L'implication des trois lignes de maîtrise des risques concernant la sécurité informatique
Selon le cabinet international Cybersecurity Ventures, spécialisé sur les questions de cyber-sécurité, le coût des dommages causés par des cyber-attaques devrait atteindre plus de 6 000 milliards de dollars à l'échelle mondiale à partir de 2021, soit un peu plus du double des richesses créées en France sur une année. L’enjeu financier est donc considérable. Aucune organisation de taille moyenne et plus, quel que soit son secteur d’activité, ne peut plus faire l’impasse aujourd'hui sur la mise en place de dispositifs de sécurisation informatique. Cet impératif de protection concerne tout autant les modalités de fonctionnement au sein de l'entreprise que les relations de celle-ci avec les tiers. En effet, de plus en plus les systèmes d’informations sont attaqués par des programmes malveillants – les malwares –introduits par exemple dans la chaîne d’approvisionnements d'une organisation en interaction avec ses fournisseurs. Les cyber-risques sont ainsi devenus une menace prépondérante pour une entité pouvant altérer la maîtrise de ses activités, la protection de ses données, la préservation de son image de marque. En conséquence, toutes les lignes de maîtrise des risques sont concernées par ces dangers, le premier niveau concernant les directions opérationnelles, le second niveau avec le management des risques, et bien évidemment l’audit interne en tant que troisième niveau de contrôle.
Points d'audit essentiels concernant la maîtrise des cyber-risques et de la sécurité informatique
La cyber-sécurité est aujourd’hui la première préoccupation des auditeurs internes relevée dernièrement par plusieurs instituts d’audit européens au cours d'une enquête. Ce résultat, même s’il reflète l’avis d’un échantillon de personnes interrogées, conforte la nécessité d’introduire dans les plans d’audit les problématiques liées à la sécurisation des réseaux, des systèmes, des outils informatiques, et ceci afin de vérifier les points suivants :
- implication de la gouvernance à propos de la sécurité informatique, que ce soit en amont avec une politique dédiée et validée par le Conseil, puis en aval grâce à des reportings sur la qualité des dispositifs de gestion des cyber-risques ;
- mise en place d’un process de sélection ainsi que de surveillance des achats et du développement du réseau, des systèmes et des outils informatiques ;
- existence d’un dispositif d’alerte permettant de capter rapidement toute intrusion ou tout incident informatique résultant d’une cyber-attaque ;
- mise en œuvre de révision régulière concernant les relations informatisées avec les tiers, plus particulièrement sur les transferts de données pour s’assurer de leur imperméabilité à toute ingérence extérieure ;
- intégration dans les cahiers des charges adressés aux prestataires, d’obligations en matière de sécurisation de leurs outils informatiques ;
- sensibilisation des salariés de l'organisation aux cyber-risques, plus précisément sur la façon de les prévenir et de les détecter ;
- ouverture sécurisée des accès au système d’informations, sur base d'un profil personnalisé par collaborateur en adéquation avec les missions qui lui sont allouées, et conditionnée par une demande formalisée du responsable hiérarchique transmise au service chargé de l’administration des réseaux et outils ;
- réalisation d’un cadrage annuel entre les accès aux systèmes d’informations et le registre du personnel afin de s’assurer de l’adéquation des profils informatiques avec les effectifs.
A découvrir également :
Laissez un commentaire à propos du texte ou contactez-moi si une formation à distance vous intéresse :