AccueilEntrepriseChiffreCommissaires aux comptes et cybersécurité

Commissaires aux comptes et cybersécurité

Une cinquantaine de membres de la Compagnie régionale des commissaires aux comptes (CRCC) de Paris s'est réunie récemment pour une matinée consacrée au rôle que peut tenir le commissaire aux comptes en matière de cybersécurité.
Commissaires aux comptes et cybersécurité

EntrepriseChiffre Publié le ,

Animé par Serge Yablonsky et Jean-Michel Denys, respectivement co-président et membre du groupe de travail « Audit informatique » de la CRCC de Paris, le dernier petit-déjeuner thématique de la compagnie a su convaincre l'auditoire de commissaires aux comptes (CAC) de la nécessité de s'emparer du sujet pour sensibiliser les chefs d'entreprise.

La cybersécurité est une des problématiques dans l'air du temps qui touche la profession. En effet, « la révolution du numérique et l'augmentation des cyber-risques » ont été hissés au rang de défis majeurs que la Compagnie nationale des commissaires aux comptes (CNCC) doit relever selon son président, Jean Bouquot (lire encadré ci-dessous).

La présence de Jean-Luc Flabeau, ex-président de la CRCC de Paris et président d'ECF, à cette matinée intitulée « Cybersécurité et commissaire aux comptes » témoigne de l'importance de l'événement.

L'intervention très claire de François Charbonnier, chef adjoint de la coordination sectorielle de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a posé les bases.

De nombreuses questions pratiques ont ensuite été passées en revue lors d'une table ronde faisant intervenir deux responsables de la sécurité des systèmes d'information (RSSI) et un membre de l'ANSSI.

Fléau pour toutes les entreprises

En 2017, 66 % des entreprises auraient été victimes de cyberattaques en France dont une majorité de PME. Face à l'explosion des cyber-risques, et notamment des virus de type ransomware (WannaCry, NotPeya, Fancy Bear, Bad Rabbit, Locky…), l'ANSSI a du pain sur la planche.

« Tous les secteurs peuvent être attaqués, même les moins financiers », explique François Charbonnier, en alertant son public face à la recrudescence des attaques aveugles. Il cite à l'appui la cyberattaque d'ampleur subie par TV5 Monde avant d'enfoncer le clou en prenant l'exemple d'une attaque provenant de la mise à jour d'un logiciel de comptabilité.

« Le CAC peut devenir une cible intermédiaire pour attaquer le client final », a averti Jean-Baptiste Stuchlik, chef de bureau en charge de la sphère publique de l'ANSSI, en rapportant le cas d'une cyberattaque d'ampleur à l'automne 2017.

Les cabinets d'expertise comptable sont donc des victimes potentielles mais c'est aussi et surtout le cas de tous leurs clients.

Les CAC vecteurs de sensibilisation et d'alerte

« Nous devons être des vecteurs de sensibilisation et d'alerte sur ces enjeux de cybersécurité auprès de tous nos clients », a lancé Jean Bouquot (photo ci-dessous), le président de la Compagnie nationale des commissaires aux comptes (CNCC), a une salle comble lors des Assises de la profession, le 21 novembre dernier, au Palais des Congrès de Paris.

« Le Gouvernement travaille puissamment sur la question des risques de cybercriminalité », leur a assuré la garde des Sceaux, Nicole Belloubet, en comptant l'auditoire comme un acteur de premier rang dans cette lutte.

Face à la révolution numérique, Jean Bouquot a expliqué que les CAC doivent à la fois adapter leurs méthodes de travail, mais aussi répondre aux nouveaux enjeux causés par la gestion des cyber-risques. Etaient notamment visés l'entrée en vigueur du RGPD, le 25 mai prochain, et l'augmentation inquiétante des cyberattaques.

Une vidéo de Mounir Majhoubi, secrétaire d'Etat en charge du Numérique, a d'ailleurs été retransmise afin de sensibiliser les CAC à leur rôle clé dans l'accompagnement des entreprises face ces nouveaux risques.

« Quelle sécurité voulons-nous pour notre économie ? », interrogeait alors Jean Bouquot pour qui les CAC doivent être « des vigies de la cybercriminalité ».

« Comme l'a dit Mounir Majhoubi, nous évangéliserons ensemble les TPE-PME », avait-il ajouté dans un élan optimiste.

Les risques financiers liés au numérique et à un système d'information non sécurisé ou insuffisamment contrôlé, sont plus que jamais dans le radar des dirigeants d'entreprise. Toutefois, ces derniers ne savent pas souvent comment mettre en place une véritable politique de gestion des cyber-risques et se retrouvent désemparés face à une cyberattaque.

C'est pourquoi l'ANSSI fait un véritable travail de pédagogie auprès des entreprises. Selon Baptiste Stuchlik, « beaucoup d'efforts ont été adressés vers les ministères et les OIV ». Ces derniers sont des « opérateurs d'importance vitale », privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la nation.

L'agence a parfois du mal à faire prendre conscience de l'importance du risque à ses interlocuteurs, « même à certains OIV ! », déplore le chef de bureau qui fait souvent le parallèle avec la vaccination.

« C'est une bonne chose d'avoir une instance nationale dédiée à la cybersécurité, d'autant plus qu'elle est sur le podium européen », a souligné Kevin Dejour, RSSI et DPO de la fintech TSI Payment.

Management du risque

« L'erreur est de considérer la cybersécurité comme un sujet technique », selon François Charbonnier. En effet, on est très loin de la technique informatique, c'est avant tout un sujet de management du risque donc de gouvernance et de protection du bilan de l'entreprise.

« Le métier de RSSI change car il est désormais capable de parler technique, mais aussi risque, gouvernance et juridique », a témoigné Nicolas Vermuseau, RSSI du groupe Keolis. « Les CAC sont nos meilleurs alliés, car ils ont l'oreille des dirigeants et peuvent débloquer un budget pour la cybersécurité », a-t-il confié à l'auditoire.

Les chefs d'entreprise doivent mettre en place une stratégie en fonction de la dépendance de leur société à son système d'information en suivant les trois piliers suivants : disponibilité, intégrité et confidentialité des données.

Les scénarios d'attaques sont variés. Les services en charge des systèmes d'information doivent impérativement établir une cartographie des risques sur-mesure à leur entreprise, compte tenu de son activité et des données qu'elle traite. « Un risque est la probabilité qu'une menace exploite une vulnérabilité », a rappelé le DPO Kevin Dejour.

Les intervenants ont expliqué qu'il est de plus en plus compliqué de réduire les cyber-risques avec l'augmentation exponentielle des salariés travaillant depuis leurs ordinateurs personnels et leurs smartphones.

Pour un premier aperçu, François Charbonnier recommande la lecture du guide sur la protection des systèmes d'information édité par la CRCC, les 12 bonnes pratiques de l'ANSSI, et son MOOC SecNumacadémie « très pédagogique, qui permet de s'emparer du sujet » (lire encadré).

« Le CAC doit être un relais de sensibilisation et même d'évangélisation en matière de gestion des cyber-risques », conclut l'expert.

L'ANSSI lance son MOOC

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a lancé l'an dernier la SecNumacadémie, un massive open online course – le fameux MOOC - composé de 4 modules de formation de 5 unités sur la cybersécurité.

« Il est aujourd'hui indispensable d'être acteur face aux différents types de menaces causées par la révolution numérique », explique Guillaume Poupard, le directeur général de l'ANSSI, en introduction du MOOC.

Ce programme de formation en ligne permet d'accéder très facilement à l'ensemble des informations pour s'initier à la cybersécurité, approfondir ses connaissances, et ainsi agir efficacement sur la protection des outils numériques.

Les modules composés de courtes vidéos entrecoupées de textes, schémas et questions sont très bien faits. Ils offrent ainsi une entrée en matière accessible, même sur des sujets ardus comme la législation en matière de données et le « cyber droit » (loi informatique et libertés de 1978, loi Godfrain de 1988, LCEN de 2004, directive NIS de 2013, RGPD de 2016…).

Ce dispositif pédagogique est accessible gratuitement jusqu'au mois d'avril 2019 sur le site secnumacademie.gouv.fr.

Jean-Baptiste Stuchlik, chef de bureau de l'ANSSI, s'est dit très fier de ce MOOC qui a obtenu des prix et un succès inattendu.

Le suivi intégral de ce parcours de formation fait même bénéficier d'une attestation de réussite.

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 25 novembre 2022

Journal du25 novembre 2022

Journal du 18 novembre 2022

Journal du18 novembre 2022

Journal du 11 novembre 2022

Journal du11 novembre 2022

Journal du 04 novembre 2022

Journal du04 novembre 2022

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?