Les audits sont toujours des épreuves auxquelles les DSI ne peuvent échapper. Selon Gartner, la gouvernance et la protection des données sont les principales préoccupations des auditeurs et par voie de conséquence devraient être celles des audités pour 2020…
Ces dernières années, la cybersécurité figurait en tête des préoccupations des audits si l’on en croit les précédentes éditions du « Audit Plan Hot Spots Report » du Gartner. Le cabinet d’études vient de publier son nouveau rapport pour 2020. Et surprise, la gouvernance des données est désormais placée en tête des priorités devant la gestion des risques cybers. Et ce n’est pas un hasard, les deux sujets étant étroitement liés.
Selon ce rapport, trois priorités vont ainsi guider les auditeurs en 2020 :
N°1 : la gouvernance des données
Près de 80% des responsables interrogés reconnaissent que l’incapacité à utiliser de façon efficace les données peut leur faire perdre de la compétitivité. Pour 49% des responsables, une bonne gestion des données peut contribuer à une réduction des dépenses et favoriser de nouvelles pistes d’innovation.
Le problème n’est pas nouveau : la plupart des entreprises n’ont aucune gouvernance de la donnée, aucun cadre formel qui permettent à tout moment de savoir où sont les données, quelles sont les données, et quelle est la qualité de ces données. Le problème est devenu aujourd’hui crucial à l’heure où le RGPD (Règlement Général sur la Protection des Données) impose de revisiter tous les processus de contrôle, collecte et conservation des données privées. Mais il était déjà fondamental avec l’arrivée du cloud et de la nécessaire sécurisation des informations qui y transitent ou y sont stockées.
« Malgré l’importance stratégique des données, les entreprises ont tardé à adopter des cadres de gouvernance des données, ce qui les expose à de lourdes amendes, à de mauvaises prises de décision stratégique et à de mauvaises affectations de ressources critiques, avertit Malcolm Murray, vice-président de la division Audit de Gartner. Les défaillances dans la gestion des données ont attiré l’attention des autorités de réglementation mais aussi du public, ce qui a entraîné une charge réglementaire accrue et une pression accrue sur les organisations et leur utilisation des données. »
N°2 : Les cyber-vulnérabilités
Entre les attaques des cybercriminels et les attaques menées par les états, les entreprises sont aujourd’hui confrontées à des menaces très sophistiquées. Entre le manque de compétences internes et des budgets « sécu » insuffisants, elles ont du mal à relever les défis qui leur sont imposés. Au point que nombre d’entre elles se retrouvent percées même par des attaques relativement triviales comme les ransomwares. Le manque de formation des employés face aux risques (que ce soient le phishing, les pratiques en matière de mots de passe ou d’ouvertures des emails, leur gestion des données personnelles, etc.), les contrôles des accès privilégiés, l’identification des vulnérabilités du système d’information, la protection des données critiques sont autant de points qui sont au cœur des préoccupations des auditeurs. Tout comme le sont l’existence et la pertinence des plans de réponses à incidents.
« Une véritable gestion des risques est essentielle pour identifier, atténuer et réagir aux perturbations potentielles des cyberattaques rappelle Leslee McKnight, directrice de la recherche chez Gartner’s Audit Practice. Les organisations qui ne travaillent pas continuellement au renforcement de leurs pratiques de gestion des risques et de résilience entravent leur capacité à se redresser et à rebondir après les inévitables perturbations (résultantes des attaques cyber). »
N°3 : L’écosystème de partenaires
53% des dirigeants constatent une dépendance accrue de leur entreprise à l’égard de partenaires tiers (voire à l’égard des partenaires de leurs partenaires). Or parallèlement, les entreprises gèrent plutôt mal ces partenaires dont les collaborateurs ont pourtant souvent accès à des données ou des ressources importantes. Ainsi, seules 53% des entreprises affirment avoir une vraie stratégie d’atténuation des risques en la matière et seulement 28% affirment surveiller en permanence les collaborateurs tiers. Le Gartner rappelle ainsi que « Les clauses de surveillance continue et de droit d’audit peuvent aider à garantir que les partenaires adhèrent aux protocoles de l’entreprise en matière d’utilisation et de comportement des données ». Et qu’il s’agit là d’un minimum. Les entreprises devraient également exiger dans leurs contrats que des rapports leur soient communiqués dès que le partenaire constate une violation compromettant ses données.
Au-delà de ces trois points fondamentaux, la confidentialité des données, la culture du risque, la gestion de projet, la gouvernance informatique, les évolutions en matière de réglementation, la résilience organisationnelle et la chaîne logistique viennent compléter la liste des 10 «points chauds» pour les audits en 2020.
Pour en savoir plus : Gartner – 2020 Audit Plan Hot Spots