Risk in Focus 2025 : La cybersécurité sera-t-elle toujours en pointe des préoccupations ?

L’étude Risk in focus 2024¹, réalisée auprès des directrices et directeurs des métiers du risque à travers toute l’Europe, avait permis de confirmer que la cybersécurité était toujours le risque numéro 1 identifié par les professionnels, talonnée par la gestion des talents. En sera-t-il de même dans le cadre de la nouvelle enquête en cours ? Pour y voir plus clair, les résultats et thèmes du Risk in Focus 2024 ont fait l’objet de webinars riches d’enseignements, accessibles aux adhérents de l’IFACI.

La nouvelle étude Risk in focus vient d’être lancée et donnera lieu comme l’an dernier à des tables rondes pour identifier les risques principaux pour les organisations et les benchmarker au niveau de l’audit interne. Les directeurs d'audit interne sont appelés à y contribuer en répondant dès maintenant à l'enquête². Le rapport final sera publié en septembre 2024, puis des webinars accessibles à tous les adhérents de l’IFACI seront organisés pour approfondir les thématiques identifiées. Sans préjuger des résultats de la nouvelle étude, il est probable que la cybersécurité y occupera une place importante. Qu’elle soit à nouveau en tête du classement du Risk in focus 2024 n’avait pas réellement été une surprise. Un point d’attention des professionnels du risque sans doute encore conforté récemment par l’annonce d’une attaque massive d’une équipe de hackers prorusses, Anonymous Sudan, depuis le 10 mars, visant plusieurs services de l’État français et différents ministères.

Une plus grande maturité et une meilleure expérience sur le sujet

L’ANSSI (Agence nationale de la sécurité des systèmes d’information), dans son étude sur l’année 2023, indiquait par ailleurs que « Les attaques informatiques à des fins d’extorsion » s’étaient maintenues à un niveau élevé l’an dernier, avec un « nombre total d’attaques par rançongiciel (…) supérieur de 30 % à celui relevé sur la même période en 2022 ». La cybersécurité et la sécurité des données avait ainsi renforcé sa position dans le classement, 84 % des personnes interrogées déclarant qu'il s'agissait d'un des cinq principaux risques auxquels ils étaient confrontés, contre 82 % en 2023 et 2022. Si les analyses de l’ECIIA (European Confederation of Institutes of Internal Auditing) notaient aussi dans les réponses les signes d’une plus grande maturité et d’une meilleure expérience sur le sujet, les professionnels interrogés étaient tout de même encore plus nombreux que l’an dernier à s’inquiéter des répercussions que cette question pourrait avoir sur la charge de travail des départements d’audit interne.

Le changement climatique et la soutenabilité environnementale gagnait 3 places dans le Risk in Focus 2024

Le capital humain, la diversité, la gestion des talents et le maintien en poste avaient également conservé leur deuxième place dans l’étude, de nombreuses entreprises se considérant en décalage avec la culture post-Covid. Or, les objectifs stratégiques et la gestion des risques nécessitent une large base de talents et de compétences et les recruter sur des postes d’audit et de contrôle interne semble de plus en plus difficile depuis quelques années³.

Troisième sur le podium, le changement climatique et la soutenabilité environnementale avaient gagné 3 places par rapport à l’enquête précédente. Un résultat dû en partie aux annonces réalisées au niveau européen sur les nouvelles normes de réglementation de reporting extra-financier liées à la CSRD (Corporate Sustainability Reporting Directive). Et qui ne devrait donc continuer à gagner en importance au sein des différentes directions d’audit interne…

4 webinars toujours accessibles… et une enquête en cours

Afin de rentrer plus en détails dans les résultats de Risk in focus 2024 et aborder la nouvelle enquête 2025, l’IFACI a organisé ces derniers mois avec l’ECIIA plusieurs webinars auxquels ont participé de nombreux experts et qui sont toujours accessibles en ligne :

• « How organisations are responding to new cyber risks », avec la participation de Jérôme Ferry (Vice-Président, Corporate Audit, Firmenich), Alistair Smith, (Internal Audit, Risk & Control Director, EDF Energy) et Guy-Philippe Goldstein, Strategic Advisor d’Expon Capital.
• « The human factor - human capital, diversity, talent management » a notamment réuni Chiara Velenich (Audit Senior Manager de Stellantis Italie), Astrid Langeveld (Chief audit executive d’Achmea, Pays-Bas), et Alberto Ferreiro Prado (Chief audit executive de Ferrovial Group, Espagne).
• « Supply chain resilience » a quant à lui donné la parole à Peter Elam (Group Head of Risk Management and Business Assurance), Preetha Kumar (Associate Director Technology Risk and Assurance), Gavin Hayes (Head of Policy and Public Affairs) et Mamun Madaser (Senior Policy and External Affairs Executive).
• « Climate change, Biodiversity and Environmental sustainability », avec Michele Variale (Chief Audit Executive, Telepass).

L’enquête Risk in Focus 2025 est ouverte jusqu’à la fin du mois de mars. Les directeurs d’audit interne peuvent y répondre ici.

¹ https://docs.ifaci.com/wp-content/uploads/2024/03/ECIIA-Risk-in-Focus-2024-2.pdf

² https://surveys.enalyzer.com?pid=m3nurubf

³ Lire aussi : https://blog.ifaci.com/laudit-interne-face-aux-enjeux-du-recrutement/

Rappel du Top 15 des risques, selon Risk in focus 2024* :

1. Cybersécurité et sécurité des données
2. Capital humain, diversité et management des talents
3. Changement climatique et la durabilité environnementale (+ 3 places)
4. Disruption numérique, Nouvelles technologiques et IA (+1 place)
5. Incertitude macroéconomique et géopolitique (-2 places)
6. Modification des Lois et règlementations (-2 places)
7. Continuité d’activité, gestion de crise et réponses aux catastrophes
8. Chaîne d'approvisionnement, sous-traitance et risque de « nième partie »
9. Risques financiers, de liquidité et d'insolvabilité
10. Culture organisationnelle (+1 place)
11. Gouvernance organisationnelle et rapports d'entreprise (- 1 place)
12. Fraude, corruption et exploitation criminelle des perturbations
13. Fusions et acquisitions (+2 places)
14. Communication, réputation et relations avec les parties prenantes (-1 place)
15. Santé, sûreté et sécurité (-1 place)

* Étude quantitative réalisée en partenariat avec la Confédération européenne des instituts d'audit interne (ECIIA). au cours du premier semestre 2023 auprès des responsables de l'audit interne des pays suivants : l'Allemagne, l'Autriche, la Belgique, la Bulgarie, l'Espagne, la France, la Grèce, la Hongrie, l'Italie, le Luxembourg, la Norvège, les Pays-Bas, la Pologne, l'Espagne, la Suède, la Suisse, ainsi que le Royaume-Uni et l'Irlande. 799 professionnels du risque ont répondu.