La cybercriminalité : Quel est le plus préjudiciable : perdre des données ou perdre la confiance?

Par

EY Canada

Organisation de services professionnels multidisciplinaires

5 minutes de lecture 9 avr. 2019

Une cyberattaque peut détruire la confiance. Pour maintenir ou restaurer la confiance, les cyberstratégies doivent protéger et optimiser une organisation, et lui donner des moyens.

Les nouvelles technologies exposent les sociétés de services financiers à de plus grandes vulnérabilités. Tandis que la cybersécurité favorise l’innovation et le changement, les répercussions continues des cyberattaques les cyberattaques; menacent d’ébranler la confiance dans de nombreuses organisations. Et plusieurs d’entre elles doivent encore fournir les cycles de cyberrésilience et la protection nécessaires pour maintenir ou restaurer la confiance de leurs clients et des parties prenantes.

Ces dernières années, la confiance entre le public et les grandes institutions s’est sérieusement étiolée. Cette situation est exacerbée par les tendances macroéconomiques et géopolitiques, ainsi que par les préoccupations concernant la protection des données et la cybersécurité. À mesure que les clients fournissent davantage de données, protéger ces données coûte plus cher pour les entreprises. Non seulement y a‑t‑il un impact opérationnel immédiat, mais la réputation de la marque pourrait être menacée à long terme.

Garantir la confiance est essentiel pour les entreprises souhaitant maintenir la valeur à long terme de leurs activités, de leurs produits et de leurs services. En fait, le Baromètre de confiance Edelman 2018 révèle que l’instauration de la confiance est la tâche la plus importante pour les chefs de direction d’aujourd’hui. La cybersécurité est une priorité croissante.

Le Sondage mondial sur la sécurité de l’information d’EY indique que la cybersécurité constitue le dossier le plus brûlant, les entreprises s’efforçant d’optimiser leurs programmes. À l’ère numérique, beaucoup ont encore un long chemin à parcourir pour mettre au point leurs capacités. 

La cybersécurité est une priorité grandissante

6 %

des entreprises de services financiers affirment que la fonction de sécurité de l’information répond actuellement aux besoins de leur organisation.

Le sondage révèle que « seuls 6 % des entreprises de services financiers affirment que leur fonction de sécurité de l’information répond actuellement aux besoins de leur organisation, mais que 65 % de ces entreprises prévoient apporter les améliorations requises. » Dans un sens, ces résultats sont étonnants. Mais, si l’on réfléchit à tous les chocs du système, au rythme soutenu des nouvelles cyberattaques et au risque accru pour la marque d’une entreprise (perte de données, manquement ou réputation), les chiffres ne sont pas surprenants. Les entreprises de services financiers pensent-elles vraiment que leur équipe de sécurité est la mieux placée pour protéger leur organisation? La plupart répondraient que non. Et pour celles qui disposent d’un programme de lutte contre les cyberrisques, le rythme des améliorations doit s’accélérer.

Les organisations de ce secteur sont les plus préoccupées par l’immaturité de leurs processus de sécurité de l’information dans les domaines de l’architecture (inexistante ou très immature pour 18 % des répondants), des mesures et des comptes-rendus (18 %) et de la gestion des actifs (17 %), selon les résultats du sondage. Il est à craindre que l’expertise en cybersécurité ne soit pas aussi investie qu’elle devrait l’être dans la transformation en cours. La plupart des organisations sont en pleine transformation numérique et envisagent d’ajouter l’intelligence artificielle (IA), la robotique et des données clients de plus grande valeur dans leurs modèles opérationnels. Toutefois, les cyberdonnées, les mesures et les comptes-rendus devraient être intégrés au système dès le départ pour aboutir à un changement transformationnel agile – ce qui n’est, de toute évidence, pas le cas à l’heure actuelle. Si vous mettez en place les systèmes et le niveau de sécurité appropriés dès la phase de conception, il est plus facile de combler les lacunes et les défauts dans le cycle de vie.

La préparation exige un haut niveau de formation de la part de la direction. Mais le manque de compétences dans ce domaine est une préoccupation constante. En fait, 31 % des participants au sondage préviennent que la pénurie de compétences est un obstacle potentiel. Les employés peuvent également constituer une menace importante pour une organisation. Certaines fonctions de cybersécurité peuvent être automatisées grâce à l’utilisation de la robotique et de l’IA, ce qui réduit les risques et améliore souvent l’efficacité. L’innovation représente l’une des plus grandes opportunités pour l’industrie, et la technologie peut aider à accélérer le niveau de changement organisationnel. Un degré élevé de confiance dans l’entreprise est en corrélation avec le rôle essentiel que joue la conduite du changement. 

Insuffisance des comptes-rendus du conseil d’administration

84 %

des entreprises n’obtiennent pas de comptes‑rendus adéquats du conseil d’administration en ce qui concerne les cyberrisques.

Laisser les conseils d’administration dans l’ignorance

Bien que la majorité des fonctions liées à la cybersécurité soient en interne, les comptes‑rendus des conseils d’administration sont insuffisants. Le sondage indique que 84 % des entreprises ne reçoivent pas de comptes‑rendus adéquats des conseils d’administration en ce qui concerne les cyberrisques. Les sociétés de services financiers sont de plus en plus tributaires des données. Si les comités de risque et d’audit des conseils d’administration ne disposent pas des données dont ils ont besoin, comment peuvent‑ils influer efficacement sur le changement? 

Si votre entreprise fait l’objet d’une attaque ou d’une violation de données, et qu’elle n’a pas une vision claire des risques, comment sera‑t‑elle préparée?

Si vous prenez du recul, le cyberrisque est important et grandissant, et il ne disparaîtra pas. Si votre entreprise fait l’objet d’une attaque ou d’une violation de données, et qu’elle n’a pas une vision claire des risques, dans quelle mesure sera‑t‑elle préparée? Quelles sont les conséquences du risque lié à la réputation et de la perte de confiance dans votre organisation? Nous constatons régulièrement que lorsque les organisations subissent une violation, elles ne sont pas bien préparées. Les simulations et les exercices sont un moyen efficace de réagir aux difficultés. Lorsqu’un incident est rapporté dans les médias, on peut penser qu’une autre réponse aurait pu être apportée.

La technologie change la forme des activités bancaires, exposant davantage les banques aux risques. Un certain nombre d’entreprises finissent par créer des banques « complètement nouvelles » pour soutenir leurs activités traditionnelles. Avec le développement de la cybersécurité, il sera essentiel d’intégrer ces banques dans le changement. Pourtant, nous entendons souvent dire : « la cybersécurité va nous ralentir. Nous n’avons pas le temps de l’attendre. Nous avons besoin des résultats maintenant ». C’est préoccupant.

Penser à l’écosystème, pas seulement aux serveurs

Un domaine qui n’est pas mis en évidence dans le sondage est l’écosystème. La chaîne d’approvisionnement au sein des services financiers est très complexe, présentant des risques pour les entreprises qui recourent à l’impartition. Il est de plus en plus évident que les pirates informatiques ciblent les tiers qui se trouvent à l’extrémité faible de cet écosystème en accédant aux données comme entrée dans le secteur des services financiers. Il est important pour les entreprises de bien savoir où se trouvent les données de leurs clients si elles veulent sécuriser la chaîne d’approvisionnement de l’écosystème.

À l’échelle mondiale, la protection de la vie privée et des données personnelles des consommateurs fait partie de la cybersécurité et le restera. Les organisations doivent réfléchir à la façon dont elles utilisent les données (et non seulement à la façon dont la loi peut les protéger) tout comme à l’aspect éthique. Vous voulez de la valeur et vous devez vous conformer à la réglementation, mais le faites‑vous de la bonne façon?

Au cours des 12 prochains mois, les entreprises de services financiers doivent se préparer, en élaborant des stratégies durables, tout en assurant à tout prix la sécurité des données et en les partageant avec des partenaires de confiance externes. Le défi consistera à protéger leur entreprise, à optimiser la cybersécurité et à accélérer le rythme de la croissance. 

Par Steve Holt, associé d’EY, secteur des services financiers de l’EMOIA

Résumé

Il peut difficilement y avoir un risque sans récompense – et ne rien faire est le plus grand risque! Les entreprises qui disposent de solides plateformes sont en mesure de se développer et d’établir la confiance à long terme qui, selon nous, constituera un avantage concurrentiel critique à l'avenir

À propos de cet article

Par

EY Canada

Organisation de services professionnels multidisciplinaires