Sécurité informatique : Au-delà des TI

Compte tenu de l’intensification des cyberattaques, les professionnels de la finance sont aujourd’hui tenus de se pencher sur la question.

La numérisation des entreprises a indéniablement généré une foule d’avantages, notamment de nouvelles occasions à saisir, assorties d’une connectivité, d’une collaboration et d’une productivité accrues. Mais tout cela a un prix. Vu l’évolution constante de la technologie et la dépendance croissante à son égard, les probabilités d’infiltration des systèmes d’information par les cyberpirates sont plus élevées que jamais. Or, loin de se limiter aux TI, la cybersécurité intéresse toute l’organisation : les services chargés de l’exploitation, des finances et de l’audit et de la gouvernance jouent un rôle essentiel pour protéger l’entreprise et les renseignements sur ses clients.

Selon le sondage Global State of Information Security 2016 de PwC, entre 2014 et 2015, les atteintes à la sécurité se sont multipliées (+ 37 %), tout comme les cas d’usurpation de propriété intellectuelle (+ 56 %). À ces chiffres stupéfiants correspondent des pertes financières et des atteintes à la réputation des entreprises. L’un des exemples récents les plus éloquents reste la cyberattaque contre la banque JP Morgan Chase en 2014 : 83 millions de comptes avaient été touchés et les actions de la société avaient chuté de 0,2 % lors des opérations après clôture de la Bourse.

Soulignons que certains propriétaires de petites entreprises croient que les pirates ne les ont pas à l’œil. En réalité, les PME ne sont pas nécessairement à l’abri, car leur vulnérabilité en fait des cibles de choix. Par ailleurs, les études montrent que le coût moyen d’une attaque, pour une entreprise comptant moins de 100 employés, se chiffre à 3,5 M$ (rapport 2014 Cost of Data Breach: Global Analysis du Ponemon Institute).

POSER LES BONNES QUESTIONS

Selon la 17e enquête mondiale auprès des chefs de la direction de PwC, 86 % des sondés voient l’évolution technologique comme l’une des principales tendances transformatrices des cinq prochaines années. Ils estiment qu’un plan solide de cybersécurité leur permettra de tirer profit de l’évolution technologique pour accroître l’innovation, la collaboration, la productivité et la compétitivité, et améliorer l’expérience client. Afin d’atteindre cet objectif, Adriana Gliga-Belavic et Amalia Steiu, de PwC, suggèrent au conseil d’administration et au chef de la direction de se poser un certain nombre de questions :

  • Quel est notre profil de cyberrisque? A-t-il été mis à jour?
  • Notre programme de cybersécurité correspond-il à notre stratégie?
  • Quelles sont les pratiques de pointe des leaders en cybersécurité? Les nôtres sont-elles aussi évoluées?
  • Avons-nous compris quels sont nos actifs les plus utiles?
  • Savons-nous qui sont nos adversaires? Où sont les défauts de la cuirasse qu’ils pourraient cibler?
  • Qui dirige notre programme de gestion des incidents et des crises? Ce programme fait-il appel à la collaboration interfonctionnelle et interservices?
  • La direction dispose-t-elle d’un plan de gestion de crises et, le cas échéant, l’avons-nous mis à l’épreuve dans le cadre d’un exercice?

(Source : PwC)

Pour vous renseigner sur les mesures à envisager pour mieux protéger votre organisation contre les cyberattaques, assistez au Colloque sur l’audit, la gouvernance et la sécurité en matière de TI de 2016.

Faits saillants

Mettez vos connaissances à jour et élargissez votre réseau grâce à ce colloque à ne pas manquer (en anglais), qui porte sur les questions et tendances essentielles pour les membres des comités d’audit.

Dans votre entourage se tapit sûrement une personne surendettée. Si vous êtes observateur, vous reconnaîtrez l’un ou plusieurs de ces symptômes.