En 2009, j’ai eu la chance d’assister à une présentation marquante lors de la conférence SSTIC « La sécurité est un échec ». Cette conférence, animée par Nicolas Ruff, figure de la sécurité informatique dans la sphère francophone, analysait avec précision et sans concession les raisons pour lesquelles les mêmes problèmes de sécurité subsistaient décennie après décennie. L’auteur pointait notamment l’absence de suivi rigoureux des vulnérabilités et le manque d’une approche systématique pour éviter la répétition des erreurs. Quinze ans plus tard, ces constats restent tristement d’actualité.
En tant qu’auditeur et spécialiste en tests d’intrusion depuis près de vingt ans, je constate avec regret que les mêmes vulnérabilités techniques et organisationnelles se reproduisent, y compris dans des organisations ayant déjà été auditées. Pire encore, les problèmes identifiés sont souvent corrigés de manière incomplète, voire quelquefois pas corrigés du tout. Prenons l’exemple d’une entreprise auditée il y a deux ans : l’évaluation avait mis en évidence trois patchs critiques manquants sur un serveur. Lors de l’audit suivant, nous avons constaté que ces trois patchs avaient été appliqués, mais d’autres vulnérabilités tout aussi graves étaient apparues entre-temps, sans qu’elles soient prises en compte. Ce cycle sans fin souligne un véritable manque de continuité dans la gestion des risques.
Lorsqu’une entreprise commande un audit de sécurité, elle espère obtenir une photographie précise de ses vulnérabilités à un moment donné. Ces constats permettent ensuite de prioriser les corrections à apporter. Cependant, l’on rencontre fréquemment des « audités » ayant des difficultés à attester de l’efficacité des mesures de remédiation déployées, si bien que cette incertitude persiste jusqu’au prochain audit, qui peut avoir lieu un ou deux ans plus tard, voire davantage. Ce délai est problématique à plusieurs égards :
Cette approche réactive et ponctuelle laisse trop souvent les entreprises exposées, ce qui se traduit par une perte d’efficacité économique.
Dans le monde de la finance et de la comptabilité, les activités de contrôle interne sont devenues une norme pour détecter et corriger les faiblesses organisationnelles. Ces contrôles, effectués de manière régulière par des employés internes, permettent de maintenir un niveau acceptable de conformité et de fiabilité des processus. Malheureusement, cette approche est encore trop peu développée en cybersécurité, car perçue comme un domaine nécessitant une expertise élevée.
Or, cette perception est erronée. Bien que certains éléments techniques requièrent effectivement des compétences spécialisées, de nombreuses vérifications simples peuvent être réalisées par des collaborateurs ayant un bagage informatique modeste. Voici quelques exemples :
Ces activités, réalisées de manière régulière, permettent de corriger rapidement des failles simples avant qu’elles ne deviennent des problèmes majeurs.
Le contrôle interne appliqué à la cybersécurité présente plusieurs avantages significatifs :
Nous constatons aujourd’hui que de plus en plus d’entreprises commencent à mettre en place des activités de contrôle interne spécifiquement dédiées à la cybersécurité. Cette évolution est encouragée par plusieurs facteurs :
Si la sécurité est historiquement perçue comme un domaine technique réservé aux experts, il est temps de changer cette vision. En intégrant des activités de contrôle interne dans leur stratégie de cybersécurité, les entreprises peuvent réduire leurs coûts, améliorer leur réactivité face aux menaces et renforcer leur posture globale. Ce modèle, largement répandu dans d’autres domaines comme la finance, pourrait bien représenter l’avenir de la gestion des risques cyber. Il est économique, efficace et surtout, accessible à toutes les organisations prêtes à adopter une approche proactive.
