La violation de SolarWinds renforce la raison pour laquelle les conseils d'administration et les comités d'audit ont besoin de plus d'expertise technique

1609055554 0x0


Avec des audits annuels en cours, la violation de SolarWinds met en lumière quelques lacunes majeures en matière de gouvernance d'entreprise: le besoin urgent de meilleurs contrôles informatiques et l'expertise technique limitée des comités d'audit du conseil d'administration. Ces vides sont précisément ce que les cybercriminels exploitent.

Le piratage de SolarWinds, parmi ses nombreuses cibles, a affecté les principales entreprises technologiques et les principales agences gouvernementales. Contrairement à la tristement célèbre violation de données Target 2013 lorsque des cyber-voleurs ont volé les informations d'identification du fournisseur pour accéder à des données confidentielles, les pirates de SolarWinds ont intégré du code malveillant dans un de confiance mise à jour du logiciel du fournisseur. Les environ 18000 les clients qui ont téléchargé le code étaient potentiellement vulnérables à une attaque.

Il est confirmé que le logiciel malveillant a réseaux violés dans des organisations de premier plan y compris Cisco, Intel, Deloitte et les départements d'État, du Trésor et de la Sécurité intérieure des États-Unis. Cette nouvelle alarmante laisse sûrement les conseils d'administration se demander à haute voix si l'infrastructure technologique de leur entreprise est vraiment sécurisée.

Questions d'audit

Les grands cabinets d'audit se posent les mêmes questions et, par conséquent, ont encore renforcé l'examen des contrôles informatiques des clients. Compte tenu de cet abandon des inspections comptables obscures, les conseils d'administration ne peuvent plus constituer des comités d'audit composés uniquement d'experts financiers. Ils doivent ajouter des chefs de file technologiques, les DSI étant régulièrement consultés dans les décisions de surveillance et la planification des audits.

Sans une conformité et un contrôle adéquats, aucune stratégie ne peut réussir. Alors que les chaînes d'approvisionnement de tous les secteurs dépendent de plus en plus de logiciels, le piratage de SolarWinds montre que le cyber-risque peut se cacher dans les contrôles inadéquats des fournisseurs. Il est peu probable que même les administrateurs indépendants non technologiques les plus bien intentionnés soient convenablement préparés à résoudre des problèmes informatiques complexes qui sont désormais au cœur des opérations, de la sécurité des données et des audits.

Les conseils d'administration ne peuvent plus se permettre d'adopter une approche selon laquelle la cybersécurité n'est pas un problème tant qu'elle n'est pas un problème. PwC Sondage annuel des administrateurs de sociétés 2020 a conclu que les deux tiers des répondants étaient d'accord pour dire qu'une cyber-violation serait mal reflétée sur leur tableau. Pourtant, seuls 37% ont déclaré connaître «très» bien le plan de gestion de crise de leur entreprise. Encore moins (32%) ont déclaré comprendre profondément la cybersécurité.

Au niveau du comité d’audit, le dernier exercice biennal de KPMG Rapport Pulse du Comité d'Audit classé le cyber-risque au sommet des programmes de gestion des risques d'entreprise. Les scores associés pour la sensibilisation organisationnelle, la vulnérabilité de la chaîne d'approvisionnement, les talents technologiques et la préparation du système se sont tous détériorés par rapport aux enquêtes précédentes.

L’ampleur de la crise SolarWinds pourrait mettre fin à l’inertie des conseils en matière de cybersécurité. Les retombées juridiques potentielles de SolarWinds, dont le conseil d'administration fera probablement face à une exposition juridique et réglementaire. La combinaison d’une presse économique très défavorable et d’une responsabilité potentielle retient probablement l’attention de tous les conseils à l’heure actuelle.

Un plan d'action

La capacité des conseils d’administration à surveiller les cyberrisques est entravée par un manque d’expertise des administrateurs, des chartes de comité obsolètes et incomplètes et des responsabilités professionnelles très dispersées. Des ressources insuffisantes, une surveillance insuffisante et une mauvaise coordination aggravent les choses, en particulier pour les cybermenaces invisibles et insaisissables.

Voici cinq mesures significatives que les conseils d'administration, les comités d'audit et les dirigeants devraient prendre pour mieux préparer et protéger leur entreprise:

1. Réviser la charte du comité d'audit.

La plupart des procurations et chartes du comité d'audit ne mentionnent pas la cybersécurité. D'autres y font référence en quelques mots sous la bannière d'un contrôle interne plus large. Certaines chartes sont si désuètes qu'elles font encore référence à des «systèmes d'information informatisés». Tous doivent être revus et beaucoup doivent être révisés immédiatement.

Apple est ici un exemple de bonnes pratiques. Ses 47 points charte du comité d'audit et des finances consacre une demi-page aux tâches de «surveillance des risques, confidentialité et sécurité des données». En ce qui concerne les problèmes de cybersécurité, Apple demande à son comité de «faire régulièrement rapport au conseil sur le contenu de ces examens et discussions et, si nécessaire, de recommander au conseil les mesures que le comité juge appropriées».

2. Recrutez des cyber-experts au conseil d'administration et au comité d'audit.

Selon Membre du conseil d’administration Rapport 2020 «Ce que pensent les administrateurs», 56% des dirigeants ont qualifié la cybersécurité de «problème technologique le plus difficile à surveiller». Seulement la moitié ont déclaré qu'au moins un de leurs membres du conseil d'administration était suffisamment informé sur la cybersécurité. Malgré cela, seuls 17% des répondants ont choisi l'expérience informatique / cyber comme premier critère de sélection pour les nouveaux membres du conseil!

Amazon est une entreprise qui va dans la bonne direction. En septembre 2020, le général à la retraite Keith Alexander a rejoint son conseil d'administration et son comité d'audit. Alexander est le président et fondateur de la société de conseil IronNet Cybersecurity et un ancien chef du US Cyber ​​Command. Une telle expérience contribue clairement à informer et à améliorer les discussions et les décisions du comité d'audit liées à la cybersécurité.

3. Désigner les responsabilités de cyber-gouvernance du comité d'audit.

Tous les conseils d'administration ne rejettent pas le risque de cybersécurité, mais le délèguent souvent à des comités autres que l'audit. Au conseil d'administration de FedEx, par exemple, un administrateur siège à la fois au comité des technologies de l'information et au comité d'audit. Un tel chevauchement a du sens là où c'est possible, mais Spencer Stuart Index du conseil d'administration américain 2020 rapporte que seulement 12% des conseils d'administration ont des comités de technologie.

UPS adopte une approche différente, aucun administrateur ne faisant partie de ses comités d'audit et des risques. Selon le Proxy UPS 2020, son comité des risques «supervise l’identification et l’évaluation par la direction des risques stratégiques de l’entreprise, y compris les risques associés à la propriété intellectuelle, aux opérations, à la confidentialité, à la technologie, à la sécurité de l’information, cybersécurité et réponse aux cyberincidentset continuité d’activité. »

Le comité d'audit «supervise plus traditionnellement les politiques relatives à l'évaluation des risques financiers, y compris les lignes directrices pour régir le processus par lequel l'évaluation et la gestion des principaux risques financiers et comptables sont entreprises».

Son comité d'audit s'est réuni onze fois l'an dernier, tandis que son comité des risques ne s'est réuni que tous les trimestres. La circulaire de sollicitation de procurations indique que son directeur informatique rencontre le comité des risques et que le directeur financier rencontre le comité d'audit.

La structure d'UPS présente des défauts majeurs. Reléguer le cyber-risque à l'un des nombreux points de l'ordre du jour débattus tous les trois mois n'est guère suffisant. La cybersécurité ne doit plus être cloisonnée et ne peut être séparée de la planification de l'audit. Les comités d'audit ont besoin de plus d'expertise technologique et les DSI devraient les mettre à jour directement sur les contrôles informatiques. Le fait de négliger un risque accru entraîne souvent des frais d'audit plus élevés et des problèmes de sécurité des données potentiellement bien pires.

4. Mettre l'accent sur la cybersécurité dans la surveillance du contrôle interne.

Les évaluations et analyses de contrôle informatique sont l’avenir du travail d’audit. Les contrôles technologiques nécessitent une expertise, des procédures et des tests spéciaux. Des contrôles manuels laxistes peuvent nuire à l'établissement de rapports financiers et au contrôle des actifs, mais les manquements à la cybersécurité peuvent être bien plus dommageables. Les conséquences peuvent inclure des pannes technologiques, une atteinte à la réputation, des sanctions réglementaires et des problèmes juridiques inimaginables. La section contrôle interne de la charte du comité d'audit devrait être élargie pour inclure des exigences spécifiques en matière de cybersécurité, étant donné le rôle omniprésent que la technologie joue désormais dans presque toutes les activités de l'entreprise.

5. Utilisez les chartes pour planifier et réviser les listes de contrôle pour la cybersécurité.

Même les meilleures conceptions nécessitent une mise en œuvre minutieuse. Les chartes devraient servir de listes de contrôle pour toute la planification du conseil et des comités, ainsi que pour les examens. À mesure que les évaluations des membres du conseil et des comités deviennent plus courantes, l'évaluation des réalisations par rapport aux attentes énumérées devrait être la norme. Les examens doivent indiquer clairement que les comités d'audit ont pris les mesures nécessaires pour superviser la conception et l'efficacité des contrôles informatiques préventifs et de détection, l'assurance de l'intégrité des données, les protocoles d'intervention en cas de crise et les plans de maintenance et de mise à niveau du système. S'il n'est pas entièrement documenté, les auditeurs se demanderont seulement si le travail a vraiment été fait.

Votre prochain, prochain et prochain mouvement

Le marché dynamique des entreprises exige que la gouvernance d'entreprise s'adapte beaucoup plus rapidement au changement, en particulier en ce qui concerne les risques numériques. La cybersécurité ne peut pas être simplifiée en alternant contre-mouvements offensifs et défensifs. Tout comme les maîtres d'échecs, les gagnants de la cyber-gouvernance parmi les entreprises seront ceux dont les équipes de direction et les conseils d'administration élaboreront plusieurs stratégies pour tenter de déjouer les violations.



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *