Comment procéder à une évaluation des cyber-risques

Cybersecurity Ventures prévoit que la cybercriminalité coûtera au monde plus de 6 000 milliards de dollars par an d'ici 2021, contre 3 000 milliards en 2015. Comme les grandes cyberfraudes font de plus en plus souvent la une des journaux, la cybersécurité est plus que jamais sur le radar de l'audit interne. Cette attention accrue au risque se reflète dans l'enquête sur les capacités d'audit de 2019 , qui a révélé que le risque de cybersécurité est la priorité numéro 2 pour les directeurs d'audit.

L'audit interne s'emploie à gérer les cybermenaces en fournissant des évaluations indépendantes des risques existants et en aidant le comité et le conseil d'administration à comprendre et à traiter ces risques. Deloitte rapporte que de nombreuses organisations reconnaissent la nécessité d'une troisième ligne de cyberdéfense - un examen indépendant des mesures de sécurité et des performances entrepris par l'audit interne.

La cybersécurité ne relève pas de la seule responsabilité des équipes chargées de la sécurité ou des technologies de l'information : elle touche et implique tous les secteurs d'activité. Dans une approche traditionnelle et cloisonnée, chaque département traite les risques de manière indépendante. Il n'existe pas de langage ou de cadre commun pour examiner le cyber risque de manière globale. En se concentrant sur les risques, on élimine ces cloisonnements, tout en permettant aux responsables des processus d'entreprise de définir des priorités et d'agir en fonction des résultats.

Malgré cette attention accrue, seule la moitié des responsables d'audit interne de cette enquête sur les capacités d'audit a indiqué que leurs groupes avaient procédé à des évaluations des risques cybernétiques. Parmi ceux qui l'ont fait, les trois quarts ont élaboré un plan de cyber-audit basé sur l'évaluation.

En effectuant une évaluation complète des cyber-risques, l'audit interne peut présenter des évaluations et des conclusions objectives au comité d'audit et aux membres du conseil d'administration et utiliser ces conclusions pour élaborer un vaste plan d'audit interne qui inclut les cyber-risques.

Une évaluation des cyber-risques peut également être structurée de manière à générer une liste des lacunes en matière de cybersécurité et à fournir à l'organisation une feuille de route pour les activités de remédiation à court et à long terme.

Les étapes de l'évaluation des cyber-risques

Voici huit mesures que les auditeurs peuvent prendre pour effectuer une évaluation des cyber-risques informatiques.

1. Caractériser le système (processus, fonction ou application)

Dans cette étape, vous voulez répondre aux questions suivantes : Quels sont les éléments impliqués ? Quelles données utilise-t-il? Quels sont les fournisseurs impliqués dans le système et qui utilisent les données ? Où vont les informations et quel est le flux de données ?

2. Identifier les menaces

Les menaces varient d'une organisation à l'autre, mais les plus courantes sont les suivantes

• Accès non autorisé (par exemple, un employé accède à des données sensibles, par malveillance ou non, qu'il n'est pas autorisé à consulter)
• Utilisation abusive d'informations par un utilisateur privilégié (par exemple, utilisation malveillante d'informations par un employé ayant accès à des informations ou données hautement sensibles/confidentielles ou concurrentielles)
• Interruptions de service (par exemple, interruption des activités commerciales, services défaillants, interruption du fournisseur d'accès Internet, interruption du serveur)
• Perte de données (par exemple, processus de sauvegarde qui échoue ou suppression intentionnelle de fichiers)

3. Déterminer le risque inhérent et l'impact

Appliquez une note standard de risque et d'impact faible, moyen ou élevé à chacune des menaces que vous avez identifiées. (Sans tenir compte de votre environnement de contrôle et sans déterminer un scénario de simulation où le risque s'est produit) En savoir plus sur le choix de mesures de cybersécurité efficaces.

4. Analyser l'environnement de contrôle

Identifier les contrôles de prévention, d'atténuation et de détection des menaces (par exemple, les contrôles pour l'attribution des utilisateurs, l'administration, la sécurité des centres de données, la continuité des activités) et leur(s) relation(s) avec les menaces identifiées.

5. Déterminer une cote de probabilité

Maintenant que vous avez identifié vos menaces et déterminé les risques/impacts, il est temps de déterminer la probabilité que chaque menace se produise. Évaluez la probabilité, dans votre environnement de contrôle, qu'une faiblesse ou un risque donné se produise réellement au sein de votre organisation (là encore, en utilisant une note faible, moyenne ou élevée).

6. Calculer votre notation du risque

L'équation de notation du risque est assez simple : impact (en cas de faiblesse) * probabilité (de faiblesse dans l'environnement de contrôle). L'utilisation d'un système de notation des risques faible, élevé et grave permettra de déterminer les niveaux de notation des risques individuels, qui constitue la prochaine étape.

7. Prioriser les risques

Utilisez le système de notation/évaluation des risques de votre choix pour classer vos risques par ordre d'importance.

8. Documenter les résultats dans un rapport d'évaluation des risques

Produisez un rapport d'évaluation des risques pour aider la direction à prendre des décisions sur le budget, les politiques et les procédures.

La préparation à la cybersécurité est un processus continu. Après avoir effectué les huit étapes précédentes, l'étape suivante consistera à affiner et à réévaluer le risque en permanence. Lorsque vous modifiez les procédures ou que vous mettez en place un nouveau processus à la suite de votre évaluation des risques cybernétiques, évaluez son efficacité et continuez à évaluer le programme dans son ensemble pour en déterminer l'efficacité.