Nouvelle étude : la cybersécurité en tête des risques qui menacent l’entreprise

Etude « Risk in Focus* » : Basée sur les réponses de plus de 300 professionnels de l’audit interne travaillant dans des organisations à travers l’Europe, l’enquête cartographie les 10 principaux risques auxquels les entreprises des secteurs privé et public seront confrontées en 2019.*

Menée pour la 3^e année consécutive par 7 Instituts européens d’audit interne membres de l’ECIIA** (France, Allemagne, Italie, Pays-Bas, Royaume-Uni, Irlande, Suède, Espagne), cette étude est un précieux outil pour permettre aux équipes d’audit et de contrôles internes, ainsi qu’aux dirigeants d’anticiper et d’organiser leurs futurs plans d’audit !

* L’étude complète est disponible sur : http://docs.ifaci.com/

** L’IFACI est l’Institut français d’audit interne et figure parmi les 34 pays membres de l’ECIIA (European Confederation of Institutes of Internal Auditing)

Les 10 principaux points de vigilance pour 2019

La cybersécurité, le risque n°1 en chiffres

• En 2017, pour 56% des entreprises ayant subi une violation de leurs données, l’origine de cette attaque provenait de fournisseurs
• Entre 2015 et 2021, le coût des dommages causés par les cyber attaques devrait doubler pour atteindre 6 000 milliards de $
• En 2017, l’utilisation de virus pour infiltrer les logiciels de gestion de la chaîne logistique des entreprises a augmenté de 200%

1. Cybersécurité : Gouvernance des SI et relations avec les tiers: Pour 66% des experts interrogés, les organisations de plus en plus connectées doivent être particulièrement vigilantes aux risques de piratages ou défaillances des systèmes numériques (notamment pour la gestion des chaînes logistiques).
2. Protection des données : stratégies post-RGPD : Pour 58% d’entre eux, la mise en conformité du RGPD récemment entré en vigueur (mai 2018) demande une vigilance particulière.
3. Digitalisation, automatisation & intelligence artificielle : 36 % des professionnels alertent les organisations sur les risques liés à l’adoption de nouvelles technologies comme l’automatisation et autres processus numériques.
4. Développement durable : environnement et éthique sociale – Autre préoccupation majeure pour les experts : les enjeux de RSE. Les instances de régulation et le public attendent une réelle implication de la part des organisations au-delà d’une simple mise en conformité réglementaire.
5. Conformité anti-corruption : Si le risque de corruption existe depuis longtemps, les réformes législatives nationales, les mises en vigueur de dispositions réglementaires au niveau mondial et les amendes sans précédent le propulsent dans le top 5 des risques organisationnels !
6. Risques liés à la communication : Souvent perçu comme impalpable, le risque de réputation est pourtant bien réel et ne cesse d’augmenter avec la transformation numérique. La communication doit donc être pleinement intégrée au dispositif de gestion des risques.
7. Culture organisationnelle : discrimination et inégalités sociales – Suite au mouvement #MeToo, la pression pesant sur les sujets de lutte contre toutes formes d’inégalités, de discriminations et de comportements sexistes n’a jamais été aussi forte. Les organisations sont de plus en plus challengées sur cette question !
8. Une nouvelle ère commerciale : protectionnisme et sanction – Le récent renforcement des politiques commerciales protectionnistes et des contrôles à l’exportation représente un risque non négligeable pour les organisations.
9. Gouvernance des risques et des contrôles : s’adapter au changement – Le rythme de l’évolution de la réglementation n’a jamais été aussi rapide, dépassant parfois celui des organisations et rendant leurs outils de gestion des risques rapidement obsolètes.
10. Identifier les risques à surveiller : adopter une véritable approche fondée sur les risques – Les experts ont identifié un décalage entre le temps investi par les équipes sur certains risques par rapport à leur importance. Il s’agit donc de s’assurer que le temps passé sur un risque est cohérent avec son niveau de priorité.

Le regard du président

Jean-Marie Pivard, Président de l’IFACI réagit au classement : « Dans un monde post-RGPD, je ne suis pas surpris de retrouver la sécurité des systèmes informatiques, la conformité et la protection des données à la tête des préoccupations des organisations.

Si la cybersécurité est une priorité depuis plusieurs années déjà et ne cesse de monter en puissance, la gestion des cyber-risques évolue : à l’aise avec les systèmes de gestion des risques classiques, les organisations concentrent désormais leurs efforts sur la protection des tiers (prestataires, fournisseurs). En effet, de plus en plus fréquentes, les cyber-attaques d’envergure contre des tiers (à l’aide de logiciels malveillants auto-répliquant comme Petya et WannaCry) leur ont montré l’importance de protéger jusqu’au plus petit maillon de leur chaîne logistique.

En parallèle, les organisations font face à une difficulté majeure : la manière dont elles ont développé et géré leurs infrastructures informatiques ces dernières décennies – au coup par coup, en silos, à une époque où les risques étaient faibles – rend plus difficile leur supervision globale, aujourd’hui pourtant incontournable pour une gestion efficace de la cybersécurité.

Les entreprises doivent dorénavant réorganiser leur gouvernance pour sécuriser l’ensemble de leurs systèmes informatiques en prenant en compte les infrastructures de l’ensemble des intervenants de leur chaîne d’approvisionnement, internes comme externes. »

L’IFACI a publié en juin dernier un document « Cyber-risques : Enjeux, approches et gouvernance » à retrouver sur https://docs.ifaci.com/wp-content/uploads/2018/06/Cyber-risques.pdf