Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité

Étiquettes

ANSSI, applications, architecture, audit interne, banque, bouleversement, coûts, collecte, collectivités, collectivités territoriales, contrôle, contrôle interne, COSO2, COSO3, cybercriminalité, cyberespace, délégation, diffusion, dispositif, données, enseignement, entreprise, finance, flux, formation, gestion, Gestion des risques, holistique, identification, IHEDN, indépendance, informations, informatique, instailité, intégré, intelligence, intelligence économique, intelligence collective, interactions, Internet, maîtrise, Net, numérique, objectifs, organisation, outils, pertinence, processus, protection, rencontre, risk-management, Risques, sauvegarde, sécurité, sécurité informatique, secteur privé, Secteur public, SI, stratégie, système, système d'information, système de contrôle interne, systémique, transversalité, veille

Préambule :

Votre première réaction peut-être « mais il mélange tout », il présente une rencontre de l’IHEDN (regardez la vidéo insérée au § III de ce billet)  qui se rapporte en premier lieu aux Armées et, ensuite, à l’Intelligence Economique (incluant la sécurité, le cyberespace et la cybersécurité).

Ne sommes-nous pas loin du contrôle interne, et de son corollaire la gestion des risques, applicables au sein des entreprises et du secteur public, objet principal de ce blog?

Toute entité, quelle soit du secteur privé ou de l’univers public, gère des informations dont certaines sont considérées comme privilégiées et très sensibles.

De plus en plus, deux éléments ont pris la primauté par rapport aux marchés et aux produits : l’information et son « véhicule » l’informatique ou système d’information au sens large.

Information : En langage courant – Renseignement, ensemble de renseignements. Chercher des informations, de l’information sur quelque chose. Information confidentielle, privilégiée. Nous entendons aussi parler d’autoroute de l’information, d’autoroute électronique ou d’autoroute informatique : ensemble des techniques et des dispositifs qui visent à diffuser l’information au moyen de réseaux d’ordinateurs.
Regroupement de réseaux d’ordinateurs permettant de diffuser l’information.

Informatique : Science du traitement automatique et rationnel de l’information (traitement de l’information ou traitement des données : Ensemble des opérations que l’on fait subir à des données en vue de les exploiter). Informatique théorique, appliquée. Informatique formelle, analytique. Informatique et micro-ordinateurs. Informatique documentaire, linguistique, juridique.

Tout dirigeant souhaite obtenir une information la plus complète, transverse et pertinente possible.

L’intérêt d’une démarche globale est de distinguer les interactions d’un risque à l’autre au sein d’une entité comme à l’extérieur de celle-ci.

La maîtrise de l’information se réalise grâce à cinq actions :

1. L’identification des besoins.
2. La veille informationnelle.
3. La collecte des informations.
4. La protection et la sauvegarde.
5. La diffusion de l’information.

A qui revient initialement cette organisation ? A l’humain, les NTIC n’étant à considérer que comme des outils de gestion.

 

1. Lorsque nous évoquons le contrôle interne, il est souvent question de bonne gouvernance et de respect de la conformité de l’entreprise.
2. Lorsque nous parlons du flux Information d’une entreprise, il est question d’information sensible, engageante, structurante, personnelle, patrimoniale.

Comment les deux peuvent se rejoindre de façon complète, surtout en intégrant la vue globale de ce flux Information ? Qu’en pensez-vous, cela est il du ressort du contrôle interne que de s’assurer que ces familles d’informations soient bien maîtrisées ?

 Dans l’état actuel de « l’art », il y a bien une dissociation entre les notions et les concepts d’information et de contrôle interne.

L’ambiguïté est qu’il est souvent évoqué la prise en compte de l’information lors de la mise en place d’un système de contrôle interne, mais il s’agit d’éléments participatifs à la gestion des processus et des risques, …, d’informations comptables et de données informatives contenues dans les différents reportings réalisés pour le management, les différents comités et la gouvernance.

Nous sommes plus dans une optique de gestion organisationnelle que dans une application complète de maîtrise de la stratégie définie par l’entité.

Si nous imaginons un lien entre ces deux notions/concepts, il ne peut être direct et, ce, même si nous parlons de protection. Dans les grandes entreprises, cette dernière fonction est souvent assurée par la fonction élargie de la sécurité.

C’est en premier le risk-manager ou le responsable des processus de gestion des risques qui doit disposer de toutes les informations internes et externes afin de les identifier, mais surtout de les évaluer, de déterminer des mesures de contrôle et de simuler différents scénarios d’incidents à analyser.

La maîtrise de l’information est le préalable incontournable de la gestion des risques.

Ce dernier commentaire s’applique de la même manière à l’intelligence économique (IE), bien que la vision de l’entreprise en soit différente. Il a d’ailleurs été constaté une redondance dans les travaux pratiqués par les fonctions dédiées à l’intelligence économique et au risk-management en termes de gestion de l’information.

Une autre confusion peut provenir du fait que certains risk-managers se voient confier la responsabilité du contrôle interne, des assurances et, parfois, de l’audit interne. Ceci est un autre débat en termes d’indépendance et de délégation.

Comme il a été dit plus haut, le contrôle interne intervient pour partie dans la réduction d’exposition aux risques retenus.

Toute l’information n’est pas contenue dans le système d’information.

Par exemples, certaines informations glanées lors de négociations par les acheteurs, vis-à-vis des fournisseurs, et par les commerciaux, en relation avec les revendeurs, ne sont pas forcément répercutées. Même si un reporting existe, qui peut être sûr que les informations y sont toutes retranscrites et en termes adéquats ?

Une donnée peut ne pas être jugée essentielle par ces populations, alors qu’elle le sera par un risk-manager ou un responsable de veille (IE).

Nous sommes entrés dans l’ère de l’instabilité et de bouleversements de structures organisationnelles, ce qui nous amène à une gestion holistique et intégrée des risques, voire un concept innovant : l’intelligence des risques (management des risques selon les méthodes de l’intelligence économique).

En corollaire, le contrôle interne se doit d’évoluer dans le même sens. En se dirigeant vers un concept novateur : l’intelligence collective du contrôle interne.

« L’intelligence collective désigne les capacités cognitives d’une communauté résultant des interactions multiples entre ses membres. La connaissance des membres de la communauté est limitée à une perception partielle de l’environnement. Ils n’ont pas conscience de la totalité des éléments qui influence le groupe. Des membres aux comportements très simples peuvent ainsi accomplir des tâches apparemment très complexes grâce un mécanisme fondamental appelé synergie ou stigmergie¹. » (dixit Wikipédia).

Enfin, une nouvelle démarche est apparue : la prise en compte par l’audit interne des risques associés à l’atteinte des objectifs stratégiques. Ce qui inclut la gestion des risques stratégiques par le risk-manager et, de ce fait, une éventuelle prise en compte par le contrôle interne.

En conclusion, les évolutions évoquées doivent amener le contrôle interne à assurer la maîtrise des familles d’informations citées. Ceci sous réserve d’une organisation transversale et, pour les entreprises appliquant le référentiel COSO 2, de l’actualisation vers le COSO 3.

  ¹ Stigmergie : C’est une méthode de communication indirecte dans un environnement émergent auto-organisé, où les individus communiquent entre eux en modifiant leur environnement. Application de principes issus de la stigmergie à la collaboration dans des grands groupes et comme une méthode de gouvernance alternative à mi-chemin entre les organisations fonctionnant sur un modèle de compétition et celles fonctionnant sur un modèle de coopération.

 

III – Rencontres IHEDN du 20 mai 2017 :

Pour faire suite à ce qui est énoncé dans le préambule, l’intérêt des éléments évoqués lors de cette rencontre, et objet de ce billet, repose sur trois principes de base :

1. La modification de paradigme.
2. La prévention.
3. La sécurité.

Ce constat est basé sur les éléments ci-après :

• Les mises à jour de toutes les applications des systèmes d’information ne sont pas systématiquement réalisées de « peur » de créer des dysfonctionnements (au travers des interactions) dans le système de l’entité.
• L’apparition d’un nouveau risque systémique (différent de celui des mondes bancaire et financier) : la plus grande majorité des entités privées et publiques disposent des mêmes architectures informatiques, des mêmes applications de gestion, à configurations identiques, et d’une similitude d’action dans leur emploi. Ce qui « facilite » l’élaboration de scénarios d’attaques.
• Cyberguerre et Internet : les mots employés et les définitions apportées ne sont pas toujours adéquats et détournent l’attention de la réalité. Pour parler de cyberguerre, il faut avoir au moins un ennemi connu et visible (au sens de détecté), ce qui n’est pas le cas lors de la survenance des attaques (difficultés à remonter jusqu’à l’origine d’une attaque, « aporie » au sujet des commanditaires, absence de preuves juridiques, matériels…). La réalité  entrepreneuriale se nomme plutôt : « bataille » de l’information.
• Entreprise/industrie/collectivités… :  nous sommes en face d’une criminalité du XXI ème siècle (cybercriminalité…) dont les réponses juridiques actuelles ne sont pas encore pertinentes. A ce propos devons-nous parler de cyberespace ou de champ numérique interplanétaire?

Que convoitent les prédateurs : toutes les données qu’elles appartiennent au secteur marchand ou qu’elles soient la propriété du secteur public.  Pour cela, ils s’attaquent de différentes manières aux systèmes d’information, et à leurs extensions, des entreprises. Ils se situent à la frontière entre la cyberguerre (au sens militaire) et l’espace numérique interplanétaire.

En France, pour répondre en partie à ces nouveaux risques, il a été créée l’ANSSI (Agence Nationale de la Sécurité Informatique) http://www.ssi.gouv.fr/agence/missions/ledito-du-dg/  dont une de ses missions est « la promotion d’une culture de la cyber sécurité auprès des entreprises de toutes tailles et des particuliers, souvent moins au fait de ces problématiques. Ce positionnement se traduit par une politique ambitieuse de sensibilisation et d’accompagnement ainsi que par des actions relatives à la formation’.

 

Que nous précise également cette rencontre?

 

Comme pour les autres risques, il n’existe pas de risque zéro. La seule façon de prévenir et de réduire ces nouveaux risques consiste en la création d’un lien fort entre le monde de la sécurité intérieure et le monde de la Défense (sous forme de R&D). Les services d’enquêtes doivent travailler ensemble et mutualiser leurs informations.

Un autre volet de sécurisation, qui permettrait de réduire certains cyberrisques, serait « d’édifier » une filière industrielle nationale  (les objectifs principaux sont les maîtrises du hardware et du software) Un équilibre sera à trouver en matière de coûts.

En parallèle, il convient de créer des formations adaptées, et non pas seulement des masters spécialisés, en vue de disposer, en termes de ressources humaines, de différents degrés de compétences afin de répondre aux besoins des nouveaux métiers liés à la gestion des cyberrisques. Ceci passe par un enseignement au sein d’une filière académique.

Enfin, en termes budgétaires, la sécurité numérique ne doit pas être la variable d’ajustement. Dans un avenir proche, elle représentera une part importante de la continuation de l’activité, au sens large et, donc, de la pérennité de l’entreprise.

La méthode résumée : Faire exploser les limites entre monde privé et monde public afin de mettre en oeuvre les meilleures solutions et d’accomplir une véritable coopération.

via Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité

 

A consulter également :

Cyberattaques : une montée en puissance depuis dix ans

La cybersécurité doit devenir l’affaire de tous

L’Europe n’est toujours pas prête à affronter une cyberattaque majeure

WannaCry : « essentiel de se mette en ordre de bataille, collectivement » pour l’Anssi

La traque des pirates de la cyberattaque mondiale commence

Check Point : En 2017, a quoi ressemblera le paysage des cybermenaces ? — La cybercriminalité

Pourquoi les banques françaises sont vulnérables aux cyberattaques

Survey : 66% of IT pros think their companies’ cyberincident response plans are ineffective

I – De la maîtrise de l’information à la maîtrise des risques :

Tout dirigeant souhaite obtenir une information la plus complète, transverse et pertinente possible.

L’intérêt d’une démarche globale est de distinguer les interactions d’un risque à l’autre au sein d’une entité comme à l’extérieur de celle-ci.

La maîtrise de l’information se réalise grâce à cinq actions :

1. L’identification des besoins.
2. La veille informationnelle.
3. La collecte des informations.
4. La protection et la sauvegarde.
5. La diffusion de l’information.

A qui revient initialement cette organisation ? A l’humain, les NTIC n’étant à considérer que comme des outils de gestion.

II – Maîtrise de l’information et Contrôle Interne :

1. Lorsque nous évoquons le contrôle interne, il est souvent question de bonne gouvernance et de respect de la conformité de l’entreprise.
2. Lorsque nous parlons du flux Information d’une entreprise, il est question d’information sensible, engageante, structurante, personnelle, patrimoniale.

Comment les deux peuvent se rejoindre de façon complète, surtout en intégrant la vue globale de ce flux Information ? Qu’en pensez-vous, cela est il du ressort du contrôle interne que de s’assurer que ces familles d’informations soient bien maîtrisées ?

 Dans l’état actuel de « l’art », il y a bien une dissociation entre les notions et les concepts d’information et de contrôle interne.

L’ambiguïté est qu’il est souvent évoqué la prise en compte de l’information lors de la mise en place d’un système de contrôle interne, mais il s’agit d’éléments participatifs à la gestion des processus et des risques, …, d’informations comptables et de données informatives contenues dans les différents reportings réalisés pour le management, les différents comités et la gouvernance.

Nous sommes plus dans une optique de gestion organisationnelle que dans une application complète de maîtrise de la stratégie définie par l’entité.

Si nous imaginons un lien entre ces deux notions/concepts, il ne peut être direct et, ce, même si nous parlons de protection. Dans les grandes entreprises, cette dernière fonction est souvent assurée par la fonction élargie de la sécurité.

C’est en premier le risk-manager ou le responsable des processus de gestion des risques qui doit disposer de toutes les informations internes et externes afin de les identifier, mais surtout de les évaluer, de déterminer des mesures de contrôle et de simuler différents scénarios d’incidents à analyser.

La maîtrise de l’information est le préalable incontournable de la gestion des risques.

Ce dernier commentaire s’applique de la même manière à l’intelligence économique (IE), bien que la vision de l’entreprise en soit différente. Il a d’ailleurs été constaté une redondance dans les travaux pratiqués par les fonctions dédiées à l’intelligence économique et au risk-management en termes de gestion de l’information.

Une autre confusion peut provenir du fait que certains risk-managers se voient confier la responsabilité du contrôle interne, des assurances et, parfois, de l’audit interne. Ceci est un autre débat en termes d’indépendance et de délégation.

Comme il a été dit plus haut, le contrôle interne intervient pour partie dans la réduction d’exposition aux risques retenus.

Toute l’information n’est pas contenue dans le système d’information.

Par exemples, certaines informations glanées lors de négociations par les acheteurs, vis-à-vis des fournisseurs, et par les commerciaux, en relation avec les revendeurs, ne sont pas forcément répercutées. Même si un reporting existe, qui peut être sûr que les informations y sont toutes retranscrites et en termes adéquats ?

Une donnée peut ne pas être jugée essentielle par ces populations, alors qu’elle le sera par un risk-manager ou un responsable de veille (IE).

Nous sommes entrés dans l’ère de l’instabilité et de bouleversements de structures organisationnelles, ce qui nous amène à une gestion holistique et intégrée des risques, voire un concept innovant : l’intelligence des risques (management des risques selon les méthodes de l’intelligence économique).

En corollaire, le contrôle interne se doit d’évoluer dans le même sens. En se dirigeant vers un concept novateur : l’intelligence collective du contrôle interne.

« L’intelligence collective désigne les capacités cognitives d’une communauté résultant des interactions multiples entre ses membres. La connaissance des membres de la communauté est limitée à une perception partielle de l’environnement. Ils n’ont pas conscience de la totalité des éléments qui influence le groupe. Des membres aux comportements très simples peuvent ainsi accomplir des tâches apparemment très complexes grâce un mécanisme fondamental appelé synergie ou stigmergie¹. » (dixit Wikipédia).

Enfin, une nouvelle démarche est apparue : la prise en compte par l’audit interne des risques associés à l’atteinte des objectifs stratégiques. Ce qui inclut la gestion des risques stratégiques par le risk-manager et, de ce fait, une éventuelle prise en compte par le contrôle interne.

En conclusion, les évolutions évoquées doivent amener le contrôle interne à assurer la maîtrise des familles d’informations citées. Ceci sous réserve d’une organisation transversale et, pour les entreprises appliquant le référentiel COSO 2, de l’actualisation vers le COSO 3.

  ¹ Stigmergie : C’est une méthode de communication indirecte dans un environnement émergent auto-organisé, où les individus communiquent entre eux en modifiant leur environnement. Application de principes issus de la stigmergie à la collaboration dans des grands groupes et comme une méthode de gouvernance alternative à mi-chemin entre les organisations fonctionnant sur un modèle de compétition et celles fonctionnant sur un modèle de coopération.

La cartographie des risques des sociétés de gestion de portefeuille : un outil de pilotage stratégique

Étiquettes

alertes, AMF, autoévaluation, cartographie, conception, contrôle, démarche, dirigeants, dispositif, doctrine, formalisme, format, gestion, gouvernance, iddentification, indicateurs, limitation, mesures, outil, paramétrage, pertinence, revues, Risques, société de gestion, tolérance

Pièce essentielle du dispositif de maîtrise des risques d’une société de gestion de portefeuille, la cartographie des risques requiert une attention particulière dans sa conception. Plus qu’un outil de contrôle statique, un tel dispositif a vocation à évoluer dans le temps à mesure de l’évolution du périmètre d’activité de la société et des stratégies de gestion qu’elle met en œuvre.

Lire la suite →

Examining the future of regulatory reporting

Étiquettes

ABE, évaluation des risques, banques, base de données, BCE, BDF, comparaison, COREP, CRD4, données, effet de levier, EFR, Europe, finance, FINREP, Gestion des risques, harmonisation, indicateurs, indicateurs de risques, information financière, informations, ITS, KRI, Lamfalussy, objectifs, outil, pertinence, rapports, règlementation, réglementation prudentielle, régulateur, régulation financière, reporting, reporting réglementaire, Risques, SREP, SSM, superviseurs, systémique, tableaux de bord, UE

Finance – Banque – Organismes financiers

With the re enforcement of the European Union and the establishment of the Single Supervisory Mechanism (SSM), Regulatory Reporting has been a topic of attention.

…

Frederic Visnovsky – Secrétaire général adjoint chez Autorité de contrôle prudentiel et de résolution – Banque de France

Lire la suite →