Dans mon récent article Les CEO et l’angle mort des cybercrimes, j’expliquais que les grands patrons avaient un problème de perception quant à la gravité des risques informatiques qui les entourent, qu’ils pourraient désormais être tenus responsables des conséquences de ces crimes et qu’ils ont des problèmes de communication avec leurs CIO. Quelles sont les solutions possibles ?
L’audit de sécurité, outil essentiel à la prévention des intrusions
Avant de parler de la grande entreprise, je rappelle ici que les PME demeurent les cibles de prédilection des criminels informatique. Comme on peut le lire dans l’article No Business Too Small to Be Hacked du New york Times, 60% des attaques en ligne de 2014 visaient les petites et moyennes entreprises. Comme il n’est plus très payant de voler les cartes de crédit par internet, les pirates se sont perfectionnés. Ils font maintenant ce que l’on nomme les ransomware (logiciel rançonneur). En fait, ils s’introduisent dans les systèmes informatiques parce qu’un employé clique sur le lien malicieux dans un courriel ou qu’il télécharge un fichier infecté, puis le système informatique de l’entreprise se barre et une annonce apparait demandant une rançon pour repartir le système.
Given the increase in such attacks, being unprepared is like playing security roulette, said Robert Siciliano, chief executive of IdTheftSecurity.com.
“If you’re not deploying some level of security, you’ll go under,” he added. “You have to make time for quality control. The worst thing you can do is nothing.”
Mr. Siciliano recommends a security audit as a first step. The audit should take note of potential areas of risk, like customer data or employee access. “How secure — or not — is your system?” he said.
Pour ne pas jouer à la roulette russe informatique, vous devrez donc faire un audit complet de vos risques informatiques. Si vous n’avez pas de département informatique assez développé, vous devrez donner ce mandat à une firme spécialisée.
Pour la grande et très grande entreprise, cet audit des risques informatique se fera souvent à l’interne. Malheureusement, il est très difficile, voire impossible, d’être le critique de son propre travail et de ses faiblesses. Il est aussi hasardeux de suivre adéquatement l’évolution des technologies nécessaire pour l’entreprise et de simultanément suivre l’évolution des menaces technologiques et d’ingénierie sociale associée aux risques malveillants. C’est l’une des observations de PWC, dans son document Fortifying your defenses The role of internal audit in assuring data security and privacy.
In our experience, every company has security controls and privacy policies, often quite comprehensive ones. But all too often, no one checks to see if these protocols are being followed. As well, new threats to information security are often overlooked—threats that might demand new procedures and tools.
(…)
No matter how strong its data security policies and controls, a company won’t really know the adequacy of its defenses if it doesn’t continually verify that those defenses are sound, uncompromised, and applied in a consistent manner. To achieve such assurance, internal audit has to play a far more substantial role in information security than is often the case today. Companies’ audit committees must also pay more attention to the problem, and heighten the expectations they place on internal audit regarding information security.
Isaca (Information Systems Audit and Control Association) quant à elle, souligne le conflit inhérent que peut vivre l’auditeur interne face à ses collègues des Technologies de l’information.
In the interviews, information security professionals indicated that how internal auditors approached the review of information security profoundly affected the quality of the relationship. At one extreme, the auditors could be perceived as “the police” who were out to catch mistakes; at the other extreme, they could be viewed as consultants or advisors. Not surprisingly, the two examples had markedly different effects on the quality of the relationship. When auditors were viewed as “the police,” the relationship was formal, reserved and even adversarial; but, when auditors were perceived more as advisors and consultants, the relationship was more open and positive. The latter view was most clearly explained by the information security manager who provided the comment about the “cat-and-mouse” game quoted earlier, who said: “We can leverage each other’s expertise and position in the organization to make things happen. Many times the IT department will tend to almost hide things from audit because they do not want to get a black eye and we don’t have that issue here so much…we have the same goals.
Mais si toutefois la grande entreprise persistait à gérer elle-même ses risques informatiques et à se doter d’une équipe de gestion des risques et d’un audit interne et d’un CISO (chief information security officer) qui serait sous la direction d’un CIO (en supposant qu’ils aient toute la latitude pour remettre en question les manquements de leur propre patron), la communication CEO-CIO demeurerait difficile. Le fait est que les CEO et les CIO ne partagent souvent pas le même langage. La plupart des CEO sont très familiers avec la finance, le marketing, la production ou les ressources humaines, mais les technologies de l’information sont l’enfant pauvre de leurs compétences. Les CIO quant à eux, ont aussi de la difficulté à s’imposer dans le comité de direction et à faire valoir l’importance capitale (dans le langage approprié) des technologies de l’information pour l’innovation de l’entreprise ou pour sa survie même, si les risques informatiques qu’elle peut engendrer, ne sont pas efficacement gérés. Cette dichotomie a été largement observée et se retrouve sous le vocable « CEO-CIO disconnect ». C’est l’essence de ce que disait NXC dans son article Study shows businesses the ROI behind a strong security program
The big problem with the CEO and CIO disconnect isn’t only that it weakens security, but also that it negatively impacts business growth. A recent study showed just how influential an organization’s security impacts business dealings.
(…)
The fact that those running a business, from the CEO and the board to the CIO and the CISO, can’t agree on how to stay proactive and effective with security is something that must change. Yes, the CIO and CEO speak a different language and have different responsibilities; but their common goal is to stay in business. With this in mind, and the clear ROI behind a strong information security program, there has to be a meeting point between all those involved; and it starts from evaluating what’s missing with the security process in place.
Comme je le dis souvent, dans une organisation, un dossier descend toujours mieux qu’il monte. C’est l’une des raisons pourquoi, il est primordial que les CEO s’impliquent, comprennent et donnent un signal fort, que la sécurité informatique est l’un des enjeux les plus fondamentaux pour la croissance et la survie de l’entreprise, quelle qu’elle soit…
No Business Too Small to Be Hacked
https://www.nytimes.com/2016/01/14/business/smallbusiness/no-business-too-small-to-be-hacked.html
Fortifying your defenses The role of internal audit in assuring data security and privacy
https://www.pwc.com/us/en/risk-assurance-services/assets/pwc-internal-audit-assuring-data-security-privacy.pdf
Internal Audit’s Contribution to the Effectiveness of Information Security (Part 1)
https://www.isaca.org/Journal/archives/2014/Volume-2/Pages/Internal-Audits-Contribution-to-the-Effectiveness-of-Information-Security-Part-1.aspx
Study shows businesses the ROI behind a strong security program
http://www.ncxgroup.com/2016/04/study-shows-businesses-roi-strong-security-program/#.WLc9NBLhAdU
Benoit Grenier
Co-Founder and CEO
Proactive Risk Management
www.parminc.com