Regard d’un commissaire aux comptes sur le risque cyber

Les petites entreprises sont-elles armées pour faire face au risque cyber ?

Aujourd’hui, aucune entreprise n’est totalement armée pour lutter contre le cyber-risque. Toutes sont vulnérables. Lors des attaques du printemps dernier, on a vu que même les plus grandes pouvaient être touchées, quels que soient les moyens déployés… Le problème est qu’en outre, les petites entités pensent qu’elles ne sont pas concernées : qu’elles sont trop petites pour intéresser les cyber-criminels. C’est totalement faux car elles constituent justement des point d’entrée pour viser les grandes entreprises. Les études montrent que 8°% des entreprises, toutes tailles confondues, ont été attaquées et qu’une attaque sur 5 a été couronnées de succès avec, souvent un risque de survie pour l’entreprise. Les petites entreprises doivent donc, comme les grandes, évaluer leur risque cyber et déployer des moyens de protection contre cette menace qui peut prendre des formes très variées, depuis la fraude au président, jusqu’à la fraude au « faux RIB » en passant, depuis environs 2 ans, par les rançongiciels, ces attaques dans lesquelles les données de l’entreprises sont bloquées contre paiement d’une rançon.

Comment les commissaires aux comptes peuvent-ils les aider?

Dans le cadre de notre démarche d’audit, nous procédons à une analyse de la qualité des systèmes d’information et étudions l’environnement numérique des entreprises. Nous sommes ainsi amenés à évaluer les risques et, dans de nombreux cas, à sensibiliser les chefs d’entreprise sur le sujet. Nous pouvons informer sur les mesures de protection à prendre pour réduire la gravité du risque. Dans la pratique, les chefs d’entreprises sont souvent découragés par la masse d’information qu’ils pensent devoir protéger.

En réalité, il faut se concentrer sur les données vitales et stratégiques, celles qui constituent l’enssentiel de la valeur de l’entrepriuse. Dans le passé, on rangeait les dossiers dans une armoire fermée à clef, dans un bureau lui-même fermé à clef. Aujourd’hui, il faut verrouiller son ordinateur, et le protéger quand on part déjeuner, exactement comme on ferme sa voiture ou son appartement à clef… Comme les données sont intangibles et impalpables, il est plus difficile de les protéger, mais c’est le rôle du commissaire aux comptes que d’alerter l’entreprise pour qu’elle modifie son comportement et ses règles de sécurité.

Pourtant, les CAC (commissaires aux comptes) ne sont pas des experts en la matière…

les commissaires aux comptes ne sont pas des spécialistes de l’informatique et n’ont pas vocation à le devenir. Le commissaire aux comptes ne va pas modifier l’architecture des systèmes d’information ou entrer dans le coeur de l’informatique de l’entreprise. Mais nous sommes compétents pour évaluer la qualité des process et le fonctionnement des systèmes d’information : nous pouvons alerter sur les faiblesses et les défaillances du système et orienter l’entreprise vers des spécialistes lorsque c’est nécessaire. Les systèmes sont en général simples dans les petites entreprises. Notre véraitable apport est dans la sensibilisation et l’information du dirigeant sur le risque cyber et les moyens à mettre en place en réponse. C’est un véritable enjeu de place aujourd’hui. Et l’ensemble de notre profession est mobilisée et déploie des moyens considérables pour convaincre les dirigeants de l’importance du sujet et pour les aider à mettre en place les moyens nécessaires à leur protection de leurs entreprises.

Le 21 janvier 2018