AccueilEntrepriseChiffre« Le premier péril en entreprise aujourd’hui est cyber »
INTERVIEW CYBERSECURITE DE NATHALIE MALICET - CNCC

« Le premier péril en entreprise aujourd’hui est cyber »

Rencontre avec la pdte de la Commission prospective et innovation de la Compagnie nationale des commissaires aux comptes, Nathalie Malicet, sur le rôle de sensibilisation des chefs d’entreprise aux cyber-risques qu’ont les professionnels de l’audit.
« Le premier péril en entreprise aujourd’hui est cyber »
© DR - Présidente de la Commission prospective et innovation de la Compagnie nationale des commissaires aux comptes (CNCC), Nathalie Malicet s'intéresse et se passionne pour la gestion des cyber-risques en entreprise depuis une dizaine d'années.

EntrepriseChiffre Publié le , Propos recueillis par Anne MOREAUX

Affiches Parisiennes : Vous animez bientôt une conférence-débat sur la cybersécurité en entreprise en partenariat avec la CRCC de Versailles & du Centre, l’Udel du Loiret et la CCI du Loiret. Quels axes seront développés et quel public vise-t-elle ?

Nathalie Malicet : Nous ciblons à la fois les dirigeants d’entreprise et les commissaires aux comptes afin de faire de la pédagogie et d’inviter les professionnels de l'audit à se demander comment ils peuvent, en tant que commissaire aux comptes, accompagner leurs clients sur cette dimension cybersécurité.
Concernant les axes, notre volonté est d’abord de sensibiliser les chefs d'entreprise aux risques cyber, car il y en a beaucoup qui estiment qu'ils ne sont pas concernés puisqu’ils ne seraient pas des cibles potentielles, parce que trop petites par exemple. C'est souvent un argument qui nous est retourné, alors qu'en réalité on va essayer de leur démontrer au cours de cette conférence que toute entité économique, toute collectivité ou association, professionnel ou particulier, peut être victime d'une cyberattaque, parce qu’une grande majorité sont des attaques massives ou aveugles.

« Il n'existe pas de réponse absolue en matière de cyberdéfense. »

Il y a des personnes qui viennent attaquer et qui tentent de capturer des données sans trop savoir ce qu'ils vont récupérer. On a eu le cas notamment quand des hôpitaux ont été victimes de ransomware pendant le Covid alors même que les hackers ne savaient pas qu'ils avaient touché un établissement de santé. . De très nombreuses attaques sont faites à l’aveugle, par des envois massifs de mails contenant des malwares.
A l’inverse, certaines organisations vont être victimes de cyberattaques parfaitement ciblées car elles détiennent des informations qui intéressent les hackers. Il existe donc deux points d'entrée qui peuvent converger. Notre rôle est de sensibiliser les chefs d'entreprise sur la valeur du capital informationnel qu'ils détiennent, c’est-à-dire leurs datas, soumis à de véritable risques cyber.
Une étude Allianz a démontré que le premier péril en entreprise aujourd’hui est cyber, et depuis plusieurs années. On n'est pas là pour créer de l’anxiété mais pour relater des faits et déclencher des prises de conscience.

A.P. : Quel rôle a le commissaire aux comptes en matière de cybersécurité ?

N.M. : Nous avons définitivement un rôle de sensibilisation et d’analyse des risques. Nous autres, en tant que commissaire aux comptes, essayons de sensibiliser les chefs d'entreprise sur les risques qui existent dans leur entité et leur écosystème. Il y a trente ans de ça, on allait parler de risque de solvabilité, de rupture d'approvisionnement ou de risque vis à vis des incendies ou d’événement naturel un peu majeur, etc. Il y avait des risques qu'on arrivait parfaitement à identifier parce qu'ils étaient visibles.
Depuis quelques années ont émergé les risques cyber qui sont liés à la dématérialisation de la richesse des entreprises au travers de leurs données, sauf que cette dématérialisation s'est faite dans le temps sans forcément prise de conscience par les chefs d'entreprise et les Pouvoirs publics de la valeur de ces data. Par conséquent, on trouve aujourd’hui des systèmes d'information qui ne sont pas forcément organisés ni suffisamment préparés pour détecter une attaque, lutter contre, puis repartir après celle-ci. C’est vraiment ce triptyque qu’on évoque avec nos clients.

« On n'est pas là pour créer de l’anxiété mais pour relater des faits et déclencher des prises de conscience. »

On a compris qu'un moyen assez simple et efficace de sensibiliser les dirigeants d'entreprise sur ce risque, c'est de le monétiser. La Compagnie nationale des commissaires aux comptes a donc développé un outil qui s'appelle Cyber Audit, et qui permet, à l'issue d'un questionnaire que l'on partage avec la direction et la gouvernance, d’établir et mesurer premièrement l'exposition aux risques cyber, et deuxièmement la maturité de l’entreprise. A partir de ce diagnostic, on va construire des scénarios d'attaque, et pour chacun d’entre eux on va envisager quelles seront les conséquences financières. C'est comme ça qu'on monétise le risque.

A.P. : Côté conseil, êtes-vous proactifs pour sensibiliser les dirigeants d’entreprise sur la nécessité de prendre des mesures en matière d'hygiène informatique ?

N.M. : D’abord, quand on est le commissaire aux comptes d’une entité, on n'a pas le droit de la conseiller, ce n'est pas notre mission. Notre mission est fixée par la loi, c’est une mission d’audit d'intérêt général donc on n'est pas là pour faire du conseil.
En revanche, on propose ce qu'on appelle des recommandations, c'est à dire qu'on a détecté des points faibles ou une absence de prise de conscience pour lesquels on fait des préconisations. On peut parfois orienter nos clients vers des experts labelisés par l’Agence nationale de la sécurité des systèmes d'information (ANSSI) par exemple, mais jamais leur proposer directement du conseil.
Il n'existe pas de réponse absolue en matière de cyberdéfense. Je ne peux pas vous dire qu'il suffit de s'équiper comme si ou d'avoir telle organisation technologique pour éviter l'attaque, car personne ne peut l’éviter. Le problème de la cyberattaque, ce n'est pas de savoir si je vais l'être, mais quand ? Et est-ce que je suis en mesure de savoir que je l'ai été ? Et depuis quand ?

« On propose ce qu'on appelle des recommandations, c'est à dire qu'on a détecté des points faibles ou une absence de prise de conscience pour lesquels on fait des préconisations. »

La réponse aux cyber risques n’est pas que technologique. La réponse à ce risque est à la fois technologique et stratégique, on évoque ainsi la formation et la sensibilisation des équipes, la mise en place de dispositifs de surveillance des systèmes d'information, l’anticipation et la gestion de crises. Tout se joue dans l’anticipation du risque, c’est pour ça qu’on parle de cyber-résilience.

A.P. : Leur proposez-vous par exemple de souscrire à une assurance cyber ?

N.M. : Alors oui et non. En fait, la démarche consiste à prendre conscience au chef d’entreprise son exposition au risque. Si celui-ci est très important et que l’ensemble des mesures prises laisse un risque résiduel, celui-ci pourra être couvert par une assurance.
Je dirais donc que l'assurance fait partie de l'arsenal pour aider une entreprise à faire face et à dépasser le risque cyber, et notamment l'incident cyber. Je vois surtout son utilité dans l'accompagnement qu’elle donne aux entreprises victimes de cyberattaque en envoyant des spécialistes de la forensique, en les accompagnant dans la gestion de crise, et en donnant les moyens financiers pour pouvoir réparée, restaurer leur système dans les meilleurs délais
Toutefois, il faut dans tous les cas avoir un dispositif de cybersécurité mature car l'assurance elle-même va vous dire ‘nous, on vous assure que si vous avez pris des mesures pour limiter le risque’, comme quand vous vous assurez votre habitation contre le cambriolage.

A.P. : L'essor de l'importance des données en entreprise et, par conséquent, de la cybersécurité, renforcé par la crise sanitaire a-t-il modifié votre pratique professionnelle ?

N.M. : Pas vraiment puisque notre outil Cyber Audit et cette mission de diagnostic sur la cybersécurité est bien antérieure au Covid. Elle la précède de deux ans donc on n'a pas attendu la pandémie pour s’en soucier, mais je dirais toutefois que le Covid l’a renforcé.
Pendant les confinements et depuis, les manières de fonctionner et l’organisation interne des entreprises ont été profondément modifiées, notamment avec l’exemple très concret du télétravail. Les habitudes de communication et de production dans les entreprises ont été modifiées. Il est parfois plus difficile de vérifier l’identité de la personne avec qui on échange des données, les canaux de communication ont été multipliés sans parfois maitriser les règles de confidentialité ou de sécurité. En prenant ces chemins de traverse, on a fait naître de nouveaux risques et en même temps, on a déserté notre lieu de travail habituel donc on a laissé une place potentielle à un autre type d'attaque.

« On n'a pas attendu la pandémie pour s’en soucier, mais je dirais toutefois que le Covid l’a renforcé.»

On a vu pendant les premiers confinements des pirates essayer de rentrer dans des systèmes d'information qui étaient bien moins surveillés parce que tout le monde était sur le front, ailleurs. En même temps, on a vu des hackers essayer de mettre en place de nouvelles arnaques. On a donc eu une recrudescence par exemple des arnaques aux faux RIB et des fraudes au président car les moins vigilants ne se rendaient pas compte que c'était de faux mails ou des usurpations d’identité

A.P. : Certains secteurs économiques sont-ils davantage préoccupés par les problématiques de cybersécurité ?

N.M. : Bien entendu. On a déjà en France et en Europe des secteurs qui ont été identifiés, comme ce qu’on appelle les OIV, les organismes d'importance vitale, les très grandes entreprises, puis ce qu'on appelle les services essentiels comme les télécommunications et le transport.
Ensuite, nous le savons puisqu’on fait de l'analyse des risques, il existe des secteurs d'activité plus ou moins attractifs pour des pirates, et notamment tout ce qui tourne autour des données de santé, du secteur bancaire et toutes les startups dans les nouvelles technologies.
Il y a des secteurs plus ou moins visés, mais ce n'est pas parce que vous n'êtes pas dans ces derniers que vous ne serez pas victime de cyberattaque.

A.P. : D'où vous est venu ce goût pour la cybersécurité et depuis quand vous y intéressez-vous ?

N.M. : Je m'y intéresse depuis plus de 10 ans ! La démarche du commissaire aux comptes repose sur l’analyse des risques. La transition numérique, et l’importance croissante des data dans les entreprises faisaient nécessairement émerger de nouveaux risques. Je voyais évoluer le risque de fraude notamment, qui est un des risques qu'on traite dans le cadre de nos missions, et en me disant qu'il allait y avoir une évolution de la délinquance.
Ça va même au-delà de la délinquance parce qu'il y a également une dimension étatique très forte, ce qui se passe avec le conflit entre l’Ukraine et la Russie en est une illustration. Fort de ce constat, et en travaillant avec des spécialistes, notamment des personnes de l'ANSSI, de la police judiciaire ou de la gendarmerie, je me suis rendue compte que cette notion globale d'intelligence économique était en train d'évoluer vers la dimension cyber.

« Le commissaire aux Comptes est l’acteur le plus à même d’avoir une vision à 360 degrés.»

Je considère que les commissaires aux comptes sont certainement des acteurs important dans le cadre de la sensibilisation des entreprises, parce qu’on a une démarche d'analyse des risques, on a la confiance des chefs d'entreprise, on connait parfaitement leur système d'information et on est beaucoup plus en capacité pour déterminer les préjudices économiques potentiels qu'un consultant informatique par exemple. Ce dernier va être capable de poser un diagnostic bien mieux que nous sur les insuffisances de l'infrastructure informatique, mais il ne saura pas évaluer le un préjudice économique potentiel.
Le commissaire aux Comptes est l’acteur le plus à même d’avoir une vision à 360 degrés : nous connaissons les systèmes d'information, nous sommes des spécialistes de l’analyse des risques, nous maitrisons les données financières, etc. Nous sommes donc naturellement le premier échelon pour sensibiliser les chefs d'entreprise.

A.P. : Estimez-vous que vous soyez bien identifiés par les dirigeants comme des prescripteurs en cybersécurité ?

N.M. : Pas suffisamment non, malheureusement. C’est aussi un peu la raison de tous les événements que nous organisons avec la CNCC et les CRCC en tissant des échanges avec le Medef, d'autres représentations patronales, parfois aussi avec des instances politiques comme les régions par exemple, pour dire "On est là, on sait faire, , c’est un sujet que l'on maîtrise. On n’a rien à vendre. Notre mission est de poser un diagnostic. On n'ira pas plus loin que nos compétences car nous connaissons nos limites et nous sommes très clairement des acteurs de premier plan en termes de sensibilisation".

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 20 mai 2022

Journal du20 mai 2022

Journal du 13 mai 2022

Journal du13 mai 2022

Journal du 06 mai 2022

Journal du06 mai 2022

Journal du 30 avril 2022

Journal du30 avril 2022

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?