Auditeurs internes et responsables cybersécurité se rejoignent sur les enjeux majeurs du risque cyber

Décryptages
Outils
TAILLE DU TEXTE

D'après une enquête menée par KPMG France, responsables cybersécurité et auditeurs internes se rejoignent pour estimer que le risque cyber est majeur, voire critique pour leur entreprise. Une vision que la crise sanitaire n’a pas modifiée de façon significative.

Pour les deux populations, la résilience des moyens technologiques et la protection contre les cyberattaques seront les principaux enjeux dans les mois à venir. Auditeurs internes et responsables cybersécurité s’accordent pour placer la divulgation d’informations confidentielles et l’atteinte à la réputation comme les deux impacts cyber les plus redoutés. Cependant, dans un contexte d’augmentation des menaces, de la surface d’exposition et de la réglementation, les responsables cybersécurité sont très majoritairement focalisés sur les enjeux opérationnels de continuité de l’activité et d’intégrité des données. Par contraste, les auditeurs internes sont plus préoccupés par les exigences réglementaires.

Audits : des méthodes différentes

Plus des trois quarts des auditeurs internes déclarent auditer des sujets cyber, une proportion en constante augmentation depuis quatre ans.

Les tests d’intrusion et l’analyse de données sont désormais utilisés par une majorité des auditeurs internes, en complément des approches classiques (entretiens, analyse documentaire et tests de cheminement). Les responsables cybersécurité privilégient quant à eux les tests d’intrusion, les campagnes de phishing et les revues de code, de configuration ou d’architecture.

Compétences : des visions contrastées

Les deux populations interrogées divergent sur les compétences requises pour traiter les sujets cyber. 60 % des auditeurs internes déclarent suivre les plans d’action nécessitant une forte expertise technologique, tandis que près de la moitié des responsables cybersécurité déclarent que le suivi opérationnel de ces sujets leur est délégué.

33 % des auditeurs internes pensent ne pas posséder les compétences requises pour traiter les sujets cyber en général. Par contraste, les responsables cybersécurité pensent à 71 % que les auditeurs internes ont l’expertise nécessaire pour traiter des sujets cyber non techniques. La difficulté à trouver ce type de compétences se fait plus cruellement sentir chez les responsables cybersécurité.

Les conséquences de la crise sanitaire sur le risque cyber

Pour la majorité des auditeurs internes, la crise sanitaire a changé le paysage des risques cyber des organisations. Cette vision n’est pas partagée par les responsables cybersécurité, pour lesquels la crise ne semble pas avoir été un bouleversement. La crise du Covid-19 a donc pu agir comme un révélateur de l’importance de l’IT et du cyber pour des populations qui en sont plus éloignées, dans leur travail quotidien, que ne le sont les responsables cybersécurité.

Pour la majorité des répondants, la bascule soudaine en télétravail a entraîné des risques liés aux changements en urgence, au shadow IT et aux modalités de travail à distance. On constate donc que la crise sanitaire a redistribué les cartes en termes de priorités : de façon prévisible, les sujets de continuité d’activité et de cyber résilience ont pris de l’ampleur. Il en est de même pour la gouvernance cyber, sans doute pour s’assurer de garder sous contrôle des activités réalisées en mode dégradé. Les sujets cyber ne seront donc pas dépriorisés par la crise, au contraire. Des audits de vérification du bon retour à l’état normal et sur la gestion de la crise seront inclus au plan d’audit.

« La crise du Covid-19 a redéfini certaines priorités en matière de couverture du risque cyber dans les plans d’audit. Il apparaît plus que jamais que c’est au travers d’une collaboration étendue que les auditeurs internes et les responsables cybersécurité parviendront, dans le respect de leurs prérogatives respectives, à relever le défi du risque cyber avec succès » commente Silvia Nanni Costa, Associée KPMG, Internal Audit, Risk and Compliance Services.

Les Annuaires du Monde du Chiffre