Home » Gouvernance

Category Archives: Gouvernance

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Protection des données. C’est votre responsabilité!

A l’heure où internet est partout et où nous communiquons de plus en plus de façon digitale, comment protéger vos données personnelles? La réponse n’est peut-être pas celle que vous attendez. La protection des données personnelles est de la responsabilité de chacun. Il ne faut pas attendre que les entreprises ou les états s’en chargent. Chaque utilisateur d’Internet doit prendre conscience de sa responsabilité à ce niveau. Internet est un univers absolument fantastique permettant au plus grand nombre de rester connectés. Mais Internet n’est rien d’autre que ce que ses utilisateurs en font. Dans le cadre du mois de la cybersécurité 2017, nous vous proposons de nous arrêter un moment sur ce sujet capital.

Protection des données. C'est votre responsabilité!
Crédit : © Africa Studio

La protection des données : votre responsabilité

L’être humain est ainsi fait qu’il attend toujours des autres de le protéger contre tous les dangers. Les éditeurs de logiciels et constructeurs de solutions informatiques l’ont bien compris. Ils se battent à coup d’initiatives technologiques censées protéger les utilisateurs contre le vol de leurs renseignements personnels sur Internet. Les états, soucieux de la protection des données de leurs citoyens, publient des réglementations toujours plus contraignantes dans ce domaine. Bien sûr, cet arsenal technologique et réglementaire est utile pour se protéger. Mais il est très loin d’être suffisant. Le premier niveau de protection est totalement de notre responsabilité. Il consiste à adopter un comportement basé sur le bon sens. Hélas, il semble que le bons sens ne soit pas universellement partagé. Il convient donc de mettre l’accent sur la sensibilisation, l’éducation et la formation des individus. Et ce, dès le plus jeune âge…

Une technologie toujours plus performante

Au cours de ces dernières années, les éditeurs de logiciel et les constructeurs de matériel ont mis l’accent sur la protection des appareils. Cela concerne particulièrement les matériels permettant l’accès à internet comme les ordinateurs et les éléments du réseau. Malheureusement le même effort n’a pas forcément été déployé sur les téléphones portables. Bien sûr on a vu apparaître assez récemment sur ces téléphones mobiles des protections biométriques. Certains terminaux permettent aujourd’hui le cryptage des données qu’ils hébergent. Mais combien d’utilisateurs utilisent ces  systèmes de sécurisation? De plus, ces protections bien qu’assez performantes sont encore très insuffisantes pour résister à des hackers professionnels.

Pour rester performante, la technologie doit évoluer en permanence. En effet, la compétence des hackers évolue, elle, chaque jour. Cela signifie donc que les éditeurs doivent produire des mises à jour de sécurité très fréquentes. C’est généralement ce qu’ils font. La responsabilité d’installer ces mises à jours revient naturellement aux utilisateurs eux-mêmes. Or, souvent ils ne le font pas. Cela prend du temps et consomme du volume de données sur internet. Dans beaucoup de pays, notamment dans les pays africains, la facturation internet s’effectue au volume. Donc, une mise à jour de sécurité assez lourde se traduira par un coût important pour l’abonné. Par conséquent, la plupart du temps les mises à jour de sécurité ne sont pas installées, laissant des larges failles ouvertes à la disposition des pirates.

Des lois de plus en plus contraignantes

Pour protéger leurs citoyens, les états prennent des dispositions de plus en plus contraignantes en matière de protection des renseignements personnels. Ainsi, en Europe, la nouvelle réglementation connue sous le nom de GDPR (Generic Data Protection Regulation), qui entrera en vigueur le 25 mai 2018, impose aux entreprises qui utilisent et traitent des données personnelles de citoyens Européens des exigences très restrictives. Toute violation de cette réglementation sera punie d’une amende allant jusqu’à 4% du chiffre d’affaires mondial annuel de l’Entreprise fautive, avec un minimum de 20 millions d’Euros.

Parmi les contraintes imposées, figure l’obligation de recueillir le consentement explicite des personnes pour utiliser leurs données personnelles à des fins marketing ou commerciales.

Une autre disposition contraignante, ayant des impacts très importants, est la responsabilité du donneur d’ordre sur toute la chaîne de sous-traitance utilisée pour le traitement des renseignements personnels. Ceci signifie que dans le cas où des informations personnelles (nom, prénom, adresse mail ou numéro de téléphone par exemple) seraient volées à un sous-traitant de la Société qui a recueilli ces données, quel que soit l’endroit où ce vol surviendrait (sur un autre continent par exemple), la Société d’origine serait considérée comme totalement responsable du délit et passible de l’amende.

Une méconnaissance des risques

Depuis quelques années on constate une utilisation croissante des téléphones portables pour l’accès à internet. Ceux-ci sont de plus en plus performants et offrent souvent des fonctionnalités et une puissance équivalentes aux ordinateurs. Leur portabilité en fait le terminal privilégié des internautes. Pour autant ils sont beaucoup plus vulnérables que les ordinateurs. Très peu d’entre eux sont équipés d’anti-virus. Les mises à jour de sécurité sont réalisées de façon très aléatoires. Ils sont plus sujets à la perte et au vol que les ordinateurs portables.

Les téléphones mobiles constituent aujourd’hui un maillon faible en matière de protection des renseignements personnels. Chacun enregistre sur son téléphone une grande quantité de données personnelles. Il s’agit bien sûr des numéros de téléphones de ses contacts, mais aussi d’autres informations comme leur nom et leur adresse mail ou même leur adresse physique. Souvent on y retrouvera aussi leur date de naissance, pour penser à fêter leur anniversaire. Ces téléphones portables sont aussi largement utilisés, en Afrique notamment, pour le paiement par mobile ou le transfert d’argent.

Le paiement par mobile

Devant la faiblesse des banques, les opérateurs téléphoniques du continent Africain ont développé des services de paiement et de transfert d’argent extrêmement prisés. Ainsi, au Kenya, M-Pesa, le service de paiement mobile de l’opérateur Safaricom possédait plus de 29,5 millions d’abonnés fin 2016. Sur l’année 2016 plus de 6 milliards de transactions ont été réalisée par M-Pesa, pour un montant global de plus de 30 milliards de dollars US, soit près de 45% du PIB du Kenya tout entier.

Les montants annuels transitant par ces services mobiles sont devenus phénoménaux. De plus leur croissance est évolution constante. Le succès de ces offres repose sur l’ouverture de ce type de services au plus grand nombre. Par contre ni les utilisateurs, ni les vendeurs de ces services ne sont formés sur la sécurité. Le risque lié au paiement mobile en Afrique est donc, en peu de temps, devenu un risque majeur. Ce risque concerne bien sûr l’économie entière des pays concernés, mais aussi chacun des utilisateurs individuellement. Les services de paiement mobile constituent en effet une cible plutôt facile pour des pirates qui y voient une incitation financière importante.

Un comportement immature des utilisateurs

Pour la plupart des utilisateurs, la protection des données ne constitue pas une préoccupation majeure. La plupart d’entre eux considère n’avoir rien à cacher. Ils n’hésiteront pas bien longtemps devant un formulaire leur demandant des informations personnelles. Et surtout s’il y a une incitation à les fournir!

Hier encore je suis tombé sur la page Facebook d’une personne qui publiait publiquement, photos à l’appui, sur ses vacances, pendant 4 semaines à l’étranger. Sur son profil, toujours public, apparaissent diverses informations suffisamment détaillées permettant de l’identifier de façon précise avec la localisation de son domicile. Il s’agit là d’informations personnelles extrêmement faciles à exploiter par n’importe quel cambrioleur qui sait désormais que cette maison est inoccupée et que les propriétaires ne reviendront pas avant une certaine date. De plus, sur la base des informations communiquées sur son profil et des photos partagées prises à l’intérieur de cette maison, il est évident que le butin risque d’être très intéressant. Cette personne s’est elle-même exposée au risque de se faire cambrioler. Elle a donné en ligne, de son plein gré, tous les informations personnelles pouvant inciter au délit. Si, ce qu’évidement nous ne lui souhaitons pas, le cambriolage se produit, l’assurance de ladite personne ne couvrira pas les dommages car la compagnie d’assurance estimera, de façon tout à fait justifiée, que c’est la personne elle-même qui a « provoqué » le cambriolage.

C’est un exemple tout à fait courant, malheureusement, de ce que nous nommerons un comportement immature d’un utilisateur d’internet.

Comment en savoir plus?

Pour en savoir plus sur la protection des données personnelles, nous vous invitons à visionner l’enregistrement video de notre wébinaire du 11 Octobre dernier. La présentation était animée par David Henrard, expert international du domaine et actuel président du Chapitre ISACA de Québec. Vous pourrez ainsi avoir une vision complète de l’état des lieux en la matière à travers les différentes régions du monde.

Nous répondrons également avec plaisir à vos remarques, commentaires et questions sur cet article.

 

Culture et éthique au coeur de l’Entreprise

Pas de création de valeur sans culture et éthique

Ardent défenseur de la bonne gouvernance pour promouvoir les comportements adéquats, en matière de business, je défends depuis longtemps l’idée que les Entreprises doivent comprendre et pratiquer un capitalisme responsable. En ce moment même se déroule un G20 en Chine. C’est le cadre dans lequel deux des plus grands pollueurs de la planète, à savoir les USA et la Chine viennent enfin de ratifier l’accord de la COP21. Cet accord vise à réduire l’émission de gaz à effets de serre. Ces gaz menacent directement la survie même de l’humanité et plus globalement de la Terre. Il est donc désormais clair que le capitalisme responsable est plus que jamais une nécessité vitale. Cela s’appuie, de toute évidence, sur une culture et une éthique d’Entreprise plus exigeantes.

Corporate Culture of a Company and Responsibility

Qu’est-ce que le capitalisme responsable?

Il se trouve que ce concept a été soulevé, il y a quelques semaines par l’Institute of Business Ethics (IBE). L’IBE est une organisation Britannique non gouvernementale créée en 1986. Sa mission consiste à encourager l’adoption de normes de haut niveau en matière de comportement d’affaires au sein des Entreprises. Pour ce faire il est indispensable de s’appuyer sur des valeurs éthiques fortes. Or chacun sait que les Entreprises, par la voix de leur Conseil d’Administration réagissent majoritairement dans deux cas seulement. Elles doivent y être contraintes soit par des obligations légales ou réglementaires, soit par un scandale financier affectant leurs actionnaires. Dans les deux cas, elles réagissent sous la contrainte et sont malheureusement rarement pro-actives.

En juillet, l’IBE a présidé un excellent colloque sur ce que le «capitalisme responsable» signifie aujourd’hui. Cela conforte ce que je préconise depuis longtemps, m’appuyant sur COBIT 5, à mes clients et partenaires. Il est devenu indispensable de créer une culture d’entreprise permettant aux humains d’exploiter les opportunités, et pas l’inverse. Cet objectif se réalise, bien sûr, en encourageant la liberté de produire, de vendre et d’acheter des biens et services afin de créer de la valeur pour la Société, pour le plus grand profit de ses parties prenantes. Mais cela nécessite impérativement d’agir dans un cadre bien défini en matière de comportement d’affaires. C’est un pré-requis à la bonne gouvernance selon COBIT qui propose 6 autres facilitateurs pour la création de Valeur. 

Le rôle du Conseil d’Administration

Il est donc important que les Organisations définissent les comportements business qui sont et ne sont pas autorisés. Il est également vital de définir dans quelle mesure la culture de l’Organisation soutient ou contredit sa position éthique officielle.

Pour illustrer ce propos, prenons, par exemple, le cas de la FIFA (Fédération Internationale du Football Amateur). D’un point de vue éthique, la FIFA a pour mission de promouvoir les opportunités dans le monde du football. Son site Web met en exergue cette orientation. « La mission de la FIFA consiste à développer le football partout et pour tous, à toucher le monde à travers des tournois passionnants et à construire un avenir meilleur grâce au pouvoir du beau jeu ». Or nous avons tous en mémoire les récents scandales affectant la Direction de la FIFA et démontrant la corruption culturelle de cette Organisation. Ceci révèle une énorme différence entre la parole («ce que je dis») et les actes («ce que je fais»). Et cela conduit inévitablement à une faillite complète de l’Organisation et à la destruction de Valeur.

FIFA culture eroded ethics

Les scandales du LIBOR, du FOREX et des assurances emprunteurs PPI dans le secteur financier, la tricherie de Volkswagen sur les émissions de particules et les manipulations financières de Tesco destinées à dissimuler un trou au niveau comptable, sont autant d’exemples où la culture d’entreprise a violé l’éthique. Les Conseils d’Administration se réunissent et prennent note de ces violations. Hélas cela se passe seulement une fois que l’éthique a été violée. En effet, c’est seulement à postériori que les impacts au niveau de l’Entreprise se font sentir. Et c’est donc seulement après coup que le Conseil d’Administration se trouve contraint d’agir. A ce moment là, il est le plus souvent trop tard pour agir.

La création de valeur

Toutes ces Organisations étaient pourtant bien établies. Elles inspiraient suffisamment de confiance en terme de création de valeur. Malheureusement elles ont toutes fini par violer les règles fondamentales de l’éthique. C’est comme si la signification de la valeur avait été déformée. La valeur est la conjonction du profit, de l’optimisation des risques et de l’optimisation des ressources. Aujourd’hui, de nombreuses Entreprises évaluent uniquement la valeur d’un point de vue financier. Valeur devient synonyme de gros profits, gros dividendes et valeur marchande élevée. Elles font souvent fi de l’optimisation des risques liés à un comportement non éthique. De même elles se préoccupent  peu de l’utilisation efficiente des ressources.

Alors même qu’augmente la pression sur les ressources de la planète, et que la législation et la réglementation se concentrent maintenant sur la façon de faire les choses, les entreprises doivent désormais se focaliser sur leur façon de fonctionner, de produire et de servir. Le changement de la façon de faire des affaires favorise une approche éthique. la culture au sein des Organisations et des chaînes d’approvisionnement doit donc également se transformer pour permettre le  passage de la simple «création de richesse» à la notion de «création de bien-être».

Peut-être est-ce là la différence entre une entreprise bâtie sur le «capitalisme» (d’aucuns parlent de capitalisme sauvage) et une entreprise construite sur le «capitalisme responsable». Celui-ci intègre d’autres éléments dans sa définition de la «valeur», tels que les bénéfices sociaux et environnementaux. Le capitalisme responsable prolonge ainsi la «richesse» jusqu’au «bien-être». En d’autres termes, dans ce contexte, la valeur ajoutée est la somme de la richesse (s’appuyant sur le profit, pas seulement financier d’ailleurs) et du bien-être (résultant de l’optimisation des risques et des ressources). Cette création de valeur sera soutenue par l’éthique (objectif à atteindre), et la culture (moyen de la produire).

Peut-on auditer la culture d’une Organisation ?

Maintenant, il est nécessaire de mesurer tout cela. La culture est partout et nulle part dans les entreprises. Elle est partout dans le sens où elle est façonnée et déterminée par toutes les caractéristiques de l’entreprise – son personnel, son organisation, la façon de récompenser les gens, etc; – et nulle part, parce que la culture n’est pas tangible. Ce n’est pas un produit qu’on peut mettre sur une étagère, puis modifier et faire évoluer à volonté. Il est cependant nécessaire d’évaluer l’aptitude de la culture d’une entreprise à créer de la valeur pour l’Entreprise.

Avec quelque chose d’aussi intangible que la culture, où et comment peut-on commencer cette évaluation? Une bonne façon de démarrer une telle évaluation consiste à identifier la  « pression d’entreprise» sur son personnel. C’est cette pression qui va révéler les changements culturels et leur impact sur l’éthique. Cela soulèvera immanquablement des «feux rouges» indiquant que l’Organisation présente un risque important. Ce risque pourra se traduire notamment par un scandale affectant l’image de l’Organisation.

Les indicateurs de risque

Quels sont ces feux rouges? On peu en identifier cinq essentiels :

  • l’existence d’accords salariaux controversés, tels q’une rémunération anormalement élevée des dirigeants favorisant la prise de risques et encourageant uniquement des objectifs à court terme;
  • des structure juridique complexe rendant difficile la transparence, pour les Conseils d’Administration et le Management, sur ce qui se passe à l’intérieur de l’entreprise;
  • une mauvaise réalisation de Fusions / acquisitions conduisant à un mélange de cultures au sein de l’entreprise, avec des «poches» de mauvais comportement qui se développent hors du contrôle du Conseil d’Administration;
  • une discipline financière laxiste (par exemple Northern Rock et RBS avaient un endettement excessif qui a conduit à leurs problèmes) pouvant déclencher une crise;
  • des dirigeants « autocratiques » que le personnel craint de fâcher par crainte de représailles, ce qui signifie que des informations vitales sur les problèmes potentiels risquent de ne jamais atteindre la haute direction et les Conseil d’Administration.

COBIT 5 comme cadre d’évaluation

L’étape suivante consiste en la définition d’une approche pour examiner et évaluer la culture et l’éthique, en s’appuyant par exemple sur COBIT 5.

facilittaeurs de la création de valeur

Nous pouvons appliquer la publication COBIT 5 for Assurance, pages 139 – 141, à chacun des « feux rouges » identifiés ci-dessus. COBIT 5 examine l’influence sur le comportement par le Leadership selon trois axes, « à travers la communication, l’application et les règles », « au travers des incitations et des récompenses» et «par les actions de sensibilisation». Tous les trois portent sur les questions relatives à la pression de l’Entreprise.

La communication, les règles et leur application influencent les comportements

Cette perspective permettra de découvrir si l’entreprise « prend des raccourcis » ou fait preuve d’une discipline financière laxiste. Elle permettra également de découvrir si le conseil d’administration se concentre sur les mesures à court terme. On s’attachera notamment à ce niveau à étudier l’existence et le contenu des politiques et du système de management.

Les incitations et récompenses soutiennent les comportements souhaités:

Cet axe d’évaluation va révéler comment la rémunération et les récompense réelles correspondent aux schémas officiels de récompenses/pénalités en vérifiant si le personnel s’affranchit des limites, si les managers et le conseil d’administration tolèrent les petites infractions aux politiques et si les pénalités au niveau du salaire sont bien appliquées et encouragent la prise de risque – pour atteindre des objectifs à court terme.

La sensibilisation conditionne les comportements attendus

Cette perspective permet d’identifier si des structures juridiques complexes existent. C’est alors difficile, pour le conseil et la direction, de comprendre ce qui se passe à l’intérieur de l’entreprise. Par exemple, une complexité des structures peut résulter de prises de contrôle, conduisant à un choc de cultures. Cela générera des zones de mauvais comportement allant au-delà de la capacité de supervision du Conseil d’Administration.

En résumé, une évaluation globale basée sur COBIT 5 nous aidera à évaluer si le conseil change de direction s’écartant des pratiques validées sans officiellement modifier ou communiquer sa nouvelle approche.

A quoi sert vraiment COBIT ?

Mais COBIT 5 peut faire encore beaucoup plus pour nous. Il peut, de manière transparente, identifier la fourniture et l’utilisation des développements technologiques, tels que les objets connectés par Internet et le Big Data, et évaluer la réponse d’Entreprise en matière de confidentialité des données et de pratiques de cyber-sécurité. A mesure que les progrès technologiques se combinent de façon plus évidente, imbriquant chaque jour davantage vie professionnelle et vie privée, de nouvelles questions éthiques se posent. C’est l’évaluation continue de la culture et de l’éthique qui soutiendra toutes les opérations et l’obtention des résultats attendus.

Vous voulez découvrir comment COBIT peut vous aider?

AB Consulting, seul organisme de formation accrédité par APMG/ISACA sur l’ensemble des certifications COBIT 5 en Afrique de l’Ouest et du Nord, mais également certifié en matière d’audits sur la base de COBIT 5 vous propose de découvrir comment ce cadre de Gouvernance et de Management qui couvre la totalité de l’Entreprise, bien au delà du département informatique, peut vous aider à créer de la valeur au sein de votre organisation. N’hésitez pas à consulter notre site web pour en savoir davantage ou pour vous inscrire à l’une de nos formations certifiantes.

Des commentaires à faire sur cet article? Un témoignage à nous apporter? Des questions à poser? Surtout n’hésitez pas à poster ci-dessous vos commentaires. Nous vous répondrons avec grand plaisir.

Si vous pensez que ce post peut intéresser d’autres personnes, n’hésitez pas à le partager sur les réseaux sociaux.

Cyber-risques – Que fait le Conseil d’Administration?

Le Conseil d’Administration est en charge de s’assurer de la création de valeur pour les parties prenantes de l’Entreprise tout en optimisant les risques et les ressources. Le Conseil d’Administration, organe de Gouvernance de l’entreprise est donc directement concerné par les cyber-risques.

Le conseil d'administration

« La SEC (organisme fédéral américain en charge de réguler et de contrôler les marchés financiers), la FTC (agence américaine chargée de contrôler les pratiques commerciales) ainsi que d’autres organismes de réglementation (fédéraux, d’état, mondiaux) ont renforcé leurs évaluations des Entreprises en matière d’efforts réalisés pour sécuriser les données, ainsi que concernant les informations et la communication sur les risques en matière de cybersécurité et de violations des données. » comme l’indique KPMG dans son rapport On the 2015 Board Agenda.

Réagissant au grand nombre et à l’ampleur des vols de données qui n’ont fait qu’augmenter durant la dernière décennie, les agences gouvernementales commencent tout juste à durcir le ton et à envoyer des signaux clairs que la sécurité constitue désormais un sujet prioritaire pour les Entreprises.

Le commissaire Luis A. Aguilar de la SEC (Securities and Exchange Commission), parlant au New York Stock Exchange (NYSE) le 10 Juin 2014, a clairement indiqué la position de la commission. « La surveillance des cyber-risques par le Conseil d’Administration est essentielle pour assurer que les entreprises prennent des mesures adéquates pour prévenir les cyber-attaques et se préparer à faire face aux préjudices qui peuvent en résulter », a-t-il dit. Il a également émis un avertissement clair sur le fait que « les Conseils d’Administration qui choisissent d’ignorer ou de minimiser l’importance de leur responsabilité de surveillance de la cyber-sécurité, le font à leurs risques et périls ».

Depuis lors, le commissaire Aguilar est de nouveau monté au créneau pour lancer un nouvel avertissement sur les cyber-risques. « Cela ne devrait être une surprise pour personne que la cybersécurité soit devenue un point focal des efforts d’application de la SEC durant ces dernières années. Il est d’ailleurs de notoriété publique que la Division d’Application de la SEC investigue actuellement plusieurs cas de violation de données, » a-t-il dit lors du Sommet SINET innovation le 25 juin 2015. « En outre, la SEC a examiné de façon proactive comment elle peut, en utilisant son pouvoir actuel, obliger à l’application de mesures supplémentaires en matière de cybersécurité, et comment cette autorité pourrait devoir être étendue pour répondre aux menaces émergentes de cybersécurité ».

Cette nouvelle orientation des agences gouvernementales n’est cependant pas limitée aux États-Unis. L’Autorité Technique Nationale du gouvernement britannique pour la sûreté de l’information a ainsi déclaré que « la gestion proactive du cyber-risque au niveau du Conseil d’Administration est essentielle. » A cette fin, le gouvernement britannique a publié un document qui décrit les responsabilités et questions clés de cyber sécurité pour le Conseil d’Administration et le Management. Des ressources supplémentaires pour les conseils d’Administration incluent notamment un «Manuel de surveillance des Cyber-Risques», publié aux USA par l’Association Nationale des Administrateurs de Sociétés (NCAD).

Une réalité nouvelle pour le Conseil d’Administration

La nouvelle réalité à laquelle fait face chaque Conseil d’Administration est bien résumée dans Cybersecurity Docket : «Chaque Conseil d’Administration doit maintenant savoir avec certitude que sa société sera victime d’une cybe-rattaque, et pire encore, que c’est le Conseil qui aura la charge de nettoyer le gâchis et de surveiller les retombées » .

Comme dans tous les autres autres domaines de la conformité, les Administrateurs peuvent être tenus pour responsables pour ne pas avoir fait leur devoir afin de prévenir les dommages à la société. Dans l’exercice de leur rôle de surveillance, les Administrateurs doivent rester informés en permanence sur les mesures de cybersécurité de leur société. Ils doivent évaluer les risques et déterminer ce qui doit être fait pour les atténuer.

L’absence de surveillance adéquate des cyber-risques constitue une menace. «Les Administrateurs qui ne parviennent pas à prendre des mesures appropriées – à la fois avant et après un incident de sécurité de l’information – courent le risque que leur Entreprise soit soumise à l’application de mesures gouvernementales (lois ou réglementations), et qu’eux-mêmes soient personnellement sujets à des poursuites de la part des actionnaires », a expliqué le cabinet d’avocats Fredrikson & Byron.

KPMG, dans sa publication de Février 2015 sur les défis et priorités en matière de Gouvernance pour 2015 désigne la cybersécurité comme « LE problème du 21e siècle. » Au-delà du risque de conformité, le rapport souligne l’importance « des poursuites, des dommages à la réputation et de la perte de clients» comme conséquences potentielles.

Pourquoi les Conseils d’Administration peinent-ils à prendre en compte ce type de risques?

Selon le rapport d’Ernst & Young publié fin 2014 et intitulé « Cyber program management« , il y a plusieurs raisons pour lesquelles ils sont si réticents à s’engager sur la cybersécurité. Parmi ces raisons figurent :

  • le fait que l’internet et la connexion de l’Entreprise constituent juste l’un des nombreux sujets à l’ordre du jour d’un Conseil d’Administration,
  • la culture de silo au niveau de l’informatique qui a relégué la responsabilité de protection des données et des systèmes uniquement au niveau du département IT,
  • la difficulté pour le Conseil d’Administration d’évaluer correctement les risques de cyberattaques et le programme de gestion des risques associé mis en place par la direction,
  • et enfin l’approche de consolidation des défenses (contrôles préventifs de sécurité) tout en ignorant les capacités de détection et de réponse aux incidents.

Cependant, comme le commissaire Aguilar l’a déclaré à la Bourse de New York, les temps ont changé, et «s’assurer de l’adéquation des mesures de cybersécurité de l’entreprise aux risques doit être une préoccupation essentielle d’un Conseil d’Administration dans le cadre de ses responsabilités de surveillance en matière de risques. » Cela devrait figurer comme un slogan en lettres capitales sur le mur de la salle du conseil : les administrateurs ne peuvent plus balayer  d’un revers de main les Cyber-Risques. C’est leur responsabilité de surveiller la gestion de ces risques qui était autrefois déléguée au domaine informatique.

Comment doivent-ils s’y prendre pour assurer cette responsabilité?

Le Conseil d’Administration de chaque Enterprise doit désormais prendre le temps nécessaire sur son agenda pour surveiller les cyber-risques . Selon les termes du document « Cyber program management » d’E&Y, les Conseils d’Administration sont maintenant invités à discuter de la cybersécurité sur une base trimestrielle, voire même plus fréquemment.

Comment les administrateurs doivent-ils d’y prendre pour surveiller les cyber-risques? Le Commissaire Aguilar, de la SEC, a fourni des conseils dans son discours au NYSE. « Les Conseils d’Administration sont chargés de s’assurer que la Société a mis en place des programmes de gestion des risques appropriés et de surveiller la façon dont le management met en œuvre ces programmes, » a-t-il déclaré. C’est clairement la responsabilité du Conseil d’Administration de veiller à ce que la direction ait mis en place des protocoles de gestion des risques efficaces.

Quels conseils pouvons-nous donner aux administrateurs?

Un Conseil d’Administration doit veiller à la gestion des cyber-risques dans le cadre de son programme de gestion des risques à l’échelle de l’entreprise. Il doit également chercher à mieux comprendre les risques informatiques et ceux liés à l’utilisation d’internet, évaluer les pratiques actuelles en matière de cybersécurité et planifier ainsi que préparer les personnels de l’Entreprise, grâce à des tests réguliers, pour une cyber-attaque. En résumé, la responsabilité deux Conseil d’Administration va au delà de la cyber-sécurité. Il doit répondre de la cyber-résilience de la Société devant les parties prenantes.

Les administrateurs devraient se poser trois questions importantes :

  1. Comprenons-nous bien la nature des cyber-menace s’appliquant à notre Société?
  2. Est-ce que les processus et la structure du Conseil d’Administration permettent un dialogue de qualité sur les questions de cyber-résilience?
  3. Que faisons-nous pour nous maintenir au courant des évolutions constantes des cyber-menaces?

Nous vous proposons quelques pratiques clés pour susciter intérêt et l’attention du Conseil d’Administration sur les cyber-risques :

  • Demander désormais régulièrement des informations sur les cyber-risques, et pas seulement à la Direction Générale ou au DSI,
  • Cherchent à mieux comprendre la nature des cyber-risques et leur impact sur l’organisation,
  • Remettre en permanence en question la gestion de la cyber-sécurité et la cyber-résilience de l’organisation.

Par quoi commencer?

Il existe désormais des référentiels de bonnes pratiques et des normes dans les domaines de la sécurité de l’information (ISO 27001, ISO 27002) et de la cyber-résilience (RESILIA). Il en va de même pour la Gouvernance du Système d’Information qui est clairement, comme nous l’avons vu précédemment, à la charge du Conseil d’Administration, avec COBIT® et ISO 38500.

Une première étape, afin de sensibiliser les Administrateurs sur ces responsabilités nouvelles pour eux, consisterait à organiser une séance de sensibilisation sur les responsabilités du CA dans l’Entreprise du 21ème siècle au travers de programmes tels que :

COBIT® 5 pour les Conseil d’Administration et les Exécutifs (2 formats : session de 4 heures ou d’une journée). Cette formation couvre à la fois les responsabilités des Administrateurs et des membres du Comité de Direction.

RESILIA : Sensibilisation (2 formats : session de 4 heures ou d’une journée). Cette formation, plus orientée sur la stratégie de cyber-résilience et sa mise en oeuvre, s’adresse aux Administrateurs mais aussi, et surtout, aux membres du Comité de Direction.

La seconde étape consiste bien évidemment à élaborer une stratégie de cyber-résilience en lançant un programme adéquat et à rédiger des politiques de sécurité, de gestion des risques, des gestion des ressources humaines, etc. adaptées à cette stratégie. AB Consulting, seul organisme accrédité en Afrique sur l’ensemble des domaines concernés par ISACA, AXELOS, APMG, EXIN, PECB, vous propose toute une game de services d’évaluation / audit d’aptitude des processus de l’entreprise mais aussi d’évaluation de la maturité de votre Organisation, ainsi que d’accompagnement à la mise en oeuvre et de l’amélioration de la gouvernance du SI et la réalisation du programme de cyber-résilience, grâce à ses experts du domaine.

Nous vous proposons également nos formations accréditées et certifiantes telles que :

ISO 27001 Practitioner Bootcamp (Foundation et Practitioner sur 5 jours – Certification APMG) destiné aux personnels en charge de l’implémentation d’un Système de Management de la Sécurité de l’Information dans votre Organisation

ISO 27001 Lead Implementer (5 jours – Certification PECB) destiné aux responsables du projet d’implémentation du SMSI

RESILIA Practitioner Bootcamp (Foundation + Practitioner sur 5 jours – Certification AXELOS®) destiné aux personnels en charge d’implémenter la cyber-résilience du système d’information

COBIT Implementation Bootcamp (Foundation + Implementation sur 5 jours – Certification APMG/ISACA) pour les personnes participant à l’amélioration ou l’implémentation de la Gouvernance du SI.

ISO 38500 Corporate IT Governance Manager (3 jours – Certification PECB)

Nous proposons également de nombreuses autres formations sur ce domaine, notamment destinées aux personnels des entités métiers des entreprise ainsi qu’aux auditeurs et contrôleurs.

Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir remplir le formulaire de contact :

Cyber-sécurité vs cyber-résilience

On entend de plus en plus parler de cyber-sécurité et de cyber-résilience. Mais au final, qu’est-ce qui se cache derrière ces termes compliqués pour le commun des mortels ? C’est ce que nous allons essayer d’expliquer au travers de cet article.


cyber-curité vs cyber-résilience

Sécurité ou Résilience ? De quoi parlons-nous ?

Sous l’administration Obama, les décisions prises par la Maison Blanche en matière de sécurité nationale portent le nom de Directives Politiques Présidentielles (Presidential Policy Directives – PPD). La PPD 21 publiée en 2013 porte sur la sécurité et la résilience des infrastructures critiques et définit les contraintes à respecter dans ce domaine par l’ensemble des acteurs impactant la société américaine.

Cette directive, qui peut être vue comme une référence en la matière définit les termes suivants :

La sécurité consiste à réduire le risque pour les infrastructures par des moyens physiques ou mesures de cyber-défense à des intrusions, les attaques ou les effets des catastrophes naturelles ou causées par l’homme.

Exemples de mesures de sécurité:

  • Badge aux portes d’entrée
  • Utiliser un logiciel antivirus
  • Clôture autour des bâtiments
  • Verrouillage des écrans d’ordinateur

La résilience est la capacité à préparer et à s’adapter à des conditions changeantes, de résister et de récupérer rapidement suite à des perturbations subies. La résilience comprend la capacité de résister et de se remettre d’attaques délibérées, d’accidents, ou de catastrophes naturelles ou encore d’incidents.

Exemples de mesures de résilience:

  • Élaboration d’un plan de continuité d’activité
  • Prévoir un générateur électrique de secours
  • Utilisation de matériaux de construction durables

Le préfixe Cyber, pour sa part fait référence à toutes les techniques liées à la société du numérique et notamment à l’informatique et à l’internet.

On pourrait donc résumer de la façon suivante :

la cyber-sécurité consiste à réduire les risques d’intrusion, d’attaques ou les effets de catastrophes naturelles ou causées par l’homme dans le cadre de l’utilisation des moyens informatiques et de communication,

alors que

la cyber-résilience est la capacité à se préparer et s’adapter à des conditions en perpétuelle évolution ainsi qu’à récupérer rapidement ses capacités suite à des attaques délibérées, des accidents, des catastrophes naturelles ou encore des incidents dans le cadre de l’utilisation de moyens informatiques et de communication.

 Des différences essentielles

Il résulte de ces deux définitions que le périmètre de cyber-sécurité couvre essentiellement la réduction des risques et la résolution des incidents de sécurité de l’information alors que la cyber-résilience est beaucoup plus large et couvre à la fois la préparation à subir des attaques (prévention) et par dessus tout à pouvoir continuer et reprendre une activité business normale (correction) très rapidement suite à une attaque, une catastrophe naturelle ou des incidents liés à la sécurité de l’information.

La sécurité n’est-elle donc pas suffisante en soi?

La réponse est clairement négative. La sécurité vise à prévenir les incidents de sécurité et à gérer ces incidents mais ne prépare pas l’Organisation à faire face aux conséquences d’une cyber-attaque et à récupérer ses aptitudes à créer de la valeur après en avoir été la victime.

Pouvons-nous utiliser les mêmes référentiels et normes ?

Là encore la réponse est négative, du moins en partie. La cyber-sécurité pouvant être vue comme un sous ensemble de la cyber-résilience, il est clair que les référentiels et normes en matière de sécurité constitueront une première étape mais il convient d’élargir très sensiblement le périmètre pour couvrir les aspects de cyber-résilience.

Quelques exemples des normes et de référentiels :


Sécurité :

  • ISO 27001 – Systèmes de Management de la sécurité de l’information – Exigences
  • ISO 27002 – Code de bonne pratique pour le management de la sécurité de l’information

Cyber-résilience :

  • RESILIA – Bonnes pratiques de Cyber-Résilience
  • ISO 22301 – Systèmes de management de la continuité d’activité – Exigences

Cyber-résilience: un enjeu majeur pour les organisations

La cyber-résilience vise à gérer la sécurité en adoptant une approche globale impliquant à la fois les individus, les processus et la technologie. Elle impose une méthodologie à la fois solide et évolutive de gestion, d’analyse et d’optimisation des risques. Elle se pose comme le meilleur garant du capital informationnel des entreprises, organisations, états et individus. La cyber-résilience s’appuie sur cinq piliers que sont la préparation/ l’identification, la protection, la détection, la résolution des problèmes et la récupération. Dans cette approche, il est donc essentiel de se poser les bonnes questions, d’adopter les bonnes mesures et de les réévaluer à un rythme régulier et de façon pragmatique, afin de gérer au mieux les cyber-risques.

Dès lors que les entreprises ont compris que les cyber-attaques les affecteront tôt ou tard, indépendamment des efforts de prévention qu’elles auront mis en oeuvre et seront couronnées de succès, elles peuvent passer à l’étape suivante: la conception et l’implémentation d’un Programme de Cyber-Résilience (PCR). Un PCR englobe bien sûr les concepts de défense et de prévention, mais va au-delà de ces mesures pour mettre l’accent sur la réponse et la résilience de l’organisation dans les moments de crise.

Un PCR robuste implique:

  • La définition des risques d’entreprise. Oubliez la « liste de contrôle de conformité ». Oubliez les règlementations qui régissent votre secteur d’activité pendant un moment. Il suffit de regarder votre entreprise. Au lieu de vous concentrer sur les entrées, focalisez votre attention sur les résultats. Dans le cas d’une cyber-attaque, quelles conséquences seront supportables par l’Organisation? Qu’est-ce qui vous tuera? Cela vous indiquera ce que vos «joyaux de la couronne » sont … et où vous avez besoin d’investir du temps et des ressources.
  • Le développement d’une politique de sécurité. Comme nous le disions, la cyber–résilience inclut la cyber-sécurité. Mais la sécurité se concentre désormais très directement sur les menaces pesant sur vos actifs clés (y compris les personnes, les processus et la technologie qui sont connectés à, ou ont accès à ces actifs), et sur les contrôles qui peuvent atténuer ces menaces.
  • Délimiter un plan de cyber-relance. Que ferez-vous pour assurer la priorisation, l’agilité et l’adaptabilité face à une cyber-attaque réussie? Votre plan doit être précis, complet et rigoureux. Lorsque l’attaque aura eu lieu, il sera beaucoup trop tard pour y penser.
  • La détermination d’un programme régulier de test. C’est la pratique qui rend parfait … donc mettez régulièrement votre plan de cyber-reprise à l’épreuve pour vous assurer que vous avez bien mis en place et pouvez compter sur la cyber-résilience dont vous avez besoin. Et testez bien vos comportements de sécurité au fur et à mesure que l’environnement évolue. Ils doivent suivre cette évolution.

Les entreprises doivent absolument accepter ce changement de paradigme qui consiste à passer de la cyber-sécurité à la cyber-résilience et d’en tirer des avantages stratégiques. Cela signifie focaliser l’énergie et des ressources sur les cyber-risques qui vraiment pourraient générer un impact sur l’entreprise, et sur les mesures qui fourniront des idées et des avertissements au sujet de ces risques.

L’impact business de la cyber-résilience

Passer d’une vision purement basée sur la cyber-sécurité à une vision de cyber-résilience exige trois changements clés dans l’entreprise:

  • Perspective. Passer du « Comment ? » au « Quoi ? ». Au lieu de se demander: «Avons-nous telle ou telle mesure de sécurité en place? », Les chefs d’entreprise ont besoin d’en savoir davantage sur leurs actifs et la façon dont ils sont protégés.
  • Budget. Trouver le bon équilibre entre le coût et les risques. Traiter tous les actifs et tous les risques à égalité n’est jamais rentable. Les chefs d’entreprise ont besoin de pondérer des budgets informatiques limités pour protéger leurs actifs les plus importants avec la plus grande rigueur.
  • Attentes. Les temps où on demandait des niveaux de 100% en matière de cyber-sécurité sont révolus. Les chefs d’entreprise ont besoin d’être préparés, d’anticiper les failles et les attaques, et d’avoir un plan pour limiter les impacts sur la la réputation, les finances et les opérations de l’Organisation.

Cette évolution permettra d’aligner les dépenses liées à la cyber-résilience avec les priorités des entreprises, de maximiser le retour sur investissement et de réduire les risques ciblés.

Des partenariats sont absolument nécessaires

Les entreprises trouveront difficile de faire la transition vers la cyber-résilience par elles-mêmes. Un consultant indépendant qui peut tirer parti d’une expérience terrain auprès d’autres Organisations et des meilleures pratiques du marché peut être un atout précieux. Un tel partenaire stratégique peut alors agir comme une extension de votre équipe informatique et de sécurité, en s’appuyant sur des processus et des outils avancés pour assurer à la fois la cyber-sécurité et la résilience contre la cybercriminalité.

Avec un partenaire de confiance, vous serez dans une position forte pour créer une stratégie et un plan exécutable qui vous permettront d’améliorer votre sécurité. Mais n’acceptez jamais des solutions toutes faites sorties d’un catalogue et soyez exigeant sur les références et accréditation par des organisations internationales de vos partenaires. Ils doivent vous apporter des conseils fiables et objectifs pour établir une relation de confiance et réduire votre risque.

La gouvernance au coeur des projets

Qu’entend-on par « Gouvernance »?

gouvernance projetsLe terme gouvernance renvoie aux actions de gouverner, de donner la direction ou encore de contrôler.

Définir une gouvernance implique de décrire le mode de management et le cadre organisationnel à appliquer. L’objectif est d’identifier clairement les rôles et les responsabilités des acteurs de manière à assurer le bon déroulement, la continuité et la pérennité des activités.

Au niveau des projets lancés au sein de la structure, la gouvernance englobe principalement les sujets inhérents aux activités de pilotage des projets

Autrement dit, on cherche à résoudre à travers la notion de gouvernance l’éternelle problématique de la circulation efficace de l’information et de la prise de décisions au sein d’un projet. Une gouvernance efficace doit donc permettre à l’Organisation que seuls les projets viables et rentables sont réalisés, aux chefs de projet une remontée rapide des alertes et des besoins d’arbitrage et aux décideurs une prise de décision aisée sur la base d’informations claires, fiables, exhaustives et régulières.

La gouvernance doit également s’assurer que les risques inhérents aux projets sont sous contrôle, que la conformité réglementaire et légale est assurée pour les projets de l’entreprise et que la transparence requise est bien fournie à toutes les parties prenantes.

Pourquoi une gouvernance pour les projets?

La réalisation d’un projet implique la gestion de nombreux éléments :

  • les prises de décisions
  • le choix des partenaires et celui des stratégies à mettre en place
  • la mise en œuvre et la réalisation d’activités quotidiennes
  • la collecte de données
  • la création de contenu
  • la coordination des ressources humaines, les choix technologiques
  • l’achat de matériel et de logiciels
  • le financement
  • l’évaluation des résultats, etc.

La complexité et l’envergure de cette gestion peuvent parfois provoquer des conflits et être source de malentendus. Afin d’assurer une gestion harmonieuse, il est préférable de prévoir à l’avance des mécanismes de gouvernance qui orientent, guident et définissent la coordination du projet.

Comment implémenter une gouvernance efficace?

Une des premières questions à se poser consiste à savoir si le projet identifié contribue efficacement à la vision et à la mission de l’Organisation telle que définie par son conseil d’administration. Ensuite  il convient de définir comment on veut gouverner ce projet. Déterminer au plus tôt la gouvernance d’un projet est structurant pour son bon déroulement. Car, la réussite d’un projet ne se limite pas à la fourniture d’une solution répondant au besoin mais inclut également le respect du cadre initialement délimité en termes de délais, de coûts et de qualité ce qui nécessite un suivi sérieux et régulier.

La question qui se pose est la suivante : existe-il une approche standard ? Un modèle de gouvernance unique applicable dans tous les cas? La réponse est non. Etant donné que chaque projet est différent et correspond à un concept unique, le type de gouvernance ne peut être le même.

Le rôle des conducteurs de travaux et des chefs de projets est justement de trouver la solution sur-mesure. Par ailleurs, la gouvernance retenue pour le projet peut être amenée à évoluer. Elle doit être revisitée lorsque cela s’avère nécessaire. Définir une gouvernance s’inscrit donc dans un cycle d’amélioration continue.

Sept piliers pour la gouvernance des projets

1. Comment clarifier et communiquer les objectifs du projet?

Le cas d’affaire constitue la base de la définition des objectifs de tout projet. C’est sur la base de ce document essentiel que l’Organisation se basera pour déterminer si les projet correspond bien à la stratégie globale et contribuera de façon efficace et efficiente à satisfaire les besoins des parties prenantes. Le cas d’affaire restera, durant toute la durée du projet, jusqu’à sa clôture, le document de référence permettant d’évaluer si le projet reste viable et nécessaire et le cas échéant permettra à la Direction de l’Entreprise d’clôturer le projet de façon anticipée si celui-ci n’a plus rien à apporter à la stratégie globale.

2. Quelle méthodologie de gestion de projet utiliser?

Il est important, si aucune méthodologie de gestion de projet n’est retenue pour tous les projets d’Entreprise, d’en choisir une qui réponde aux besoins de l’Organisation. Les question auxquelles il convient de répondre sont les suivantes :

  • Quel est le niveau de familiarisation de l’équipe et particulièrement du chef de projet avec les méthodologies du marché?
  • Quelle est l’expérience du chef de projet en matière de gestion de projets?
  • Quel est le contexte de l’entreprise en terme de management (réactif vs proactif, aptitude à planifier, management par exception ou micro-management, aptitude à déléguer, etc.)?
  • Quelle est le contexte Business de l’Organisation (changements rapides et besoin de réactivité important ou changements plus planifiés dans le temps)?

Sur le marché, il existe deux grands référentiels de management de projets: PMP® et PRINCE2®. Sur ces deux méthodologies majeures, viennent se greffer des méthodes « Agiles » (PRINCE2® Agile, …).

3. Quelles structures de contrôle et de décision?

Le projet doit se doter d’instances de pilotage. Ces instances doivent en particulier servir pour arbitrer quand nécessaire, obtenir des ressources complémentaires etc…

Si les propositions de gouvernance peuvent venir du chef de projet, leur mise en place ne peut se faire sans le sponsor du projet, seul autorisé à inviter des dirigeants en comité de pilotage.

4. Quelles qualités attendre des membres de l’équipe?

Les qualités de savoir-être des membres de l’équipe sont très importantes pour la réussite d’un projet et notamment celles du chef de projet dont les aptitudes suivantes sont clés :

  • Sens de l’écoute
  • Habilité à la négociation et diplomatie
  • Gestion d’équipe
  • Autonomie et organisation
  • Résistance au stress
  • Disponibilité
  • Capacité à communiquer
  • Capacité à déléguer

5. Quel type de reporting mettre en place?

Le reporting doit permettre aux instances dirigeantes de l’organisation de comprendre le statut actuel du projet en quelques lignes.  S’il est trop long vous aurez du mal à cerner l’essentiel du contenu.

Ce dont vous avez besoin c’est celui que vous avez le temps de lire, celui qui prend 1h par semaine à votre chef de projet, celui de 10 slides en compil mensuelle et de 10 lignes sur un mail hebdomadaire.

6. Quels outils utiliser pour gérer les projets?

La gestion d’un projet nécessite au quotidien, pour le chef de projet, d’avoir à sa disposition l’ensemble des informations à jour sur l’avancement du projet pour pouvoir prendre les décisions qui s’imposent et, éventuellement, en cas d’anomalie importante, d’escalader une requête au Comité de Pilotage en charge de diriger le projet. Pour ce faire il convient de choisir les outils adaptés à la taille du projet et de s’assurer que l’ensemble des membres de l’équipe projet seront autonomes dans leur utilisation.

7. Quelles sont les compétences requises pour réaliser le projet?

Le choix du chef de projet, en particulier est un choix difficile et lourd car il sera presque impossible de le remplacer ensuite.

Les erreurs de choix sont en effet très lourdes pour les acteurs et le projet :

Le choix du chef de projet est essentiel car il compte dans tous les facteurs de succès des projets. Il va faire clarifier les objectifs, va obtenir le soutien des responsables, va organiser les ateliers utilisateurs, va définir les dates clés intermédiaires. Il doit par ailleurs disposer d’une expérience au sein de l’entreprise lui permettant d’anticiper toutes les problématiques de disponibilités des ressources internes ou des problématiques politiques internes, d’une expériences projets du même type avec des enjeux similaires d’un sponsor projet fort et concerné d’une légitimité lui permettant de faire entendre son avis notamment lors de la phase amont

Enfin, il doit maitriser les principes méthodologiques de gestion de projet, quitte à participer à une formation adaptée en amont du projet.

 

 

Catégories

Archives

Calendrier

janvier 2018
L M M J V S D
« Déc    
1234567
891011121314
15161718192021
22232425262728
293031  
%d blogueurs aiment cette page :