Miser sur les occasions en interne pour combattre les cybermenaces

Une évolution majeure ayant cours actuellement à l’échelle mondiale ne représente pas nécessairement une nouvelle menace, mais bien un nouvel environnement réglementaire. Dans le sillage de ce mouvement mondial, et sous l’impulsion de textes réglementaires comme le Règlement général sur la protection des données (« RGPD ») en Europe, Québec a présenté son projet de loi n^o 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. La première série d’exigences a été mise en œuvre le 22 septembre 2022, et les exigences suivantes le seront en 2023 et 2024.

Le projet de loi n^o 64 s’applique aux sociétés établies au Québec ainsi qu’aux sociétés d’autres juridictions qui exercent des activités au Québec et qui recueillent, traitent ou détiennent des renseignements personnels concernant des résidents du Québec. Il oblige les sociétés à être plus rigoureuses et plus transparentes dans le cadre de leurs pratiques en matière de données à caractère personnel en fixant de nouvelles règles concernant notamment la déclaration des atteintes à la protection des renseignements personnels, les responsables de la protection des renseignements personnels, le consentement et l’anonymisation des données. Les comités d’audit voudront interroger la direction au sujet des répercussions de ce projet de loi sur leur organisation et s’assurer qu’il existe un plan pour s’y conformer.

Les organisations devraient également considérer cette loi québécoise comme un baromètre. Des lois similaires seront probablement adoptées à l’échelle pancanadienne et, à en croire les premières informations données par d’autres juridictions, les amendes pour non-respect de la législation pourraient être élevées. En plus de satisfaire aux obligations réglementaires, les organisations devraient se servir de ce nouveau projet de loi comme d’un catalyseur pour revoir leurs pratiques en matière de données et de protection de la vie privée.

L’une des premières étapes consiste à déterminer quelles données doivent être recueillies. Elles devront également examiner la façon dont elles recueillent les renseignements et l’endroit où est stocké, au sein de l’organisation, l’ensemble des données permettant d’identifier une personne, y compris le stockage structuré et non structuré. Elles doivent également veiller à disposer de contrôles d’accès adéquats et à mettre en œuvre des procédures et des processus afin suivre et de tracer les données.

Pour ce faire, il convient d’examiner le cycle de vie des données, de leur intégration à leur destruction, et de s’assurer que les contrôles encadrent les données à chaque fois qu’elles entrent en contact avec l’organisation. Si les données sont stockées ailleurs, il peut être nécessaire d’effectuer un audit des contrôles des tiers et d’autres parties.Les grandes organisations disposent probablement de nombreux systèmes de contrôle distribués. Dans ce cas, l’objectif devrait être de centraliser autant que possible les contrôles à l’échelle de l’entreprise, ce qui faciliterait l’application d’un ensemble standard de contrôles.

Cette initiative nécessitera beaucoup de ressources et de temps. Cependant, les plus grands obstacles auxquels la plupart des entreprises seront confrontées sont l’orientation des investissements nécessaires et le recrutement des talents adéquats. Les comités d’audit devraient interroger la direction au sujet de leurs contrôles en matière de données et de protection de la vie privée, et s’assurer que la société affecte des ressources suffisantes à la mise en œuvre de ces mesures et à l’embauche des talents nécessaires.

Les sociétés doivent aussi consacrer des ressources à la recherche des angles morts. Il s’agit d’événements connus sous le nom de « cygnes noirs » auxquels ils n’ont pas encore pensé. À titre d’exemple, les interruptions des services infonuagiques et de télécommunications qui ont récemment fait les manchettes ont perturbé les activités d’un grand nombre de clients. Ces interruptions ont incité les organisations à s’interroger sur les éventuels angles morts qui pourraient affecter leurs activités, et à renforcer leur résilience pour veiller à être capables de résister au prochain événement.

Il ne s’agit pas d’une science exacte. L’exercice consiste à réfléchir aux catastrophes potentielles et à imaginer de quelle façon elles pourraient perturber l’organisation, et à quel niveau. Il convient de commencer par les processus les plus critiques, en les retraçant du début à la fin, et en examinant les interconnexions avec les personnes, les processus, les infrastructures et les applications. L’objectif est d’identifier les points où un problème pourrait survenir (en interne ou à l’externe), de mettre en place des contrôles à ces points, puis de créer des plans de sécurité en cas de défaillance de ces contrôles. Les comités d’audit voudront interroger la direction sur ce que fait la société pour identifier les événements perturbateurs potentiels et sur les plans de résilience mis en place pour atténuer les risques.

La recherche d’angles morts est rendue indispensable par le fait que toutes les organisations dépendent de tiers relativement à leurs services ou à leurs données. Cette dépendance les expose au risque d’interruptions de service des tiers, qui pourrait affecter des services essentiels. Elle les expose en outre au risque qu’une cyberviolation au sein de leur chaîne de valeur s’étende à l’organisation. L’identification et la gestion des risques liés aux tiers et à d’autres parties figurent à l’ordre du jour de la plupart des conseils d’administration et des comités d’audit.

Habituellement, il est demandé aux fournisseurs de remplir des questionnaires au sujet de leurs contrôles et de leurs pratiques en matière de protection des données et de signer des contrats en vertu desquels ils s’engagent à maintenir un certain nombre de mesures de protection et de contrôles. Il est toutefois difficile, dispendieux et chronophage de vérifier les pratiques des tiers, et rien ne garantit que les fournisseurs vérifient à leur tour les pratiques de leurs propres tiers, ce qui les expose à des risques, tout comme votre organisation.

Il existe un fort désir d’automatisation pour les organisations qui cherchent à accroître leur efficience ou à réaffecter leurs employés à des fonctions de plus grande valeur. De plus en plus, l’automatisation sert à surveiller les opérations et l’exécution des contrôles, ce qui signifie que les comités d’audit doivent comprendre les raisons qui poussent la direction à avoir confiance en l’efficacité de ces contrôles automatisés; ceux-ci doivent donc avoir été mis en place adéquatement et être exploités efficacement.

La fonction d’audit a aussi recours à l’automatisation. Les audits nécessitent beaucoup de temps et de main‐d’œuvre. Par conséquent, les équipes d’audit se tournent vers l’automatisation pour évaluer continuellement les sous-ensembles de contrôles (plutôt que de sélectionner des échantillons de certaines périodes au cours de l’exercice). Cela permet aux équipes d’audit d’améliorer la qualité et de se concentrer sur les évaluations des contrôles plus complexes.

Bien que l’automatisation dans ces domaines aide à réaliser des gains d’efficience, elle ajoute également de nouvelles cibles pour les cyberattaques potentielles. Les comités d’audit doivent s’assurer que la direction comprenne bien la façon dont les robots sont utilisés au sein de la société et qu’elle est capable de percevoir les signes de manipulations potentielles.

L’élaboration d’une solide cyberstratégie commence souvent par l’analyse des processus, des contrôles et des partenaires de l’organisation. Les comités d’audit qui cherchent à être rassurés à l’égard de la cybersécurité et de la protection de la vie privée voudront être certains que la direction a examiné ses processus de bout en bout, qu’elle a identifié les secteurs de vulnérabilité potentielle et qu’elle a mis en place des plans de contrôle.