Point de vue de l’Audit – KPMG – Avril 2016 | KPMG | CA

La clé d’une cybersécurité renforcée

La clé d’une cybersécurité renforcée

Comment garder une longueur d’avance sur les cybermenaces et les lois en pleine évolution

Coordonées

Contenu connexe

La clé d’une cybersécurité renforcée

Alors que la cybercriminalité continue d’évoluer sur plusieurs fronts à l’échelle mondiale, les lois ciblant ce problème font des pas de géant pour suivre le rythme. La nouvelle loi britannique sur la protection des renseignements personnels en est un exemple récent et particulièrement éloquent : en vertu de celle-ci, les organisations qui se retrouvent en situation de violation de la vie privée ou de non-respect d’un accord de consentement s’exposent à une amende pouvant atteindre 2 % de leur chiffre d’affaires mondial. Cette approche poussée quant à la protection des données et de la vie privée a amené les organisations exerçant des activités au Royaume-Uni à examiner en profondeur leur cadre de cybersécurité, et elle pourrait donner un aperçu du contexte législatif mondial de demain.

La plupart des mesures canadiennes de protection de la vie privée demeurent incomplètes (les dispositions de la récente Loi sur la protection des renseignements personnels numériques du Canada concernant la violation de la vie privée ne sont pas encore en vigueur), ou leur application se fait sur une base volontaire, comme dans le cas des récents guides de l’Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM ») sur les pratiques exemplaires en matière de cybersécurité et sur la gestion des cyberincidents. Ainsi, compte tenu des grands enjeux qui planent à l’horizon, les comités d’audit canadiens feraient bien d’élargir dès à présent leurs responsabilités en matière de cybersécurité afin de s’assurer que leurs organisations soient bien positionnées pour atténuer une nouvelle vague de cyberrisques évoluant à vive allure.

Établir une stratégie justifiable en matière de cybersécurité

De plus en plus, les conseils d’administration rendent le comité d’audit responsable de la surveillance en matière de cybersécurité. Le degré de responsabilité peut varier considérablement : il peut s’agir d’ajouter un élément dans le plan d’audit annuel, d’effectuer une évaluation complète mais ponctuelle, ou d’être chargé de la cybersurveillance dans le cadre d’un mandat continu.

Dans ce dernier cas, le comité d’audit ne doit pas seulement évaluer efficacement la structure de sécurité existante de l’organisation (ce qui suppose de savoir quelles sont les bonnes questions à poser), mais il doit aussi exercer une surveillance adéquate de la sécurité sur une base continue. Par exemple, les nouvelles cybermenaces qui, au-delà des renseignements sur les cartes de crédit, ciblent les noms d’utilisateurs, les mots de passe, les profils de programmes de fidélisation et les comptes de médias sociaux, pourraient ne pas être identifiées adéquatement dans un programme de cybersécurité existant. Les comités d’audit doivent donc s’assurer, dans un premier temps, que les renseignements adéquats ont été identifiés, et que des politiques en matière d’utilisation acceptable et de flux des travaux ont été établies avant que d’autres mesures stratégiques ne puissent être prises.

Afin de concevoir une stratégie encore plus solide qui protège les bonnes données, les comités d’audit devraient se poser trois questions fondamentales : quel est notre niveau actuel de cyberrésilience, quel serait le niveau optimal et comment pouvons-nous l’atteindre? Les réponses vous aideront à définir le cadre existant de votre organisation ainsi qu’à d’identifier les occasions de rendre ce cadre plus justifiable, notamment par l’établissement d’un état de fonctionnement cible, par la détermination d’un niveau suffisant des mesures de cybersécurité et par le repérage des contrôles de sécurité qu’il est nécessaire de renforcer.

En effet, l’établissement d’une stratégie justifiable devrait être l’objectif
principal de tout comité d’audit : il s’agit ainsi de veiller à ce que votre
organisation ait mis en place un état de fonctionnement cible approprié pour
identifier et protéger les données sensibles et d’être en mesure de démontrer
aux organismes gouvernementaux de réglementation qu’une diligence raisonnable a été exercée en cas de violation. Étant donné qu’il est impossible de contrer tous les actes potentiels de cybercriminels, les comités d’audit doivent s’assurer que les contrôles les plus efficaces sont en place afin d’atténuer les risques les plus grands, ce qui est possible en posant continuellement les bonnes questions et en gérant les réponses au fil du temps, de façon à être en mesure de prouver, lorsqu’il y a violation, qu’il ne s’agit pas du résultat d’une négligence injustifiée.

Que devraient faire les comités d’audit?

La cybersécurité va au-delà des TI et doit être uniforme à l’échelle de l’organisation. Les comités d’audit doivent s’assurer que des mesures essentielles en matière de cybersécurité sont prises dans les six dimensions clés suivantes :

  1. Lois et conformité – Toutes les exigences de conformité réglementaire, légale, contractuelle et commerciale sont respectées et documentées.
  2. Leadership et gouvernance – Les tiers sont gérés adéquatement et des programmes de sensibilisation sont en place pour habiliter efficacement les employés à prévenir le risque.
  3. Facteurs humains – Il existe une culture de la sécurité qui permet d’assurer que les personnes, les compétences, la culture et les connaissances adéquates sont en place.
  4. Gestion des risques informatiques – Un cadre de gestion des risques solide et reconnu dans le secteur est mis en œuvre aux fins de l’identification, du suivi et de la gestion des risques.
  5. Planification de la sécurité – Le plan de cybersécurité est testé régulièrement.
  6. Exploitation et technologie – Les processus et contrôles technologiques sont communiqués efficacement et déployés adéquatement.

Nouvelles menaces, nouvelles responsabilités

En plus d’adopter une vision transorganisationnelle, les comités d’audit peuvent devenir plus efficaces en harmonisant davantage leurs responsabilités avec les menaces émergentes. Par exemple, bon nombre d’entre eux jouent un rôle dans la réévaluation de la manière dont leurs organisations gèrent et partagent les renseignements des parties prenantes. À une époque où les entreprises accumulent un nombre croissant de données personnelles de clients, d’employés et d’investisseurs, les comités d’audit peuvent aider à faire en sorte que ces données ne soient utilisées qu’avec le consentement de ces parties prenantes. Il s’agit là d’une mesure de surveillance qui peut grandement atténuer les problèmes de protection des renseignements personnels.

Une surveillance supplémentaire est exercée à l’égard d’autres aspects, notamment la réévaluation des polices de cyberassurance de l’organisation afin de confirmer que la couverture correspond aux besoins, de même que l’exercice d’un rôle dans les procédures d’analyse rétrospective d’une violation.

De toute évidence, il n’existe aucune méthode universelle pour les comités d’audit en matière de cybersécurité. Toutefois, le fait de comprendre ce qu’il faut chercher et de savoir quelles menaces sont les plus grandes (et quelles solutions sont les meilleures) pour votre société vous aidera à redéfinir stratégiquement votre mandat de surveillance, alors que la complexité de la cybercriminalité ne fait que continuer de s’accroître.

  • Lois et conformité – Toutes les exigences de conformité réglementaire, légale, contractuelle et commerciale sont respectées et documentées.
  • Leadership et gouvernance – Les tiers sont gérés adéquatement et des programmes de sensibilisation sont en place pour habiliter efficacement les employés à prévenir le risque.
  • Facteurs humains – Il existe une culture de la sécurité qui permet d’assurer que les personnes, les compétences, la culture et les connaissances adéquates sont en place.
  • Gestion des risques informatiques – Un cadre de gestion des risques solide et reconnu dans le secteur est mis en œuvre aux fins de l’identification, du suivi et de la gestion des risques.
  • Planification de la sécurité – Le plan de cybersécurité est testé régulièrement.
  • Exploitation et technologie – Les processus et contrôles technologiques sont communiqués efficacement et déployés adéquatement.
  • Lois et conformité – Toutes les exigences de conformité réglementaire, légale, contractuelle et commerciale sont respectées et documentées.
  • Leadership et gouvernance – Les tiers sont gérés adéquatement et des programmes de sensibilisation sont en place pour habiliter efficacement les employés à prévenir le risque.
  • Facteurs humains – Il existe une culture de la sécurité qui permet d’assurer que les personnes, les compétences, la culture et les connaissances adéquates sont en place.
  • Gestion des risques informatiques – Un cadre de gestion des risques solide et reconnu dans le secteur est mis en œuvre aux fins de l’identification, du suivi et de la gestion des risques.
  • Planification de la sécurité – Le plan de cybersécurité est testé régulièrement.
  • Exploitation et technologie – Les processus et contrôles technologiques sont communiqués efficacement et déployés adéquatement.
  • Communiquez avec nous

     

    Appel d’offres

     

    Soumettre