Il y a seulement une vingtaine d’années de cela encore la plupart des entreprises fonctionnaient avec des grands cahiers ou peut-être grands fichiers Excel. Aujourd’hui, les entreprises de plus en plus se tournent vers le cloud computing (que ce soit privé ou public) qui consiste à exploiter la puissance de calcul ou de stockage de serveurs informatiques distants, localisés sur Internet. Ils utilisent des systèmes informatiques complexes, supportés par une infrastructure réseau informatique tout aussi complexe. Ces applications communément appelés progiciels de gestion intégrée (Entreprise Ressource Planning) comme ACCPAC, QUICKBOOKS, SAP, MS Dynamics Navision sont de plus en plus implémentées dans les entreprises en Haïti. De plus, le nombre grandissant d’appareils intelligents (smartphone, smarttv, smartwatch, etc.) tous connectés sur le réseau de l’entreprise génère ce qu’on appelle un risque technologique…
En effet, l’informatique n’étant pas une finalité en soi, mais simplement un outil afin d’être plus compétitif ou productif, se pose le problème de la protection des actifs informatiques (que ce soit matériels ou informationnels). Aucun système n’étant à 100% fiable, il devient donc une nécessité pour toute entreprise d’implémenter des stratégies de sécurité informatique, d’établir un ensemble de procédures y relatives et s’assurer que des contrôles soient en place permettant notamment le monitoring d’activités frauduleuses à travers le système informatique.
C’est devenu sérieux et… dangereux
Vous le savez, sans doute, certaines entreprises de la place ont subi des attaques informatiques et ont eu des dégâts considérables. Des attaques informatiques comme l’ingénierie sociale, le phishing sont de plus en plus courant en Haïti. La situation est telle qu’àtravers le monde aujourd’hui, des centaines de postes, en sécurité informatique sortent chaque jour afin de recruter des professionnels informatiques capables de garantir et veiller que le triangle C.I.A. (Confidentiality – Integrity – Availability) soit respecté. En d’autres termes que les données confidentielles ne soient pas accessible à un quidam, en second lieu que les données ne soient pas modifiables par n’importe qui et conservent leur intégrité (I) et enfin que les données soient toujours disponibles pour les utilisateurs légitimes du système.
La sécurité informatique ne se résume pas à la lutte contre les virus et les spams. Les PME doivent avant tout se protéger contre les fuites de données.La sécurité informatique devient donc un combat quotidien et une priorité pour les entreprises de nos jours dans la mesure où la protection des actifs informationnels de l’entreprise et leur infrastructure informatique est cruciale : être à l’abri de toute attaque de tout pirate informatique sur toute forme est l’objectif. Donc, la mission du département de sécurité informatique est de mitiger ce risque technologique en réduisant la surface d’attaque. L’idée c’est de réduire premièrement le facteur vulnérabilité, par la mise en place de mesures de sécurité ciblées puis, en second lieu, réduire l’impact potentiel, en implémentant notamment un système de redondances des données.
Mais quelle garantie que les contrôles mis en place sont effectifs?
En 2016,lors d’un séminaire organisé par l’Association nationale des auditeurs en systèmes d’informations (ANASIH), j’entendis pour la première fois le concept d’audit technologique. En effet, je ne pensais pas qu’on pouvait faire un audit informatique. La certification CISA (Certified Information System Auditor) de l’ISACA (Information Systems Audit and Control Association) est l’unique accréditation professionnelle reconnue mondialement en la matière.
Malheureusement, en Haïti, on entend souvent parler d’audit comptable ou financier, mais pas de l’audit informatique. Cela va de soit, l’audit technologique n’est pas obligatoire en Haïti (bien que réalisé par quelques rares grandes entreprises de la place). Et c’est la raison pour laquelle il faut tirer la sonnette d’alarme, car les secteurs public et privé haïtiens doivent prendre l’habitude de se faire auditer du point de vue informatique. Ici réside tout le danger pour les entreprises haïtiennes dans cette ère ou la cybercriminalité fait rage. Parce que les entreprises utilisent des systèmes d’information de plus en plus complexes ainsi que des applications informatiques spécialisées pour différents besoins, ce qui représente donc un niveau de risque que l’entreprise doit prendre en compte. Maintenant, comment savoir que vous avez une bonne politique BYOD (Bringyourowndevice) en place? Comment savoir que les contrôles de sécurité informatique répondent aux attentes du business? Comment savoir si vos données électroniques ne sont pas volées, modifiées ou en train d’être utilisées à d’autres fin? Comment savoir que vous n’avez pas un trou de sécurité dans votre réseau informatique ou que les politiques en place pour les contrôles informatiques sont adéquats? Comment savoir si les données de vos clients sont protégées conformément au règlement général sur la protection des données (GDPR) ?
L’audit informatique tout comme l’audit comptable et financier est un examen des états financiers d’une entreprise, l’audit informatique a pour objectif d’identifier et d’évaluer les risques associés aux activités informatiques d’une entreprise ou d’une administration et de recommander les contrôles nécessaires afin de transférer,mitiger ou éliminer ces risques. Êtes-vous au courant des pertes économiques ou de réputation que peut endurer votre entreprise en raison d’une absence de gestion des risques informatiques ?
