Gestion des cyber-risques : Le rôle de l’audit interne

June 28, 2023

Doron Rozenblum, associé gérant de Kreston-Ezra Yehuda-Rozenblum, a récemment fait l’objet d’un article dans Accounting Today, expliquant pourquoi l’audit interne est la clé de la gestion des cyber-risques. Les cyberincidents, tels que les pannes informatiques, les violations de données et les attaques par ransomware, constituent le risque mondial le plus élevé. Les violations de données sont particulièrement préoccupantes pour les entreprises, les coûts atteignant le niveau record de 4,4 millions de dollars en 2022 et devant dépasser les 5 millions de dollars en 2023. Parmi les autres risques importants figurent les attaques par ransomware et les défaillances des chaînes d’approvisionnement numériques ou des services en nuage. Les vecteurs cybernétiques, y compris les attaques criminelles, les erreurs humaines et les défaillances techniques, peuvent provoquer de graves perturbations dans les entreprises. Les pirates informatiques ciblent désormais les chaînes d’approvisionnement numériques et physiques, ce qui représente une plus grande menace pour les petites et moyennes entreprises, tandis que les grandes sociétés investissent davantage dans la cybersécurité.

Le paysage évolutif des cyber-risques : Menaces et tendances

Dans le paysage numérique, chaque entreprise, quelle que soit sa taille, est vulnérable aux violations qui peuvent mettre en péril les opérations, la réputation, la marque et les sources de revenus. Le paysage des cyberrisques en 2023 est diversifié et en constante évolution, les coûts de la cybercriminalité devant atteindre 8 000 milliards de dollars d’ici à 2023 et 10 500 milliards de dollars d’ici à 2025.

Les attaques par ransomware, en particulier par hameçonnage, représentent la plus grande menace dans les secteurs public et privé. Ces attaques augmentent non seulement en nombre, mais aussi en coût financier et en coût de réputation. L’hameçonnage consiste pour les pirates à inciter des personnes à partager des données précieuses ou à propager des logiciels malveillants par le biais de courriels trompeurs, souvent en se faisant passer pour des personnes plus haut placées ou des institutions de confiance. La compromission du courrier électronique des entreprises (BEC) est un autre problème grave, souvent associé à l’hameçonnage. Les attaquants utilisent des outils de collaboration autres que le courrier électronique, tels que les applications de chat et de messagerie mobile, pour mener à bien leurs projets. Les pirates abusent souvent de la marque Microsoft dans des attaques de phishing, et les attaques par usurpation d’identité sont préoccupantes en raison des mauvaises habitudes de sécurité et du manque de connaissances des utilisateurs.

La fraude, en particulier l’usurpation d’identité, est une tendance numérique, car de plus en plus de personnes effectuent des opérations bancaires et des achats en ligne. En 2022, les consommateurs ont déclaré avoir perdu près de 9 milliards de dollars à cause de la fraude, soit une augmentation de 30 % par rapport à l’année précédente, avec un nombre important de déclarations d’usurpation d’identité.

Renforcer la gestion des cyberrisques : Stratégies pour l’audit interne

Les entreprises sont plus vulnérables aux cyberrisques en raison de leur taille, de leur complexité et de leur interconnexion. L’utilisation de services en nuage et de l’internet des objets (IoT) crée de nouveaux vecteurs d’attaque qu’il est difficile de sécuriser. Pour faire face à ces risques, il est essentiel de mettre en place de solides stratégies de gestion des cyberrisques impliquant toutes les parties prenantes.

Si l’intelligence artificielle (IA) est porteuse de potentiel, elle peut aussi être un vecteur de menace. Les systèmes et plateformes d’IA doivent être mis en œuvre avec prudence en raison du risque d’hypothèses inexactes et de conclusions tirées de sources peu fiables.

L’audit interne est devenu un moyen de défense essentiel contre les cyberrisques. Elle s’étend au-delà des domaines financiers pour inclure la cybersécurité. Pour contrôler efficacement les cyberrisques, l’audit interne doit comprendre les menaces les plus récentes, connaître l’environnement informatique et le cadre de cybersécurité de l’organisation, disposer d’une expertise en matière de gestion des risques et d’analyse des données, et collaborer avec les services informatiques, les services de gestion des risques et les services de conformité.

Une approche fondée sur les risques est nécessaire pour un audit interne solide des cyberrisques. Les actifs et systèmes critiques doivent être identifiés et protégés, les contrôles existants doivent être évalués et les domaines à améliorer doivent être identifiés. La gestion du risque cybernétique doit être intégrée dans la stratégie globale de gestion des risques de l’organisation, et des mises à jour régulières sur le profil du risque cybernétique et les menaces émergentes doivent être fournies au conseil d’administration et à la direction générale. La gestion de la chaîne d’approvisionnement est un autre domaine critique qui nécessite une évaluation des pratiques de cybersécurité des vendeurs et des fournisseurs.

En conclusion, les cyber-risques constituent une menace croissante pour les organisations et l’audit interne joue un rôle essentiel dans la gestion de ces risques. L’évaluation du paysage des risques, l’examen des contrôles internes et l’utilisation d’outils d’analyse des données sont essentiels pour une gestion efficace. En adoptant une approche collaborative et fondée sur les risques, l’audit interne peut aider les organisations à naviguer dans le paysage complexe et évolutif des cyberrisques.

Pour plus d’informations, cliquez ici.