Perspectives

Le risque lié à l’informatique, aujourd’hui : s’y adapter ou rester chez soi

Comprendre et gérer les risques actuels liés aux TI

Pour rester dans la course, il faut se tenir au courant. Quand une nouvelle pratique exemplaire fait son apparition, les organisations l’adoptent ou perdent des affaires en faveur de concurrents. Tous les progrès, de la révolution industrielle à l’essor du numérique en passant par la chaîne de montage, se sont rapidement répandus grâce, en grande partie, à la propension des organisations à les adopter précocement. Quand il s’agit de gérer les risques liés aux technologies de l’information (TI), cependant, un trop grand nombre d’organisations semblent reléguer au second plan la nécessité de rester dans la course.

En tant que professionnels du risque, nous devons aller au-delà de la longueur des mots de passe, des exigences relatives aux caractères et des cycles d’expiration. Les préoccupations entourant traditionnellement les mots de passe et les autres mécanismes de protection conservent toute leur pertinence et sont essentielles à la gestion des risques technologiques, mais elles doivent s’accompagner d’une vision élargie de ces risques et mécanismes, qui continuent d’évoluer à un rythme accéléré. Nos résultats financiers, notre réputation, nos données et la conformité à la réglementation en dépendent. Les contrôles informatiques et les exigences de la réglementation en général sont importants, mais notre véritable rôle consiste à aider les organisations à gérer le risque en réorientant la priorité que nous accordons à la gestion des risques liés aux TI et à l’audit vers les secteurs à valeur élevée qui présentent aussi des risques élevés.

Les aspects des risques liés aux TI qui présentent une valeur élevée et des risques élevés peuvent être divisés en deux catégories, soit ceux qui existent déjà et ceux qui sont associés aux technologies émergentes. Dans ce blogue, je m’intéresserai aux cinq grandes menaces actuelles :

  • La cybersécurité
  • La gestion des risques liés aux tiers
  • La protection des données et la prévention de la perte de données
  • Les médias sociaux
  • L’analytique, l’exploration et la visualisation des données

La cybersécurité : passer le test

Trop souvent, la cybersécurité se résume à l’exécution de tests portant sur les attaques et les intrusions. Dans la mesure où le coupe-feu a été configuré pour tenir les intrus à l’écart, les systèmes passent le test. S’ils sont fort valables, les tests portant sur les attaques et les intrusions ne représentent, à notre avis, qu’un élément dans un cadrede cybersécurité plus exhaustif qui peut aider à rendre les organisations sécuritaires, vigilantes et résilientes de façon continue. L’établissement de ce cadre devrait commencer par un plan de gestion et d’audit des risques échelonné sur plusieurs années et couvrant tous les cyberdomaines. Pour être d’une réelle efficacité, ce plan devrait comporter un échéancier tenant compte de l’ensemble des mécanismes régulateurs pertinents.

Les tierces parties, ou l’entreprise étendue

Les organisations ont de plus en plus recours à des tiers pour assurer la prestation de leurs services. Cela est d’autant plus vrai qu’on assiste à une véritable explosion de fournisseurs de solutions infonuagiques qui offrent des fonctionnalités de plus en plus attrayantes et poussées par le recours à l’impartition. Le monde interconnecté d’aujourd’hui exige que les organisations sachent quels sont les mécanismes de sécurité utilisés par leurs fournisseurs de services externes.

Dans un premier temps, cependant, il suffit que l’entreprise sache avec quels fournisseurs externes elle fait affaire. Cela peut représenter, en soi, un défi de taille. L’établissement manuel d’un répertoire de fournisseurs est une bonne première étape, mais il est improbable que cela soit suffisant. Il convient de prendre d’autres mesures en considération. Une approche intéressante consiste à exercer une surveillance sur les paquets d’information qui quittent le coupe-feu de votre réseau, c’est-à-dire sur les données sortantes et leur destination. Cela permet de relever les données transmises à des fournisseurs de services infonuagiques qui ne sont peut-être pas dans le radar officiel. Une autre source d’information utile est le système de comptes créditeurs puisque quelqu’un, dans l’organisation, est chargé de payer les fournisseurs externes.

Forte de ces connaissances, l’entreprise peut alors obtenir une image plus complète des fournisseurs de services externes qui entrent en jeu et effectuer une évaluation des risques pour les classer et établir leur ordre de priorité, ce qui lui permet de gérer plus intelligemment le risque que les fournisseurs présentent. On estime trop souvent que les fournisseurs de services externes sont responsables des tâches qui leur sont imparties. La réalité, toutefois, c’est que nous pouvons confier des responsabilités à des fournisseurs externes, mais que l’organisation proprement dite assume la responsabilité ultime des risques et du contrôle.

Les données : stockage et protection

Les données, que ce soit celles des fournisseurs externes ou des unités fonctionnelles internes, représentent une priorité importante pour la plupart des organisations. Les données sont transmises par des réseaux, des messageries électroniques, des appareils mobiles et des réseaux sociaux de plus en plus interconnectés. Elles sont stockées dans des serveurs, des ordinateurs portables et des appareils personnels. Elles représentent la force vive des organisations et doivent être protégées. Comment, peut-on alors se demander, protéger efficacement ces précieuses données dans un monde où l’accès à l’information augmente et où la communication est rapide? Selon nous, la protection des données va au-delà de leur simple stockage; elle nécessite une gestion active aux quatre principales étapes de leur cycle de vie :

  • L’acquisition
  • La transmission
  • L’utilisation
  • La destruction

Nous sommes, nous le reconnaissons, assaillis par la complexité des exigences à satisfaire. Les règlements en matière de données et de confidentialité diffèrent selon les territoires de compétence et portent sur une multitude d’aspects : qui peut avoir accès aux renseignements, comment ils peuvent être utilisés, pendant combien de temps ils peuvent être conservés et quand et comment ils doivent être détruits. Et il ne s’agit pas simplement d’appuyer sur une touche de suppression pour les détruire. La destruction des données doit comporter un mécanisme d’élimination juridiquement défendable de l’information, partout où elle réside. Vous noterez que la sécurité des données requiert la connaissance de l’information qui franchit votre coupe-feu et des mesures de protection utilisées dans votre propre domaine, mais également la connaissance des données qui quittent votre domaine et des mécanismes utilisés pour assurer que ces données sont autorisées et protégées. Il est primordial d’exercer une surveillance sur l’information sortante.

La gestion du risque commence par la définition des politiques organisationnelles, la compréhension des règlements pertinents, et l’évaluation de l’efficacité des contrôles externes dans des domaines tels que la propriété, la protection des données, la tenue des documents, l’utilisation des appareils personnels et la destruction des données.

Les réseaux sociaux : à fond la caisse!

Les données ne sont pas toujours protégées et cachées. À tout moment, les organisations transmettent délibérément des données sur les réseaux sociaux. Cela comporte cependant des risques. Les choix de réseaux sociaux augmentent, tout comme les règlements qui les régissent, qui couvrent toutes les facettes de l’information allant de la divulgation de l’information financière à la communication de recommandations d’emploi en ligne. Les jeunes professionnels ont grandi avec la certitude d’avoir accès à l’information dans les réseaux sociaux, mais cela va parfois à l’encontre du désir des organisations de ne transmettre l’information qu’aux destinataires qui en ont besoin. Aussi recommandons-nous l’adoption d’une vision, en matière de programmes, du risque lié aux réseaux sociaux. L’organisation pourra ainsi déterminer précisément dans quels réseaux sociaux elle a des comptes, leur nombre et l’identité des personnes qui les contrôlent.

Comme la ligne de démarcation entre vie professionnelle et vie personnelle est floue, cette vision du risque doit s’étendre également aux activités personnelles. Par-delà la gestion de tous les comptes que l’organisation possède – officiellement ou non – dans les réseaux sociaux, le programme englobera les points d’intégration des différents réseaux sociaux, les plans de gestion de crise, les enjeux de la conformité et l’élaboration de politiques sur les réseaux sociaux dans des domaines tels que les ressources juridiques et humaines. Le personnel doit recevoir des instructions claires sur ce qu’est une utilisation acceptable des réseaux sociaux et les restrictions à l’égard de l’information de l’organisation.

Analytique : les mégadonnées en demande

Les organisations mettent de plus en plus à profit le bassin grandissant de données auquel elles ont accès et l’analytique pour prendre de meilleures décisions d’affaires. Pour comprendre les risques potentiels auxquels une organisation est exposée, il est bon de commencer par comprendre les décisions prises par cette dernière en ayant recours à l’analytique. Par exemple, des algorithmes qui passent des bandeaux publicitaires ne risquent pas de mettre en péril l’existence d’une entreprise. Il en va sans doute autrement de ceux qui traitent des opérations de plusieurs milliards de dollars.

Les professionnels du risque et les auditeurs doivent savoir quelles sont les données utilisées et quelle utilisation on en fait, en particulier si leur utilisation peut avoir une incidence importante sur l’entreprise. Il ne suffit pas de vérifier l’utilisation de l’analytique et les mécanismes de contrôle en place, il faut aussi tenir compte de la qualité des données. Les professionnels du risque devraient également scruter le contrôle qualitatif de l’information qui alimente l’analytique des données pour s’assurer que les décisions reposent sur des sources d’information complètes et exactes. Si l’on s’abstient de le faire, cela augmente inutilement le risque.

L’avenir en marche

Ces risques ne s’appliquent pas tous à toutes les organisations. Chaque entreprise ou institution doit adopter une approche qui lui est propre, en fonction de sa situation particulière et de son domaine d’activité. Dans tous les cas, cependant, l’objectif est le même. Les professionnels du risque devraient préparer les organisations à aborder les enjeux que soulèvent les nouvelles technologies en se posant les bonnes questions et en aidant l’équipe de la direction à formuler des réponses stratégiques pour devancer les problèmes ou, à tout le moins, ne pas se laisser dépasser par eux.

Cela est vrai des menaces qui planent aujourd’hui, et peut-être plus encore des menaces futures des technologies émergentes.

Avez-vous trouvé ceci utile?