Le contrôle interne cyber : un choix tant économique que stratégique

En 2009, j’ai eu la chance d’assister à une présentation marquante lors de la conférence SSTIC « La sécurité est un échec ». Cette conférence, animée par Nicolas Ruff, figure de la sécurité informatique dans la sphère francophone, analysait avec précision et sans concession les raisons pour lesquelles les mêmes problèmes de sécurité subsistaient décennie après décennie. L’auteur pointait notamment l’absence de suivi rigoureux des vulnérabilités et le manque d’une approche systématique pour éviter la répétition des erreurs. Quinze ans plus tard, ces constats restent tristement d’actualité.

En tant qu’auditeur et spécialiste en tests d’intrusion depuis près de vingt ans, je constate avec regret que les mêmes vulnérabilités techniques et organisationnelles se reproduisent, y compris dans des organisations ayant déjà été auditées. Pire encore, les problèmes identifiés sont souvent corrigés de manière incomplète, voire quelquefois pas corrigés du tout. Prenons l’exemple d’une entreprise auditée il y a deux ans : l’évaluation avait mis en évidence trois patchs critiques manquants sur un serveur. Lors de l’audit suivant, nous avons constaté que ces trois patchs avaient été appliqués, mais d’autres vulnérabilités tout aussi graves étaient apparues entre-temps, sans qu’elles soient prises en compte. Ce cycle sans fin souligne un véritable manque de continuité dans la gestion des risques.

L’audit : un cycle lent et coûteux

Lorsqu’une entreprise commande un audit de sécurité, elle espère obtenir une photographie précise de ses vulnérabilités à un moment donné. Ces constats permettent ensuite de prioriser les corrections à apporter. Cependant, l’on rencontre fréquemment des « audités » ayant des difficultés à attester de l’efficacité des mesures de remédiation déployées, si bien que cette incertitude persiste jusqu’au prochain audit, qui peut avoir lieu un ou deux ans plus tard, voire davantage. Ce délai est problématique à plusieurs égards :

• Risque accru d’exploitation : entre deux audits, les failles non corrigées ou mal corrigées restent exploitables par des attaquants,
• Coûts élevés : chaque audit requiert des ressources considérables, notamment en termes de temps et d’expertise,
• Faible réactivité : les audits étant espacés, les organisations ne réagissent qu’après coup aux évolutions des menaces.

Cette approche réactive et ponctuelle laisse trop souvent les entreprises exposées, ce qui se traduit par une perte d’efficacité économique.

Une approche proactive et accessible

Dans le monde de la finance et de la comptabilité, les activités de contrôle interne sont devenues une norme pour détecter et corriger les faiblesses organisationnelles. Ces contrôles, effectués de manière régulière par des employés internes, permettent de maintenir un niveau acceptable de conformité et de fiabilité des processus. Malheureusement, cette approche est encore trop peu développée en cybersécurité, car perçue comme un domaine nécessitant une expertise élevée.

Or, cette perception est erronée. Bien que certains éléments techniques requièrent effectivement des compétences spécialisées, de nombreuses vérifications simples peuvent être réalisées par des collaborateurs ayant un bagage informatique modeste. Voici quelques exemples :

• Vérification des mises à jour : un employé formé peut aisément contrôler si tous les correctifs disponibles pour les systèmes d’exploitation et les logiciels critiques ont été appliqués,
• Gestion des comptes utilisateurs : il est possible de comparer les comptes actifs à la liste des employés toujours présents dans l’entreprise pour détecter des comptes orphelins ou non autorisés,
• Vérification des sauvegardes : contrôler que des sauvegardes régulières sont réalisées et que les fichiers sont récupérables.

Ces activités, réalisées de manière régulière, permettent de corriger rapidement des failles simples avant qu’elles ne deviennent des problèmes majeurs.

Des avantages économiques et stratégiques

Le contrôle interne appliqué à la cybersécurité présente plusieurs avantages significatifs :

• Coûts réduits : contrairement aux audits ponctuels réalisés par des experts externes, les activités de contrôle interne peuvent être menées par des collaborateurs formés à des tâches spécifiques, ce qui limite les dépenses,
• Fréquence accrue : le contrôle interne étant réalisable à tout moment, les organisations peuvent agir en continu, sans attendre le prochain audit,
• Amélioration de la posture de sécurité : en identifiant et en corrigeant les problèmes à un stade précoce, les entreprises réduisent leur exposition aux menaces,
• Culture de responsabilisation : en impliquant des équipes internes, les entreprises renforcent leur culture de sécurité et développent une meilleure sensibilisation aux risques.

Une tendance en émergence

Nous constatons aujourd’hui que de plus en plus d’entreprises commencent à mettre en place des activités de contrôle interne spécifiquement dédiées à la cybersécurité. Cette évolution est encouragée par plusieurs facteurs :

• Les réglementations qui imposent des exigences de conformité de plus en plus strictes,
• L’augmentation des cyberattaques ciblant des failles évitables,
• La pression des parties prenantes, qui exigent une meilleure gestion des risques.

Conclusion

Si la sécurité est historiquement perçue comme un domaine technique réservé aux experts, il est temps de changer cette vision. En intégrant des activités de contrôle interne dans leur stratégie de cybersécurité, les entreprises peuvent réduire leurs coûts, améliorer leur réactivité face aux menaces et renforcer leur posture globale. Ce modèle, largement répandu dans d’autres domaines comme la finance, pourrait bien représenter l’avenir de la gestion des risques cyber. Il est économique, efficace et surtout, accessible à toutes les organisations prêtes à adopter une approche proactive.