque propre dépend mécaniquement de celui de son entourage proche.

Comment avez-vous poursuivi le travail ?
G-P.G. : Nous avons constitué dix équipes de trois à quatre personnes, chaque équipe se concentrant sur l’une des questions, avec l’aide des experts et mon support également. Cette première étape a duré trois mois, à l’issue de laquelle, en juillet, chaque équipe a présenté aux autres ce sur quoi elle avait travaillé. S’en est ensuivi un débat ouvert, critique et constructif. Chacun étant libre de prendre en compte les remarques formulées. Puis le travail de rédaction a commencé.

Comment décririez-vous le résultat final ?

G-P.G. : Il reflète de manière assez fidèle, il me semble, la qualité et le sérieux de l’engagement de tous les adhérents “éclaireurs”, que je tiens ici à remercier. Je pense aussi que pour certains, comme me l’ont confié des éclaireurs, il y a eu un plaisir à pouvoir travailler dans de petites équipes où chacun écoutait l’autre, quelque soit le niveau de départ. Certains m’ont également témoigné de la prise de confiance sur le sujet cyber que cette initiative leur a inspiré – j’ai en tête ce que m’a confié l’un des adhérents, qui me racontait comment, avant de démarrer, il sentait qu’il devait mieux se familiariser avec ce risque cyber mais continuait à abandonner le sujet aux responsables techniques de type DSI ou RSSI. Depuis, de son propre aveu, la relation est désormais plus équilibrée – et c’est d’ailleurs au bénéfice général du contrôle du risque dans l’entreprise. Donc, au delà du Guide, qui a reçu l’assentiment de l’ANSSI, nous avons aussi une expérience qui je l’espère a été enrichissante. Enfin, comme je l’ai déjà dit, le Guide doit être vu comme un point d’entrée. Il ne s’agit pas d’un guide exhaustif de référence, parce qu’il traite d’une matière qui évolue tout le temps.En revanche, il est fondamental d’avoir un point de départ à la réflexion pour tous les auditeurs et les contrôleurs internes. Avec l'idée, bien sûr, que par la suite ils puissent eux-mêmes l’enrichir avec leur propre expérience. Les retours sont les bienvenus et j’invite tous les auditeurs internes et contrôleurs internes à retrouver ce nouveau guide dès maintenant sur Workplace et le site internet de l’IFACI.

¹ https://www.ifaci.com/guide-des-risques-cyber-3-0/

²Agence nationale de la sécurité des systèmes d'information

³https://www.ifaci.com/risk-in-focus/

⁴https://aide.monespacenis2.cyber.gouv.fr/fr/article/comment-la-directive-nis-2-sarticule-t-elle-avec-le-reglement-digital-operational-resilience-act-dora-s4ntec/

Guy-Philippe Goldstein

Chercheur et consultant sur les questions de cybersécurité et cyberdéfense et intervenant

à l'École de Guerre Économique, il contribue au journal académique de l'Institute for National Security Studies à Tel Aviv, est advisor pour PwC ainsi que pour le fonds d’investissement Expon Capital.