Knowledge

Ricardo Gameroff
Associé, Kreston BA Argentina, Argentine

Join Ricardo Gameroff on LinkedIn

Ricardo est un expert en matière de fraude, d’audit et de risque qui a travaillé pendant plus de vingt ans chez Ernst & Young (EY), où il a été associé en charge de l’audit et de la criminalistique au Canada, au Chili et en Argentine. Il a dirigé des clients importants dans les secteurs des services publics, de la vente au détail, de la fabrication et de l’exploitation minière, notamment Coca-Cola, McDonald’s, Siemens, Fluor Daniels et d’autres. Ricardo est expert-comptable agréé (CPA) aux États-Unis, au Chili et en Argentine, examinateur agréé en matière de fraude (CFE) et titulaire d’un MBA. Il est également professeur d’université à l’Universidad de los Andes et a publié des ouvrages sur la fraude professionnelle.

L’audit interne à l’ère des cybermenaces

June 10, 2024

Ricardo Gameroff, Managing Partner chez Kreston BA Argentina et Global Audit Business Development Director chez Kreston Global, souligne le rôle crucial de l’audit interne dans la lutte contre les cybermenaces. Son article paru dans le magazine Audit & Risk, la publication de l’IIA, explique comment l’évolution des pratiques d’audit interne renforce la résilience face à des menaces telles que les ransomwares, le phishing, les attaques BEC et l’usurpation d’identité, grâce à une évaluation méticuleuse des risques et à une surveillance proactive. Cliquez ici pour accéder à la publication complète, ou lisez le résumé ci-dessous.

L’audit interne en tant qu’outil défensif

Les audits internes ont toujours joué un rôle clé dans l’atténuation des cyber-risques et la protection des actifs de l’organisation. En outre, les progrès récents des processus d’audit ont élargi ses capacités au-delà des méthodes traditionnelles. Désormais, les équipes d’audit interne peuvent s’appuyer sur des technologies innovantes pour s’adapter rapidement à l’évolution des cybermenaces.

Recommandations clés pour les équipes d’audit interne :

  • Surveillance continue: Utilisez des outils automatisés et des outils d’analyse pour surveiller l’activité du réseau, détecter les anomalies et identifier les failles de sécurité potentielles en temps réel.
  • Améliorez vos compétences en matière de cybersécurité : Investissez dans la formation continue et le développement professionnel pour vous tenir au courant des nouvelles menaces et des meilleures pratiques.
  • Intégrer l’analyse des données : Utilisez l’analyse de données pour améliorer l’évaluation des risques et détecter les activités suspectes en analysant de vastes ensembles de données pour y déceler des schémas et des anomalies.
  • Collaborer avec les équipes informatiques et de sécurité : Travaillez en étroite collaboration avec les services informatiques et de sécurité pour comprendre l’infrastructure informatique et les vulnérabilités de l’organisation, en adaptant les procédures d’audit au profil de risque.

Intelligence artificielle éthique

Une bonne compréhension de l’éthique et une culture d’entreprise solide sont essentielles pour protéger les organisations contre les cybermenaces. En outre, les audits internes peuvent aider la direction à contrôler et à soutenir la culture organisationnelle. Cela permet de s’assurer que tous les employés comprennent les comportements attendus en matière de cybersécurité et d’éthique. Cela favorise une bonne prise de décision et renforce la gouvernance et les contrôles.

Avec l’essor de l’IA dans la prise de décision et l’automatisation, il est essentiel de garantir la transparence, la responsabilité et l’absence de biais dans les systèmes. En outre, les auditeurs internes peuvent contribuer à la mise en œuvre de pratiques éthiques en matière d’IA en vérifiant les algorithmes d’IA et en veillant à la conformité réglementaire. Une participation précoce aux initiatives en matière d’IA permet aux auditeurs de donner des conseils sur les risques et de proposer des solutions.

Composantes de la cyberpréparation

La préparation est essentielle pour lutter contre les cybermenaces. L’établissement d’une cyberpréparation de l’entreprise implique la gouvernance, la stratégie, la réponse aux incidents et la formation des employés.

  • Gouvernance et stratégie : L’audit interne devrait soutenir et conseiller une gestion efficace de la cybersécurité, en aidant à établir des politiques, des procédures et des structures de responsabilité claires. Il est essentiel de définir les rôles, les responsabilités et les objectifs stratégiques en fonction des objectifs de l’entreprise.
  • Évaluation des risques : Des évaluations régulières des risques permettent d’identifier et de hiérarchiser les cyberrisques, ce qui permet d’allouer efficacement les ressources et d’élaborer des stratégies d’atténuation ciblées.
  • Réponse aux incidents : Les organisations doivent disposer d’un plan formel de réponse aux incidents, avec des équipes désignées et des exercices de formation réguliers. Des mesures proactives telles que la surveillance des renseignements sur les menaces et les systèmes de détection des incidents sont essentielles pour des réponses rapides et efficaces.
  • Formation des employés : Il est essentiel de sensibiliser les employés aux cybermenaces et aux meilleures pratiques, car l’erreur humaine reste une cause fréquente d’incidents. Des formations régulières sur le phishing, la sécurité des mots de passe, l’utilisation sûre d’Internet et les campagnes de sensibilisation à la sécurité favorisent une culture de la vigilance.

L’audit interne pour prévenir les incidents

Il est difficile de trouver des exemples d’audits internes ayant permis d’éviter des incidents de cybersécurité, car les “accidents évités de justesse” ne sont pas rendus publics. Cependant, les cyberattaques réussies mettent souvent en évidence la manière dont des pratiques d’audit efficaces pourraient atténuer ou prévenir les violations.

Dans l’industrie automobile, la violation des données de Tesla en 2023 a touché plus de 75 000 personnes en raison d’un “travail interne” de deux anciens employés. Cet incident souligne l’importance d’une formation complète des employés, de contrôles d’accès rigoureux, d’audits réguliers et de politiques de dénonciation pour détecter les accès non autorisés et les comportements à risque.

Dans le secteur des services financiers, la violation des données d’Equifax en mars 2017, qui a touché près de 150 millions de personnes, a été provoquée par des attaquants qui ont exploité les vulnérabilités des systèmes informatiques. En outre, s’il est difficile de prévenir les attaques externes, les équipes d’audit interne qui se concentrent sur les mesures de cybersécurité, les pratiques de gestion des données et les contrôles internes peuvent aider à détecter rapidement les violations et à garantir une atténuation et une notification rapides des dommages.

Mailchimp, fournisseur de services de marketing par courrier électronique, a été confronté à de nombreuses violations de données dues à des attaques d’ingénierie sociale contre ses employés, ce qui a entraîné la compromission de comptes d’utilisateurs et l’exposition de données de clients. Les audits internes devraient permettre de s’assurer que les employés reçoivent une formation adéquate en matière de cybersécurité et d’évaluer la mise en œuvre de l’authentification à deux facteurs et des pratiques de gestion de l’identité. En outre, des politiques et des systèmes doivent être mis en place pour détecter et atténuer rapidement les vulnérabilités et remédier rapidement aux violations.

Les technologies évoluent rapidement, tout comme les risques qui y sont associés. L’audit interne doit adapter ses pratiques et utiliser les avancées technologiques, telles que l’IA, l’analyse de données et l’apprentissage automatique, pour identifier de manière proactive les vulnérabilités potentielles et prédire les menaces émergentes. Les équipes d’audit interne capables de prévoir les risques futurs peuvent fournir des conseils précieux à la direction, permettant à l’organisation de se positionner de manière optimale pour répondre aux cyber-attaques inévitables. Pour plus d’informations sur la mise en œuvre de protocoles de cybersécurité dans votre entreprise, cliquez ici.