Secu
CISO et audit interne : des objectifs complémentaires
Par CESIN, publié le 07 mai 2018
On pourrait résumer le rôle principal de l’audit interne à l’assurance que les directives du comité exécutif soient appliquées et que les processus internes de l’entreprise soient optimisés. Sur ce point, il y a convergence d’objectifs avec le rôle du CISO ; sachant que ce dernier assure aussi la protection de l’information.
En termes de reporting, alors que l’audit interne rapporte au conseil d’administration, on pourrait voir dans les prochains mois, la nécessité qu’un membre du comité de direction soit directement responsable des faits cybers pour l’entreprise. Le Congrès US est actuellement en train de soumettre une proposition en vue d’établir une loi[1] en la matière
Le CISO définit la Politique de Sécurité de l’Information[2] ainsi que les standards de sécurité qui comme la Politique, sont à appliquer obligatoirement. Comme il est en charge de l’application de ces standards, il est amené à en contrôler la mise en œuvre et de ce fait, il doit posséder des compétences d’auditeur. Il arrive souvent qu’un partage de ressources et de compétences soit établi entre la direction de l’audit interne et le CISO. Les équipes d’audit interne assistent le CISO dans les revues d’audit techniques et pour des missions spéciales sur des entités à risques, le CISO apporte son expertise à l’ensemble de l’équipe d’audit. Il n’est pas rare de voir dans le parcours professionnel d’un CISO expérimenté, une expérience réussie de quelques années en tant qu’auditeur interne d’une grande entreprise.
De très bons ambassadeurs pour les CISO
L’un des enjeux pour l’audit interne est de définir le meilleur plan d’audit annuel en fonction des risques sur tous les domaines de l’entreprise. C’est la même approche que le CISO doit suivre pour s’assurer de l’applications des standards de sécurité dans tous les métiers de l’entreprise. Une réunion de travail avec l’audit interne permettra de définir les missions et les champs d’application pour mutualiser les efforts pour effectuer les contrôles. De plus, le CISO doit aussi mettre en place un ensemble d’ambassadeurs, à minima dans toutes les directions métiers lorsqu’il s’agit d’une grande entreprise voire de dimension internationale, pour être alerté et être en mesure d’apporter les bonnes résolutions en cas d’incident ; les auditeurs internes peuvent être de très bons ambassadeurs pour le CISO.
Au sein du CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique, nous pensons que l’approche par les risques (processus similaire à celui de l’audit) est indispensable pour prioriser les actions qu’il est nécessaire d’engager dans tous les domaines de l’entreprise y compris et bien sûr avec la DSI et la direction informatique en charge de la sécurité de l’infrastructure.
Un dialogue commun sur les risques
Comme pour les rapports de l’audit interne, la présentation des risques majeurs et des plans d’actions sont extrêmement importants pour recevoir l’appui la direction générale mais aussi des acteurs de la cybersécurité. La définition d’un dashboard bidirectionnel suffisamment simple et quantifié pour la direction générale et actionnable pour les opérateurs de la sécurité de la DSI, est spécifique en fonction de l’activité de l’entreprise. Le contenu doit être une synthèse des indicateurs de sécurité et doit donner une note de la sécurité (pour suivre la progression des plans d’actions) ainsi qu’une tendance qui est déterminée en fonction des risques auxquels est exposé la société.
La présentation biannuelle (a minima) de ce dashboard au comité de direction est primordial pour d’une part recevoir leur support dans les projets, mais aussi de communiquer sur le niveau d’exposition aux risques cybers et leur donner les moyens de prendre les bonnes décisions pour l’avenir de la société.
C’est aussi l’opportunité de rappeler le rôle de la DSI dans le maintien en condition opérationnelle de la sécurité des systèmes d’information mais aussi tous les services de gestion de l’information par les employés de la société. Au sein du CESIN, nous sommes convaincus que le CISO ne peut exercer ce rôle de manière totalement indépendante que s’il est rattaché à une direction des risques ou du contrôle, et donc en dehors de la DSI.
Enfin, le CISO avec l’audit interne, la direction juridique, le contrôle interne (s’il existe), un représentant de la finance (comme des assurances), peuvent former ensemble les acteurs d’un comité des risques de la société pour assister le comité de direction dans ses choix d’évolution de l’entreprise.
[1]https://www.securityweek.com/cybersecurity-disclosure-act-2017-forces-security-responsibility-boardroom
[2]Il s’agit non seulement de définir la sécurité des systèmes d’information de l’entreprise, mais aussi de l’information non structurée.
Tribune écrite par Michel Juvin, membre du CESIN