Parler de risque cyber a-t-il vraiment du sens ?
Un risque majeur, bien réel, mais que les entreprises ont du mal à appréhender
Les cyberattaques continuent d'être l’un des plus grands dangers auquel sont confrontées les organisations de tous les secteurs. Il apparait en tête du baromètre IFACI 2020. Le nombre d'attaques augmente d'année en année ; des recherches menées par Hiscox ont montré que 67 % des entreprises françaises ont subi une attaque en 2019, et que beaucoup d'entre elles ont subi plus d'une attaque dans l'année. Le passage durable de nombreuses organisations à des pratiques de travail à distance devrait encore augmenter le volume d'attaques.
Par ailleurs, les coûts associés à une cyberfraude ont également continué à augmenter, 73 % des organisations ayant subi une cyberfraude ont déclaré des conséquences pouvant atteindre jusqu’à 25 % de leur chiffre d'affaires. Si l'impact financier, via notamment les « rançons » est le plus médiatique et le plus visible, il ne faut pas négliger d'autres effets tout aussi néfastes comme la perte de productivité, l'atteinte à la réputation.
Alors que les organisations cherchent à faire face aux vulnérabilités de sécurité connues, les pirates et autres acteurs malveillants sont continuellement à la recherche de nouvelles faiblesses et de moyens innovants pour compromettre la sécurité des organisations. Un article récent du centre de recherche de Mc Kinsey montre que si le management est fortement investi sur la cyber, les entreprises ont encore du mal à apprécier les risques auxquels elles font face, avec pour principales conséquences de développer des réponses inadéquates et engendrer des coûts et des investissements inappropriés.
L’audit interne peut aider le management à mieux discerner ce risque.
Le risque cyber n’existe pas, en revanche des risques peuvent s’avérer au travers de scenarios cyber.
La coexistence d’une vulnérabilité (faiblesse de contrôle interne), d’une méthode permettant de l’exploiter (souvent complexe et faisant appel à des compétences pointues) et d’une source de menace (hackers par exemple) qui l’exécute constitue un scenario de risque. Les cyber risques n’apparaissent que lorsqu’il y a convergence d’un scenario, et d’un événement redouté (risque qui figure dans la cartographie des risques de l’entreprise). La conséquence de ceci est que ce n’est pas le risque qui est cyber, mais le scenario qui pourrait faire en sorte que le risque s’avère.
Les sources de menaces peuvent être des organisations malveillantes extrêmement structurées, qui vont chercher à exploiter des vulnérabilités en mettant en œuvre des méthodes techniques ou de « social engineering » (phishing, fraude au président, etc.). L’occurrence d’un tel scenario cyber aura pour effet de compromettre le Système d’Information, selon trois critères : la disponibilité, l’intégrité et la confidentialité des ressources qui le constituent et des données qu’il héberge. Enfin, contrairement au monde anglosaxon qui englobe le critère de traçabilité dans les trois précédents, il est fréquent en France de le considérer comme un quatrième critère indépendant.
La source est le plus souvent externe, le recensement des vulnérabilités relève d’une démarche classique globale de gestion des risques de l’entreprise et notamment de contrôle interne, les méthodes qui permettent de l’exploiter requièrent des compétences techniques fortes et sans cesse renouvelées.
L’audit interne doit aider à mieux discerner la dimension cyber dans la gestion des risques
Aussi, la réponse ne peut pas être uniquement technique ou technologique, car cette approche constitue une fuite en avant incontrôlable en matière d’investissements et peut conduire à une accumulation de dispositifs de contrôle qui nuisent in fine à la performance. De plus, ce type d’approche a tendance à se focaliser seulement sur deux des composantes du scenario que sont les menaces et les méthodes d’exploitation.
La manière d’appréhender la dimension cyber des risques reste, à partir de la cartographie globale de l’entreprise, de regarder comment les risques qui y figurent pourraient s’exprimer au travers d’un ou de plusieurs scenarios dont la cyber. Par exemple, le risque de vol de données sensibles peut s’exprimer au travers d’un scenario cyber, mais aussi d’un scenario fraude ou corruption. Dans un deuxième temps il conviendra de s’assurer pour chacun des scenarii cyber que les vulnérabilités sont sous contrôle de même que les moyens crédibles de les exploiter.
Cette approche permet non seulement de concentrer les investissements sur les technologies nécessaires pour contrer les méthodes les plus probables d’exploitation des vulnérabilités et en même temps de ne pas limiter les éléments de maîtrise à la technologie, mais aussi d’embarquer des aspects de management, l’intégration de la dimension cyber dans les processus opérationnels, selon le principe de « security by design », de formation et de sensibilisation des collaborateurs…
L’audit interne a un rôle important à jouer pour aider à discerner cette matière cyber au sein des organisations et à structurer la maîtrise des scenarios cyber de certains risques de l’entreprise. Aidons nos organisations à ne plus parler de risques cyber ce qui est une chimère, mais de traduction cyber de certains scenarios de risques de l’entreprise.
L’audit interne peut aussi, par une intervention le plus en amont possible dans les projets de l’entreprise qui génèrent intrinsèquement des vulnérabilités, apporter son regard et son expertise sur la prise en compte de la dimension cyber dès la conception pour les projets ayant un fort impact business et donc avec un potentiel de risque fort.
L'audit interne peut utilement s’appuyer sur ses savoir-faire historiques, complétés par des apports tels que le cadre de référence de la cybersécurité mis à jour par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).
|