La CRCC de Paris a proposé le 14 février 2018 sa seconde matinale – après la première consacrée à la technologie blockchain – sur la cybersécurité. Comment se positionner en tant qu’auditeur sur ce phénomène global et croissant ? Quelles sont les bonnes pratiques ? Autant de questions abordées lors de cet événement organisé à la Compagnie Coworking à Paris.

La cybercriminalité : un enjeu incontournable pour les commissaires aux comptes

En 2017, 66 % des entreprises auraient été victimes de cyberattaques dans l’Hexagone. Le risque cyber explose, les virus « ransomware » se déchaînent sur le globe. Les risques financiers liés au numérique et à des systèmes d’information non sécurisés, sont plus que jamais d’actualité.

Le Président de la CRCC de Paris Olivier Salustro a ouvert le débat en rappelant que la cybercriminalité concerne tout le monde, les entreprises – de toutes tailles – comme les auditeurs légaux. Le commissaire aux comptes est amené à s’intéresser à un double titre à la cybercriminalité, à la fois sur l’approche des risques et dans sa fonction régalienne de détection des fraudes et de lutte contre la criminalité dans son ensemble.

Interrogé par le Monde du Chiffre, Olivier Salustro a déclaré : « Nous sommes tous conscients que la cybersécurité est un sujet éminent qu’il faut traiter de manière très rigoureuse et sérieuse. La cybercriminalité n’est pas un gadget. Ce doit être la question qui préoccupe le commissaire aux comptes pour tous ses clients, qu’ils soient grands, petits ou moyens. (…) L’auditeur légal est un vecteur de communication, d’analyse et de détection des failles en matière de cybercriminalité. »

La cybersécurité n’est pas un sujet uniquement technique mais intéresse la gestion des risques

François Charbonnier, Chef adjoint de la coordination sectorielle de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a ensuite pris la parole. Selon lui, il ne faut pas fuir le sujet de la cybercriminalité malgré son apparente technicité. En effet, et c’est sans doute le message fort de cette matinale : la cybersécurité n’est pas affaire de pure technique, c’est un sujet de gouvernance et de gestion des risques.

Il convient dès lors pour le chef d’entreprise et ses conseils de s’emparer du sujet au lieu de le déléguer au service informatique ou autre prestataire technique externe. Les risques doivent ainsi être analysés et ciblés pour fixer à terme les objectifs et actions prioritaires. La question est organisationnelle. Il importe d’évaluer la dépendance de l’entreprise au système d’information.

Quelles bonnes pratiques des commissaires aux comptes en matière de cybersécurité ?

La matinale de la CRCC de Paris a ensuite été l’occasion, dans le cadre d’une table ronde, de présenter les bonnes pratiques à mettre en œuvre par les auditeurs légaux afin de répondre aux enjeux de la cybercriminalité.

L’étape clé réside tout d’abord dans la sensibilisation à la cybersécurité des dirigeants, des utilisateurs, des partenaires et des développeurs. Ensuite, viennent les « règles d’hygiène », à savoir la mise en place d’antivirus et les mises à jour. La journalisation des opérations sur le système d’information est également essentielle, de même que la gestion des habilitations.

Sur ce dernier point, Jean-Baptiste Stuchlik, Chef de bureau à l’ANSSI, a commenté : « Une grande partie des actes de malveillance sont réalisés par des personnes qui appartiennent ou ont appartenu à l’entreprise. Il convient donc de vérifier que les habilitations sont à jour et que personne ne peut abuser de sa situation. Ce sont des aspects organisationnels et non uniquement techniques. »

La question des sauvegardes et des plans de continuité ou de reprise de l’activité en cas de cyberattaque, sera également au centre des préoccupations des auditeurs légaux. L’ensemble de ces bonnes pratiques sont développées dans un guide sur l’audit informatique proposé par la CRCC de Paris, avec une fiche dédiée à la cybersécurité.

Hugues Robert