Audit Committee Forum: Les clés pour lutter efficacement contre les cyberattaques

Les cyberattaques représentent une vraie menace pour les entreprises. Les risques sont autant opérationnels que réputationnels. Comment se protéger? L’audit committee forum s’est penché sur la question.

Pandémie oblige, les entreprises ont accéléré le processus de digitalisation. Mais le revers de la médaille, c’est qu’elles sont devenues plus vulnérables aux cyberattaques. Ainsi, malgré l’importance de l’innovation dans les opérations des entreprises, il est primordial que celles-ci soient capables de se défendre face à des tentatives de piratage. C’est dans cette optique que le Mauritius Institute of Directors s’est associé à KPMG afin de faire des recommandations aux conseils d’administration et aux cabinets d’audit. Ils ont profité de la dixième édition de l’Audit Committee Forum pour lancer la semaine dernière un document de synthèse portant sur la gestion des cyber-risques dans la nouvelle normalité.

La Chairperson de l’Audit Committee Forum et CEO du Mauritius Institute of Directors, Sheila Ujoodha, rappelle que les cyberattaques dépassent largement les frontières mauriciennes. Pire, elles ne font qu’augmenter chaque année. À Maurice, le Mauritius Cybercrime Online Reporting System (MAUCORS), qui est un système en ligne géré par la Computer Emergency Response Team of Mauritius (CERT-MU), a recensé 7 838 incidents entre 2018 et 2022. Les cas les plus mentionnés concernent les tentatives de hacking.

Pour Sheila Ujoodha, il est essentiel que les entreprises prennent la mesure de l’ampleur de la menace. «Cette dixième édition de l’Audit Committee Forum apporte les outils nécessaires et des pistes de réflexion afin d’accompagner les comités d’audit et souligne que les conseils d’administration devraient être plus résilients en révisant leurs dispositifs de sécurité, en resserrant leurs points de vulnérabilité ainsi qu’en sensibilisant les employés et partenaires d’affaires quant à leurs rôles et responsabilités en cas de cyberattaques ou d’incidents majeurs», soutient-elle.

Les cyberattaques sont en train de gagner rapidement du terrain. Toutes les entreprises sont concernées, insiste Sheila Ujoodha, qui rappelle le cas d’Uber qui, malgré tous ses moyens, s’est quand même fait pirater. Par conséquent, elle prône une surveillance de tous les instants afin de diminuer ce risque. D’ailleurs, c’est également dans cette optique que le Mauritius Institute of Directors organise des événements de sensibilisation auprès des hauts dirigeants du pays. «Vu l’intérêt suscité lors de ces événements, la mise en œuvre de ce guide sur la cybersécurité était une suite logique pour l’Institut, afin d’accompagner la communauté des affaires dans leurs démarches de cyber-sécurisation», affirme-t-elle.

UNE STRATÉGIE EN TROIS ÉTAPES

Pour sa part, John Chung, Managing Partner de KPMG Mauritius, indique que son cabinet, dans le sillage de la digitalisation de ses opérations, a multiplié les initiatives afin de parer aux cybermenaces. Ainsi, avance-t-il, ses équipes ont développé une nouvelle plateforme permettant de sécuriser les opérations contre les tentatives de fraude digitale. «Notre nouvelle plateforme d’audit, Clara, nous permet de collaborer directement avec nos clients pour le partage d’informations tout en intégrant les mécanismes pour sécuriser cet échange. L’autre aspect à ne surtout pas négliger est le risque humain ; et rien ne vaut la sensibilisation des équipes et de nos clients. Nos formations obligatoires incluent a minima annuellement un rappel sur les cyber-risques et nous faisons régulièrement des campagnes de communication autour du sujet», rapporte-t-il.

À KPMG Mauritius, l’on préconise une stratégie en trois étapes pour développer une meilleure résilience face aux risques technologiques. D’abord, il incombe à la direction de faire un suivi rigoureux. «C’est un risque qui doit figurer à l’agenda des conseils d’administration et suivi de près par le CEO et le CFO, et non uniquement par l’équipe informatique comme on le voit souvent. Le C-Suite doit comprendre le risque et des enjeux afin de mieux les gérer», indique John Chung. Ensuite, il faut connaître les types de risques auxquels les entreprises sont confrontées. Car la menace digitale varie d’une entreprise à l’autre. Et finalement, il faut se protéger en souscrivant une assurance contre les cyber-risques. À ce propos, John Chung recommande aux dirigeants de prendre une assurance en fonction de leur exposition et «de considérer des assurances spécialisées car le risque zéro n’existe malheureusement pas, encore moins pour les cyber-risques qui évoluent au moment même où je vous parle».