​À mesure que les organisations adoptent le télétravail, les processus numériques et les technologies infonuagiques, les niveaux de risque auxquels elles s'exposent croissent tout naturellement. Ajoutez à cela une pandémie mondiale et voilà que ces risques sont amplifiés.

Les comités d'audit jouent un rôle crucial quant à la surveillance des activités de gestion des risques et à la préparation de la réponse de la direction à ces cyberrisques. Ils sont responsables, entre autres, d'évaluer les investissements visant à atténuer les cyberrisques et la réponse de l'organisation en cas de violation.

Trois défis en matière de cybersécurité à l'ère de la COVID-19

Les comités d'audit doivent être conscients de trois défis majeurs que les organisations ont à relever dans le domaine des cyberrisques : le passage aux processus numériques, la transition vers l'infonuagique et le nombre croissant de menaces et attaques informatiques. Bien que ces défis ne datent pas de la pandémie de COVID-19, l'adoption abrupte et imprévue du télétravail – y compris des processus numériques et des technologies infonuagiques – au début de la crise a ouvert la porte à des risques supplémentaires.

Du jour au lendemain ou presque, les organisations ont dû opérer leur transformation numérique au pas de course. Tout le monde – qu'ils y étaient préparés ou non, qu'ils le souhaitaient ou non – a commencé à utiliser des plateformes de vidéoconférence, des solutions de travail collaboratif et des applications de médias sociaux, le plus souvent à partir du réseau sans fil de la maison que les employés partagent avec le reste de leur famille. Dans bien des cas, les processus essentiels des entreprises se déroulent sur un réseau informatique résidentiel disposant de contrôles de sécurité inférieurs. Qui plus est, l'équipe responsable de la sécurité informatique des organisations (si elles en ont une) doit maintenant gérer la situation à l'extérieur du bureau, au domicile des employés.

On constate une hausse marquée des menaces et attaques informatiques depuis le début de la pandémie, surtout des attaques par rançongiciel et par hameçonnage lié à la COVID-19. Elles exploitent l'anxiété et l'insécurité des gens en les incitant à cliquer sur des liens concernant des vaccins ou de l'aide financière, par exemple. Ces attaques engendrent des coûts, tant par la perte potentielle de données que par le temps d'arrêt, mais également des coûts intangibles, comme l'atteinte à la réputation. Il arrive même que certaines organisations ignorent qu'elles ont été la cible d'une attaque et que leurs données se retrouvent en vente sur le Web clandestin. Dans de nombreuses organisations, il revient donc au comité d'audit de vérifier si les contrôles adéquats ont été mis en place pour détecter et contrecarrer de telles attaques, et d'inciter la direction à prendre les mesures nécessaires pour s'assurer que les actifs numériques de l'organisation sont protégés.

En raison du passage aux processus numériques à distance et aux technologies infonuagiques, les comités d'audit doivent se demander dans quelle mesure la tolérance au risque de l'organisation pourrait avoir changé (et comment elle est établie). À pareille date l'an dernier, les dirigeants n'envisageaient peut-être pas d'exploiter des applications d'entreprise en infonuagique. Aujourd'hui, comme ils ont moins de possibilités en raison de la pandémie, ils pourraient se montrer plus enclins à accepter un plus grand risque.

Si le personnel représente le maillon faible de votre entreprise en matière de cybersécurité, il peut également constituer votre meilleure ligne de défense. Les organisations doivent veiller à ce que leurs employées connaissent les cyberrisques et sachent quoi faire s'ils sont victimes d'une attaque.

John Heaton
associé, Cybersécurité, Services-conseils
KPMG au Canada

Maîtriser les risques actuels et émergents

Les comités d'audit devraient s'assurer que la direction tient compte des mesures qui ont été prises (ou qui pourraient l'être) afin de surveiller les risques actuels et émergents et qu'elle a mis en place de nouveaux contrôles au besoin. Il peut notamment s'agir de contrôles visant à authentifier et à valider l'identité de toute personne qui accède au réseau, qu'il s'agisse d'employés, de fournisseurs ou de clients, ou encore d'une assurance que les fournisseurs de services infonuagiques disposent des contrôles de sécurité adéquats.

Si le personnel représente le maillon faible d'une organisation en matière de cybersécurité, il peut également constituer sa meilleure ligne de défense. Les organisations doivent veiller à ce que leurs employés connaissent les cyberrisques et sachent quoi faire s'ils sont victimes d'une attaque. Par exemple, en cas d'attaque par rançongiciel alors qu'ils télétravaillent, savent-ils qui appeler et quoi faire? L'équipe de soutien informatique aura beau disposer des meilleurs outils et technologies pour garder les données de l'organisation en sûreté, ils ne seront d'aucune utilité si un employé clique sur un lien malveillant.

En fin de compte, les cyberrisques sont un problème qui relève de l'organisation entière et non seulement du service informatique. C'est pourquoi le comité d'audit devrait surveiller de très près les cyberrisques et relancer la direction sur leur gestion à ce chapitre. Par le passé, la cybersécurité consistait à ériger une forteresse virtuelle autour d'un lieu physique afin de protéger l'infrastructure informatique qu'il contient. Or, avec des travailleurs à domicile et des données stockées dans le nuage, cette forteresse n'a plus lieu d'être. S'il s'agit là de la « nouvelle » réalité, il est peu probable que les organisations retournent au modèle d'antan une fois que leurs employés seront habitués à la commodité d'applications infonuagiques qui sont accessibles sur demande, partout et en tout temps.

Afin de faire face aux cyberrisques pendant la pandémie de COVID-19 et au-delà, les comités d'audit devront veiller à ce que les processus de leur organisation soient rigoureux tandis qu'elle pénètre toujours davantage dans le monde virtuel axé sur le nuage. Mais il y a du bon dans cette transition, car le passage au numérique et à l'infonuagique peut s'avérer l'occasion de transformer l'entreprise et de la rendre fin prête pour ce que l'avenir lui réserve.

Quelles questions les comités d'audit devraient-ils poser?

  • Dans quelle mesure avons-nous modifié notre tolérance aux cyberrisques et nos outils et processus de surveillance à la suite de notre virage numérique?
  • Comment nous assurons-nous d'avoir authentifié et validé correctement les utilisateurs, les clients et les partenaires qui ont recours à nos outils informatiques?
  • Comment ont été évalués les risques liés au passage de solutions hébergées localement à des solutions hébergées dans le nuage?
  • Comment s'assurer que le fournisseur de services infonuagiques a mis en place des contrôles informatiques et qu'il les met en œuvre?
  • Quelles mesures ont été prises pour former nos employés et améliorer nos processus de façon à tenir compte de la nouvelle réalité du télétravail afin de repérer ces nouvelles menaces et d'y répondre?