Gouvernance

Le rôle du comité d’audit pour protéger l’entreprise d’une cyber attaque

Face à l’expansion des cybermenaces, il est fondamental que le comité d’audit du conseil d’administration endosse le rôle de cyber-défenseur de la société. Diminuer les risques de cyber-attaques est en effet une mission fondamentale de ce comité spécialisé. Le vol de secrets commerciaux, le piratage des comptes financiers ou encore la mise à mal de la réputation de l’entreprise sont des risques bien réels qui exigent une réaction volontariste, proportionnée et engagée. Le comité doit prendre à bras le corps cette problématique nouvelle, impactante et sérieuse, caractéristique de notre société numérique, en remplissant trois rôles majeurs.

 

1/ Identifier les cyber risques, une mission cruciale du comité audit

 

Le comité d’audit est tout désigné pour traiter de la problématique des cyber-menaces à l’échelle de l’entreprise, sauf si un comité des risques a été constitué. La réglementation française et le code de gouvernance Afep-Medef lui confèrent d’ailleurs des attributions en matière de contrôle interne et de gestion des risques. Il faut noter cependant que la réalité semble montrer que ces recommandations sont peu suivies. Selon une étude du cabinet KPMG datée de 2014, les risques cyber sont une attribution de premier plan pour seulement 38 % des comités d’audit à l’échelle mondiale.

Pourtant, le monde virtuel ne désemplit pas de pirates de tous acabits à la recherche de vulnérabilités lucratives. Les sociétés recèlent au sein de leur système informatique d’informations qui ont de la valeur. Pour les vendre ou pour rançonner la société, ils cherchent à pénétrer les appareils via une brèche de sécurité. Aussi, le rôle premier du comité d’audit est d’identifier les informations confidentielles et sensibles de l’entreprise qui peuvent être ciblées par les hackers.

Salles de données virtuelles

Longtemps réservées au monde de la finance, les salles de données virtuelles se sont aujourd’hui largement démocratisées et sont utilisées par de nombreuses industries pour protéger leurs données confidentielles (développement de nouveaux produits, acquisition d’actifs, documents du conseil, brevets et propriété intellectuelles…). En savoir plus sur les salles de données virtuelles.

Il s’agit pour la société de protéger ces actifs à risque. Les dangers peuvent être de divers ordres. Les actions stratégiques de la société peuvent être compromises, telles qu’une fusion-acquisition. Les actifs financiers de l’organisation peuvent faire l’objet d’un vol. La réputation de l’entreprise peut être entachée, comme son image de marque. Une propriété intellectuelle peut être transmise à la concurrence. Les activités de la société peuvent être stoppées ou ralenties. Etc.

Pour cataloguer les informations les plus précieuses pour l’organisation, elle doit zoomer dans toutes les directions : finances, métiers, ressources humaines , commerciale, recherche & développement… Elles recèlent toutes de données critiques et stratégiques à protéger.

2/ Protéger la société des risques de cyber-attaque

 

Ensuite, il appartient au comité d’audit d’assurer la protection de ces éléments avec le bon niveau de sécurité en France et à l’étranger. Pour ce faire, il va définir les politiques de risque accepté et les procédures de contrôle.

Les dispositifs de gestion des risques doivent en effet être adaptés. Cela signifie que les mesures mises en place doivent être à la hauteur du risque encouru. Aucun système n’est invulnérable, mais une protection maximale de toutes les données de la société représente des coûts bien excessifs par rapport aux différents niveaux de cyber-menaces. C’est pourquoi il appartient au comité d’audit de correctement dimensionner la politique de gestion des cyber-risques.

Elle doit inclure diverses dispositions qui concernent à la fois les technologies, les équipements et les comportements humains. Pour garantir sa pleine efficacité, la gestion des risques cyber doit reposer sur une vision globale des risques. Ceux-ci portent sur de nombreux éléments de la société. Il y a des facteurs techniques, humains, culturels, organisationnels…

La politique de risques de la société va ainsi nécessairement inclure l’installation de logiciels antivirus et de pare-feu sur tous les postes de travail de l’organisation. Elle devra anticiper la gestion des incidents cyber. Enfin, une politique de cyber-sécurité inclut obligatoirement une phase d’information et de sensibilisation de tous les collaborateurs de la société, des membres du conseil d’administration et de la direction.

Outre la politique en elle-même, le comité d’audit détermine les procédures du contrôle. Ainsi, il faut aussi compter sur la mise en place d’un dispositif de contrôle de la bonne performance de la cyber-sécurité dans l’organisation avec un comité de pilotage ad hoc et une structure de renseignement cherchant à identifier les cyber-menaces pour établir les décisions en la matière.

 

3/ Améliorer la cyber-défense de l’entreprise pour une optimisation en continu

 

La politique de cyber-sécurité mise en place ne va jamais permettre d’éviter toutes les attaques. Pour être toujours prêt à faire face à une cyber-attaque, le comité d’audit doit chercher à améliorer les processus en continu. Il va alors s’assurer de leur pertinence et de leur viabilité.

Pour se placer dans cette logique d’amélioration continue, il est possible d’organiser des tests à base de scénarios de cyber-attaque. De cette manière, l’entreprise peut corriger les processus qu’elle a définis afin d’en améliorer le niveau de protection. Il est tout à fait normal pour une entreprise d’établir des révisions régulières de ces processus afin qu’ils soient toujours en parfaite adéquation avec les menaces. Des procédures de certification sont également possibles avec des audits indépendants.

En matière de suivi de la politique de cyber-menaces de la société, il faut surtout compter sur l’amélioration de l’adaptabilité de l’organisation. Les pirates informatiques innovant en permanence et développant des attaques toujours plus complexes et ingénieuses, chaque société doit chercher à rester en sûreté. Aussi elle doit régulièrement investir dans les ressources stratégiques opportunes.

Il ne s’agit pas de bunkeriser tout le système informatique de l’entreprise, mais bien de s’adapter avec agilité, pragmatisme et ingéniosité aux mutations permanentes du hacking.

 

Pour conclure, le comité d’audit doit véritablement s’investir dans la cyber-sécurité de sa société afin de lutter contre le risque de cyber-attaques. Pour cela, son rôle est à la fois d’identifier les informations sensibles, de les protéger avec une politique de gestion des risques acceptés et d’améliorer en continu la cyber-sécurité au sein de l’organisation avec une grande adaptabilité.

 

Comment remplacer les préférences à risque par une politique raisonnée ?

Si la cybesécurité est l’affaire de tous, il existe aujourd’hui un fossé entre les politiques d’entreprise et les comportements des collaborateurs. Ce décallage s’explique en grande partie par des outils personnels plus interractifs, intuitifs et simples d’utilisation que leurs homologues professionels. Comment l’entreprise doit-elle réagir face à des comportements à risque, même au plus haut niveau ? Découvrez l’ensemble de nos conseils dans notre livre blanc.

BLOGS À NE PAS MANQUER