La cybersécurité intéresse aussi les commissaires aux comptes

La Compagnie Régionale des Commissaires aux Comptes de Paris a organisé une matinée avec l’ANSSI le 14 février 2018.

Sources : CIO Bertrand Lemaire

Sujet de direction générale, de PDG, bien entendu de DSI, la cybersécurité ne cesse d’intéresser toujours plus de publics. Parfois jusqu’à un public assez inattendu. C’est ainsi que la Compagnie Régionale des Commissaires aux Comptes de Paris a organisé une matinée avec l’ANSSI le 14 février 2018.

Le message clé délivré au cours de la matinée pourrait se résumer très simplement : la cybersécurité n’est pas qu’un sujet technique mais aussi un sujet stratégique et métier.
Outre que le Commissaire aux Comptes (bien souvent libéral ou TPE) peut être piraté dans le cadre d’une stratégie de rebond pour attaquer un de ses clients, il est surtout le garant de la fiabilité et de la sincérité de la comptabilité des entreprises. Or quelle peut être la fiabilité d’une comptabilité si les données ayant servi à son élaboration sont corrompues ? Surtout, le Commissaire aux Comptes doit s’assurer que les risques ont été convenablement pris en compte par l’entreprise. Parmi ces risques à évaluer, il y a bien sûr le « risque cyber ».

Analyser le risque réellement

Or, qu’est-ce qu’une analyse de risque ? Il ne suffit pas de citer une série de menaces. Il faut aussi s’assurer que cette liste est la plus exhaustive possible, avec des probabilités associées à chaque risque. Ensuite, chaque risque doit être traité avec une réponse type pré-établie et un degré de priorité. Evidemment, l’entreprise doit aussi veiller à minimiser le risque. L’analyse doit être opérée du point de vue business : quelles sont les conséquences si le SI est arrêté, corrompu ou ses données divulguées ?
Coordinateur sectoriel de l’ANSSI, François Charbonnier a rappelé que les logiciels malveillants (au premier rang desquels les ransomwares) arrivaient en premier lieu par mail. Et beaucoup d’entreprises n’arrivent pas à comprendre que n’importe qui peut être l’objet d’une attaque à large échelle, même une TPE. Il a donné quelques anecdotes assez stupéfiantes. Ainsi, un pirate avait trouvé malin de remplacer l’image d’un RIB envoyé par un service comptable aux clients devant payer une facture. Il a ainsi perçu pendant un mois tous les règlements faits par les clients avant que l’entreprise ne s’étonne de ne plus recevoir de paiements. Autre exemple, une grande entreprise venait de racheter une start-up et elle a voulu l’intégrer au plus vite, notamment au niveau réseau. En oubliant que la start-up n’avait pas les moyens d’avoir une cybersécurité de bon niveau. La grande entreprise a alors été infectée par un malware présent dans le SI de la start-up.

Au delà de la technique

Choisir un mot de passe trop compliqué peut augmenter le risque au lieu de le diminuer : les utilisateurs vont le noter sur un post-it ! La consultation de mails professionnels sur un smartphone privé (BYOD) comporte une série de risques qui doivent être traités (ou assumés). Pour contrer les menaces par mail, le mieux reste de faire des campagnes de sensibilisation en lien avec l’actualité : envoi d’un mail aux collaborateurs avec un lien à cliquer pour gagner un repas au restaurant le jour de la Saint-Valentin, recevoir des places à un match de football offertes par le Comité d’Entreprise, etc. Et sensibiliser les cliqueurs.
Un point important qui est souvent peu regardé par les populations trop techniques est chaque contrat liant une entreprise à ses prestataires. Les obligations de ceux-ci doivent être détaillées, notamment en termes de réactivité tout au long de l’année, sans oublier une description précise de ses missions. Des clauses d’auditabilité et de réversivilité voivent être incluses. Le risque de l’entreprise, c’est aussi le risque touchant ses fournisseurs vitaux ! François Charbonnier a martelé qu’il ne pouvait pas être question de sous-traiter globalement la question de la cybersécurité.
Sur une table ronde concluant la matinée, le RSSI groupe de Keolis, Nicolas Vermuseau, a rappelé que le Commissaire aux Comptes était un allié du RSSI. Il a en effet l’oreille de la Direction Générale et peut donc faire passer des messages en lien avec cette gestion des risques « cyber ».