Les entreprises capitulent-elles face aux cyber-risques ?

En l’espace d’une douzaine d’années, la cybersécurité est passée du stade de mystère informatique réservé aux responsables de la sécurité (CSO) et aux responsables de la sécurité des SI (CSIO), à celui de priorité absolue pour les conseils d’administration et les dirigeants. Et pourtant, pour un problème dont chacun s’accorde à dire qu’il évolue à la vitesse de l’éclair, les progrès tardent à se manifester.

Les cyberattaques de grande ampleur sont devenues chose courante et aucun secteur n’est immunisé. La Privacy Rights Clearinghouse a recensé plus de 8600 violations de données depuis 2005, dont 831 en 2017. Cette organisation, qui est située au Center for Public Interest Law de la faculté de droit de l’université de San Diego, admet qu’elle n’arrive pas à rendre compte de toutes les cyberattaques réussies mais elle estime néanmoins à plus de 11 milliards le nombre de dossiers touchés depuis qu’elle a commencé à les comptabiliser.

Quand bien même, je dois admettre que je suis perplexe chaque fois que j’entends parler d’une cyberattaque qui aurait pu être évitée. Les piratages sont trop souvent dus à des défaillances humaines, et non technologiques. Voilà qui est particulièrement inquiétant quand on sait que, dans les sondages portant les risques, tous les dirigeants et les administrateurs désignent la cybersécurité comme l’une des principales priorités, si ce n’est la plus importante.

Je commence à me demander si ce n’est pas l’énormité même de la cybersécurité qui provoque la paralysie dans certaines organisations. Je me demande si les entreprises ne jettent pas tout simplement l’éponge en acceptant ce qu’elles pensent être « inévitable ». Même si elles sont parfaitement conscientes du fait que les violations de données peuvent causer d’incroyables dommages à leurs finances ainsi qu’à leur réputation, les entreprises ne prennent pas les mesures nécessaires pour assurer leur protection. Pire, une vision défaitiste ou fataliste quant à l’éventualité d’un piratage pourrait être à l’origine de la faiblesse ou de l’inefficacité des dispositifs de contrôle.

Deux études récentes fournissent des exemples supplémentaires de nos difficultés en matière de cybersécurité. Une étude menée par Spencer Stuart auprès des sociétés du S&P 500 a révélé que, l’année passée, les conseils d’administration ont engagé le plus grand nombre de nouveaux administrateurs (397) depuis 2004, mais que seulement 19% d’entre eux avaient de l’expérience dans le domaine des technologies ou des télécommunications. Il semble donc que la prise de conscience croissante de l’importance d’avoir des administrateurs compétents en matière de SI et de cybersécurité, ne se soit pas produite dans les faits.

Un nouveau rapport de l’entreprise de services de sécurité informatique IOActive a identifié des vulnérabilités de cybersécurité sur la quasi-totalité des 40 plateformes de courtage en ligne qu’elle a investiguées. La sévérité de ces vulnérabilités était variable, allant du stockage de mots de passe non cryptés à la promotion de fonctionnalités exposées aux logiciels malveillants.

Le fait que la cybersécurité ne soit pas intégrée dans tous les domaines de l’organisation reste donc problématique. Je suis certain qu’aucune de ces plateformes de courtage en ligne n’a voulu se transformer en cible mais trop souvent l’exigence d’accessibilité et l’impératif de répondre aux besoins des clients se fait au détriment de la cybersécurité.

Si les dirigeants capitulent face aux cyber-risques, les auditeurs internes ne peuvent certainement pas se permettre d’en faire autant. Nous devons non seulement nous assurer que nous avons dans notre équipe les talents requis pour auditer les processus et les contrôles SI, mais nous devons aussi comprendre comment la cybersécurité est perçue au sein de l’organisation. En bref, une partie du périmètre d’intervention de l’audit interne est dédiée à l’évaluation de la cyber culture de l’entreprise et à la création d’une culture cyber-avertie.

La gestion des talents est l’un des quatre leviers de la transformation de l’audit interne que j’ai évoqué dans un blog en début d’année. En résumé, l’audit interne doit redéfinir sa gestion des talents, particulièrement dans le domaine des SI.

Extrait du blog :

Les solutions dans le domaine de la gestion des talents sont probablement les plus complexes à mettre en place. Par exemple, les responsables de l’audit interne font état de difficultés importantes à recruter des collaborateurs dotés de compétences en matière de cybersécurité, de protection des données/data mining et d’analyse de données. Cependant, nous pouvons prendre des mesures claires afin de nous assurer que nous disposons des talents adéquats pour répondre aux demandes des parties prenantes, innover et faire preuve d’agilité. 

[L’enquête Pulse of Internal Audit 2018 de l’IIA North America] identifie six clés pour recruter les bonnes personnes, notamment l’élaboration d’une stratégie de gestion des talents, la recherche de candidats issus d’horizons divers ainsi que des formations et un développement professionnel prenant en compte les perspectives futures. Mais une des clés les plus importantes est de veiller à ce que les compétences de l’équipe soient définies en fonction du périmètre de l’audit interne. Trop souvent, les missions réalisées par les fonctions d’audit interne sont dictées par les compétences de leurs collaborateurs. Il s’agit d’une pratique dangereuse qui va à l’encontre de l’innovation et de l’agilité.

Le rôle de l’audit interne dans l’instauration d’une culture mature sur les cyber-enjeux va de pair avec la présence de talents adéquats dans l’équipe. Les fonctions d’audit interne sont capables d’intégrer des évaluations de la culture dans chaque mission qu’elles réalisent et elles sont donc également capables d’évaluer la contribution de la culture aux succès et aux échecs en matière de cybersécurité.

L’audit interne doit coopérer avec les CSO et les CISO afin d’identifier les faiblesses au niveau des contrôles et des pratiques de cybersécurité dans l’entreprise. Il est extrêmement important que la relation entre l’audit interne et les responsables SI soit saine et collaborative. Après tout, ils ont tous pour objectif une cybersécurité efficace.

L’audit interne doit, en toutes circonstances, fournir au conseil d’administration une évaluation directe et objective de la mise en œuvre de la cybersécurité au sein de l’entreprise, et de la mesure dans laquelle la culture de l’entreprise soutient ou entrave cette dernière. Il est tout aussi important que nous donnions une assurance sur le degré de préparation de l’entreprise en cas de faille de cybersécurité.

J’aimerais beaucoup connaître vos pratiques pour évaluer la culture de cybersécurité dans votre organisation.