Auditeurs internes et responsables cybersécurité se rejoignent sur les enjeux majeurs du risque cyber
Enquête Le risque cyber est bien un risque critique pour les entreprises, selon les auditeurs internes et responsables cybersécurité interrogés lors d’une enquête KPMG France.
▪ Auditeurs internes et responsables cybersécurité partagent de nombreuses préoccupations, notamment sur les impacts majeurs du risque cyber ;
▪ Des différences apparaissent quand il s’agit d’apprécier des sujets tels que les compétences requises pour réaliser des audits ou le suivi des plans d’actions ;
▪ La crise sanitaire redéfinit certaines priorités.
Interrogés par KPMG France, responsables cybersécurité et auditeurs internes se rejoignent pour estimer que le risque cyber est majeur, voire critique pour leur entreprise. Une vision que la crise sanitaire n’a pas modifiée de façon significative. Pour les deux populations, la résilience des moyens technologiques et la protection contre les cyberattaques seront les principaux enjeux dans les mois à venir.
Auditeurs internes et responsables cybersécurité s’accordent pour placer la divulgation d’informations confidentielles et l’atteinte à la réputation comme les deux impacts cyber les plus redoutés. Cependant, dans un contexte d’augmentation des menaces, de la surface d’exposition et de la réglementation, les responsables cybersécurité sont très majoritairement focalisés sur les enjeux opérationnels de continuité de l’activité et d’intégrité des données. Par contraste, les auditeurs internes sont plus préoccupés par les exigences réglementaires.
Audits : des méthodes différentes
Plus des trois quarts des auditeurs internes déclarent auditer des sujets cyber, une proportion en constante augmentation depuis quatre ans.
Les tests d’intrusion et l’analyse de données sont désormais utilisés par une majorité des auditeurs internes, en complément des approches classiques (entretiens, analyse documentaire et tests de cheminement). Les responsables cybersécurité privilégient quant à eux les tests d’intrusion, les campagnes de phishing et les revues de code, de configuration ou d’architecture.
Compétences : des visions contrastées
Les deux populations interrogées divergent sur les compétences requises pour traiter les sujets cyber. 60 % des auditeurs internes déclarent suivre les plans d’action nécessitant une forte expertise technologique, tandis que près de la moitié des responsables cybersécurité déclarent que le suivi opérationnel de ces sujets leur est délégué..
33 % des auditeurs internes pensent ne pas posséder les compétences requises pour traiter les sujets cyber en général. Par contraste, les responsables cybersécurité pensent à 71 % que les auditeurs internes ont l’expertise nécessaire pour traiter des sujets cybers non techniques. La difficulté à trouver ce type de compétences se fait plus cruellement sentir chez les responsables cybersécurité.
Les conséquences de la crise sanitaire sur le risque cyber
Pour la majorité des auditeurs internes, la crise sanitaire a changé le paysage des risques cyber des organisations. Cette vision n’est pas partagée par les responsables cybersécurité, pour lesquels la crise ne semble pas avoir été un bouleversement. La crise de la Covid-19 a donc pu agir comme un révélateur de l’importance de l’IT et du cyber pour des populations qui en sont plus éloignées, dans leur travail quotidien, que ne le sont les responsables cybersécurité.
Pour la majorité des répondants, la bascule soudaine en télétravail a entraîné des risques liés aux changements en urgence, au shadow IT, et aux modalités de travail à distance. On constate donc que la crise sanitaire a redistribué les cartes en termes de priorités : de façon prévisible, les sujets de continuité d’activité et de cyber résilience ont pris de l’ampleur. Il en est de même pour la gouvernance cyber, sans doute pour s’assurer de garder sous contrôle des activités réalisées en mode dégradé.
Les sujets cyber ne seront donc pas dépriorisés par la crise, au contraire. Des audits de vérification du bon retour à l’état normal et sur la gestion de la crise seront inclus au plan d’audit.
La crise de la Covid-19 a redéfini certaines priorités en matière de couverture du risque cyber dans les plans d’audit. Il apparaît plus que jamais que c’est au travers d’une collaboration étendue que les auditeurs internes et les responsables cybersécurité parviendront, dans le respect de leurs prérogatives respectives, à relever le défi du risque cyber avec succès.
La crise Covid-19 a agi comme un révélateur de l’importance des technologies de l’information et des communications pour les entreprises, et, par extension, de l’importance de la cybersécurité et de la cyber résilience. Les résultats de l’enquête KPMG montrent que les auditeurs internes et les responsables sécurité sont pleinement conscients de cet enjeu et mobilisés pour y répondre.
Méthodologie
— Premier questionnaire adressé aux responsables cybersécurité et auditeurs internes en janvier 2020. Complément d’enquête adressé après le premier confinement en juin 2020 auprès de la même cible.
