Mercredi 19 Décembre, 2018

Chef d’entreprise, vous pouvez être piraté !!!

Gaël Beauboeuf, CISA, CAPM.

Gaël Beauboeuf, CISA, CAPM.

Tout achangé pour les entreprises

Il y seulement une vingtaine d’années de cela, encore la plupart des entreprises fonctionnaient avec des grands cahiers ou peut être grands fichiers Excel. Maintenant, les entreprises, de plus en plus, se tournent vers le cloud computing (que ce soit privé ou public) qui consiste à exploiter la puissance de calcul ou de stockage de serveurs informatiques distants, localisés sur internet.

De plus en plus, on implémente des systèmes informatiques complexes, supportés par une infrastructure de réseau informatique tout aussi complexe, communément appelés progiciels de gestion intégrée (ERP). Ces derniers comme ACCPAC, QUICKBOOKS, SAP, MS Dynamics Navision, pour ne citer que ceux là, génèrent pour l’entreprise ce qu’on appelle un risque technologique…

En effet l’informatique n’étant pas une finalité en soi mais simplement un outil afin d’être plus compétitif/productif, elle pose un problème en ce qui a trait à l’atteinte des objectifs du business… Aucun système n’est à 100% fiable, le problème qui surgit ici est celui de la sécurité de nos données/informations et de la protection des biens matériels informatiques.

C’est devenu sérieux et… dangereux

Vous le savez sans doute, certaines entreprises de la place ont subi des attaques informatiques et ont subi des dégâts considérables. Des attaques informatiques comme l’ingénierie sociale, le pishing (récemment avec l’une des banques de la capitale) se font de plus en plus courant en Haïti. La situation est telle qu’aujourd’hui à travers le monde, des centaines de postes en sécurité informatique sortent chaque jour afin de recruter des professionnels informatiques capables de garantir et veiller que le triangle C.I.A. (Confidentiality-Integrity-Availability) est respecté.

En d’autres termes, que les donnes confidentielles (C) ne soient pas accessibles à un quidam, en second lieu que les données ne soient pas modifiées par n’importe qui et conservent leur intégrité (I) et enfin que les donnes soient toujours disponibles (A) pour les utilisateurs légitimes (pou yo tande sistèm nan tonbe oubyen pa gen rezo).

La sécurité informatique ne se résume pas à la lutte contre les virus et les spams. Les PME doivent avant tout se protéger contre les fuites de données. La sécurité informatique devient donc un combat quotidien et une priorité pour les entreprises car la protection des actifs informationnels de l’entreprise et leur infrastructure informatique doivent être à l’abri de toute attaque d’un pirate informatique. Donc, l’objectif du département de sécurité informatique est d’agir sur ce risque technologique en réduisant les facteurs 'vulnérabilité' et 'impact' en réduisant premièrement le facteur 'vulnérabilité', par la mise en place de mesures de sécurité ciblées puis ensuite en réduisant l’impact potentiel, par la mise en place de systèmes de redondances des données..

Mais quelle garantie que les contrôles mis en place sont effectifs?

En 2016, lors d’un séminaire organisé par l’association nationale des auditeurs en systèmes d’informations (ANASIH – www.anasih.org) j’entendis pour la première fois le concept d’audit technologique. En effet je ne pensais pas qu’on pouvait faire un audit … informatique. La certification CISA (Certified Information System Auditor) de l’ISACA (Information Systems Audit and Control Association) est l’unique accréditation professionnel reconnue mondialement en la matière.

Malheureusement, en Haïti on entend souvent parler d’audit comptable/financier mais pas de l’audit informatique. Cela va de soit, l’audit technologique n’est pas obligatoire en Haïti (bien que réalisé par quelques rares grandes entreprises de la place). Et c’est la raison pour laquelle il faut tirer la sonnette d’alarme. Le secteur public/privé haïtien doit prendre conscience et prendre l’habitude de se faire auditer du point de vue informatique. Ici réside tout le danger pour les entreprises haïtiennes dans cette ère ou la cybercriminalité fait rage.

Les entreprises utilisent des systèmes d’informations de plus en plus complexes ainsi que des applications informatiques spécialisées pour différent besoin, ceci représente donc un niveau de risque que l’entreprise doit prendre en compte. Maintenant comment savoir que vous avez une bonne politique BYOD (Bring your own device) en place, comment savoir que les contrôles de sécurité informatique répondent aux attentes du business, comment savoir si vos données électroniques ne sont pas volées, modifiées ou en train d’être utilisées à d’autres fin, comment savoir que vous n’avez pas un trou de sécurité dans votre réseau informatique ou que les politiques en place pour les contrôles informatiques sont adéquats?

Comment savoir si les données de vos clients sont protégées conformément au règlement général sur la protection des données (GDPR) ? L’audit informatique !! Tout comme l'audit comptable et financier est un examen des états financiers d'une entreprise, l’audit informatique a pour objectif d’identifier et d’évaluer les risques associés aux activités informatiques d'une entreprise ou d'une administration et de recommander les contrôles nécessaires afin de transférer, mitiger ou éliminer ces risques. Etes-vous au courant des pertes économiques ou de réputation que peut endurer votre entreprise en raison d’une absence de gestion des risques informatiques ?

Gaël Beauboeuf, CISA, CAPM.
beauboeufg@gmail.com

Recevez gratuitement les dernières nouvelles d'Haïti et d'ailleurs directement sur votre téléphone en téléchargeant l'App de Loop News :