Les systèmes d’informations (SI) sont au cœur des activités des entreprises car ils en sont le support.
Les SI sont en permanence exposés à de nombreux risques. Des risques liés aux activités métiers (processus erroné, erreur de saisie, fraude, malveillance…) mais aussi au SI (fonctionnement erroné, panne, cyberattaque…). A cela s’ajoute des risques de non-conformités réglementaires qui peuvent engendrer des sanctions notamment financières.
En cas de sinistre, l’ensemble des activités de l’entreprise peuvent être impactés durablement et parfois la viabilité même de l’entreprise peut être remise en cause. Exemple : Une entreprise, dont un incident a supprimé l’ensemble des données clients et qui ne possède aucune sauvegarde de ses données.
Pour pallier à ces risques, les entreprises mettent en place des dispositifs de sécurité.
Mais comment s’assurer du bon fonctionnement dans la durée de ces dispositifs ? Le contrôle interne
Le contrôle interne SSI : outil clés du maintien de la sécurité des SI.
Le contrôle interne est :
- Un dispositif mis en œuvre par la direction, le management et le personnel,
- Conçu pour fournir une assurance raisonnable quant à la maîtrise des risques et à la réalisation des objectifs de l’entreprise.
Il s’agit, pour chaque risque identifié de mettre en place un dispositif permettant de maîtriser ce risque selon les objectifs définis par l’entreprise. Ce dispositif fait l’objet d’un contrôle démontrant, preuve à l’appui, le fonctionnement effectif et efficace du dispositif.
Exemple : une base de données sensible :
- Doit faire l’objet d’une sauvegarde (le contrôle),
- Tous les jours (l’objectif = perte de données maximale de 24h)
- Pour éviter la perte de données (le risque)
- Le compte-rendu de la sauvegarde est conservé (preuve).
Ainsi, tout au long de l’année, les preuves de bonne réalisation des contrôles sont produites, démontrant le bon fonctionnement des dispositifs de maîtrise des risques.
La consolidation régulière des résultats permet une évaluation continue du niveau de maîtrise des risques sur le périmètre couvert.
Le contrôle interne fait l’objet d’une démarche d’amélioration continue. Elle vise à améliorer, compléter ou faire évoluer les dispositifs notamment si les activités concernées changent.
Régulièrement, des équipes internes ou externes spécialisées réaliseront une évaluation ponctuelle du dispositif sous la forme d’un audit.
Les atouts d’un dispositif de contrôle interne
Un dispositif de contrôle interne vise, en particulier :
- L’efficacité et l’optimisation des activités de l’entreprise,
- La disponibilité, l’intégrité, et la confidentialité des données,
- La conformité aux lois et réglementations en vigueur (y compris les instructions fixées par la Direction).
Les atouts d’un dispositif de contrôle interne se vérifient pour les processus métiers, les SI et les dispositifs SSI.
Toutefois, ce dispositif nécessite une implication des équipes en charges des activités visées, une organisation et une gouvernance et des charges de travail. Les activités clés de l’entreprise et les risques les plus importants seront donc visés en priorité.
Autre atout, les audits visent principalement les mêmes contrôles que ceux visés par le dispositif de contrôle interne. Ainsi, la description des dispositifs de maîtrise des risques et des preuves de leur fonctionnement, attendus par les auditeurs seront facilement disponibles, épargnant du temps aux équipes visées par l’audit.
Les principaux domaines généralement couverts par les dispositifs de contrôle interne SSI sont décrits dans la norme ISO 27002. Il s’agit notamment de la gouvernance, de la gestion des identités, des sauvegardes, de la journalisation, de la continuité des activités, des dispositifs techniques de SSI (antivirus, firewall…), les dispositifs de mise en production et d’exploitation des SI…
La mise en place d’un dispositif de contrôle interne est un investissement important souvent perçu comme une contrainte. Mais c’est en réalité un outil de qualité et d’amélioration continue du fonctionnement de vos activités et de vos dispositifs SI et SSI, d’implication et de responsabilisation de chaque membre de votre organisation. Il contribue également à démontrer la résilience et la conformité de votre entreprise.
À propos de l’auteur