• delphine pramotton

La cyber sécurité mal aimée des conseils d'administration

Les récentes cyber-attaques qui ont touché une fois de plus certaines banques — pourtant l’industrie la mieux sécurisée — remettent sur la table certains aspects qui restent mal compris ou sont négligés des hauts dirigeants d’entreprise :


- La cyber-sécurité doit faire partie de l’agenda du conseil d’administration. La fréquence et l’ampleur des cyber-menaces sont telles aujourd’hui qu’aucun dirigeant digne de ce nom ne devrait s’enfouir la tête dans le sable en priant que son CIO et son comité des risques aient parfaitement en main ces aspects. De la même façon, il est un peu trop facile pour un CIO de se défausser entièrement sur son responsable de la sécurité (CISO) en espérant qu’il ait engagé le bon leader. Il faut donc accompagner et supporter le couple CIO/CISO avec les bons moyens, en s’assurant que les priorités soient à la bonne place et en posant les bonnes questions. Un comité des risques ainsi que la nomination d’un Risk Officer et d’un Chief Data Officer ainsi qu’un contrôle interne efficace sont aussi des moyens qui devraient en principe permettre de s’assurer que les risques sont maitrisés. Il y a donc lieu de se poser des questions si aucun de ces moyens en place n’a permis de prévenir d’incidents ou d’en limiter l’impact.


- L’informatique reste montrée du doigt alors que ces dernières années, une grande partie du budget technologique est sortie de la DSI pour aller notamment au Marketing. Des projets et des décisions technologiques entières ont été pris au fi des standards et normes établies par la Direction des Systèmes d’Information. Tous les projets ayant des composantes technologiques doivent respecter des standards de sécurité, lors de la conception, du développement, de l’implantation, de l’exploitation. Les Vice-Présidences Marketing sous-traitent une grande partie de l’exploitation des données sans avoir la moindre idée de savoir comment elles sont protégées. Les Vice-Présidences d’affaires se cachent derrière la clause de confidentialité, qui n’empêchera pourtant pas grand-chose d’arriver.


- Une analyse des risques d’affaires prenant leur source aux TI doit être effectuée pour s’assurer que les priorités soient mises au bon endroit. Il s’agit d’une analyse des risques d’entreprise avec une composante TI. Cette analyse doit être actualisée régulièrement et menée avec une approche rigoureuse si l’on veut être capable de comparer des choses comparables. On ne s’improvise pas dans l’analyse de risques du jour au lendemain.


- La sécurité jouit encore d’une fausse perception qu’il s’agit d’un sujet exclusivement techniqueet dont les solutions passent par l’installation d’outils et de centres de surveillance opérationnelle. Il n’y a rien de plus faux. Si la surveillance anti-intrusion sur les réseaux est un aspect incontournable, ce n’en est qu’un des maillons. Il s’agit autant d’empêcher les flux tiers de rentrer que d’empêcher les informations de sortir massivement. Ceci montre bien qu’il faut revoir toutes les procédures de contrôle interne et que rien n’est plus efficace que le « security et le privacy — by-design »., c’est-à-dire la prise en compte de la protection des informations dès la conception des systèmes. Dans le cas contraire, la sécurisation relèvera d’une complexité beaucoup plus grande, beaucoup plus coûteuse et les risques resteront élevés.


- On observe d’ailleurs un déplacement des menaces. Il y avait dans le passé beaucoup plus d’atteintes sur les numéros de carte de crédit. Il semble qu’elles aient légèrement diminué. À coup d’implantation des standards de sécurité tels que PCI, qui force le chiffrement des numéros de carte de crédit, on peut gager que l’on commence enfin à voir nos cartes de crédit un peu mieux sécurisées. La menace s’est donc déplacée sur nos données personnelles, pour ainsi dire jamais chiffrées, et sur le vol d’identité.


- La question des bureaux de crédit centraux. La menace du vol d’identité est principalement nord-américaine. Il est très difficile en Europe de se faire ouvrir un compte ou délivrer des moyens de paiement sans se présenter physiquement devant un guichet avec deux pièces d’identité et des justificatifs de domicile. Le numéro d’assurance sociale en France, n’est utilisé que pour le système de santé et éventuellement, par l’employeur qui le transmet à la mutuelle complémentaire. Les banques n’ont pas besoin de le connaître, ni les impôts. Pourquoi donc le NAS joue-t-il alors ce rôle si central en Amérique du Nord et pourquoi les bureaux de crédit, TransUnion et Equifax, dont le siège est aux É.-U., centralisent-ils toutes nos informations, lorsque l’on sait que les deux organismes se sont également fait pirater et sont l’objet de toutes les convoitises ? En Europe, les bureaux de crédit ne sont utilisés que pour certains cas spécifiques. Le dossier de crédit est géré directement par l’établissement financier dans lequel le particulier fait affaire et il n’existe pas de cote individuelle officielle de crédit (mais les banques bien sûr ont leur propre système de pointage). Tout ceci étant soigneusement encadré par la loi Informatique et Liberté de 1978 et la GDPR. Alors certes, le projet de loi du gouvernement Legault va dans le bon sens, mais il y a de vraies questions à se poser sur le rôle et la place que doivent prendre ces organismes au Québec.


- Avec le mouvement généralisé d’externalisation des TI chez les tiers, les risques ont été déportés.Pourtant, la sous-traitance ne dispense pas de s’assurer que la gestion des avoirs est faite correctement, bien au contraire. Au final, c’est toujours la réputation de l’entreprise qui a sous-traité, qui est mise à mal et c’est à elle que les citoyens demandent des comptes.


- Et pour finir, certains diront que la cyber-sécurité nuit à l’innovation et « plombe » le budget d’un projet. Pour l’innovation c’est faux. Il n’y a qu’à penser aux chaines de blocs (« blockchain »). Pour ce qui est du surcoût, évidemment la sécurité, comme la qualité, a un prix. Mais lorsque l’on met les données et la sécurité des citoyens dans la balance, il ne devrait même pas y avoir d’hésitation. Imaginez que les constructeurs aériens et automobiles ne se posent pas ces questions… emprunteriez-vous alors leur véhicule ?


Que faut-il retenir de tout cela ?


  • Les risques d’Affaires doivent être rigoureusement analysés, en prenant en compte les risques d’origine technologique.

  • Afin de diminuer l’impact d’une faille, les informations à risque doivent être segmentées en plusieurs lieux et sous différentes responsabilités.

  • Les procédures opérationnelles d’affaires doivent être modifiées pour prendre en compte ces nouveaux risques. Ce n’est pas une simple question TI.

  • Auditer vos fournisseurs et sous-traitants, demandez-leur des preuves que vos données sont correctement protégées chez eux.

  • Votre cadre de gestion intégré des risques doit s’appliquer sur TOUS vos projets, que ces projets soient gérés par la DSI ou non. Les commanditaires du projet sont imputables des risques.

  • Faites-vous accompagner d’un cabinet d’experts indépendants.

Contactez-nous maintenant. Nous intervenons auprès des comités de risque, d’audit et des CA.