1

L ' AV E N I R D E L ' A U D I T T I E T

D E L A S É C U R I T É À L ' È R E

D E L A P E RT U R B AT I O N

N U M É R I Q U EROB CLYDE, CISM, NACD BOARD LEADERSHIP FELLOW

BOARD OF DIRECTORS PAST CHAIR, ISACA

BOARD OF DIRECTORS, TITUS

EXECUTIVE CHAIR, WHITE CLOUD SECURITY

AGENDA

• L’avenir: numérique par défaut

• Recherche actuelle, tendances et

menaces

• Technologies émergentes et les

rôles de sécurité et d’audit

• Comment nous préparer pour

l'avenir et l’industrie 4.0.

10/14/2019 ® 2018 ISACA. All Rights Reserved.2

L’AVENIR:NUMÉRIQUE PAR DÉFAUT

LES NOUVELLES – ET ANCIENNES – ENTREPRISES MANUFACTURIÈRES

SONT MAINTENANT DES ENTREPRISES LOGICIELLES

10/14/2019 ® 2018 ISACA. All Rights Reserved.4

“Tesla est une

compagnie

logicielle

tout autant

qu’elle est une

compagnie de

matériel”E L O N M U S K

T E S L A C E O

“Le logiciel

est une

compétence

essentielle chez

General Motors”

M A R Y B A R R A

G E N E R A L M O T O R S C E O

10/14/2019 ® 2018 ISACA. All Rights Reserved.5

UNE ENTREPRISE NUMÉRIQUE

REPOSANT SUR UN LOGICIEL

OPPORTUNITÉS DE CROISSANCE AVEC LA

TRANSFORMATION NUMÉRIQUE

10/14/2019 ® 2018 ISACA. All Rights Reserved.6

NATIONAL ASSOCIATION OF CORPORATE DIRECTORS

• Réinvention numérique

• Engagement des clients

• Processus principal de l’entreprise

• Tirer parti de la flexibilité et de l'agilité

des architectures modernes

RECHERCHES RÉCENTES,

MENACES ET TENDANCES

10/14/2019 ® 2018 ISACA. All Rights Reserved.7

«GLOBAL RISKS REPORT 2019» – FORUM ÉCONOMIQUE MONDIAL

10/14/2019 ® 2018 ISACA. All Rights Reserved.8

• Conséquences

negatives des avancées

technologiques

• Pannes des

infrastructures critiques

• Cyber attaques

• Fraudes et vol de

données

PLUS GRANDES CYBER-MENACES ET DÉFIS ÉMERGENTS EN 2019

10/14/2019 ® 2018 ISACA. All Rights Reserved.9

SECURITY MAGAZINE, MIT TECHNOLOGY REVIEW

• Crypto jacking

• Corruption de logiciel

• Attaques contre les écosystèmes des

cryptomonaies

• Cyberpolitiques: mouvement lent,

attentes accrues en matière de

divulgation

• Emulation de la menace (ATT@CK)

• Solutions d’identité pour l’infonuagique

• Authentification mobile

• Emphase des clients sur la gestion du

risque

• Fausses vidéos et audio générés

par l’IA

• Corruption des defenses de l’IA

• Piratage de contrats intelligents

• Casser le chiffrement à l'aide

d'ordinateurs quantiques

• Attaquer depuis le nuage

https://www.securitymagazine.com/articles/89581-the-biggest-cyber-threats-to-watch-out-for-in-2019;

https://www.technologyreview.com/s/612713/five-emerging-cyber-threats-2019/

IT AUDIT BENCHMARKING SURVEY PAR ISACA & PROTIVITI

10/14/2019 ® 2018 ISACA. All Rights Reserved.10

Principaux défis technologiques

1. Sécurité des TI et protection de la vie

privée/cybersécurité

2. Gouvernance et gestion des

données

3. Technologies émergentes et

changements d’infrastructures –

transformation, innovation,

perturbation

4. Défis en ressources / dotation /

expertise

LES PLUS GRANDS DÉFIS EN AUDIT TI: TECHNOLOGIES, TALENT CHANGEMENT

10/14/2019 ® 2018 ISACA. All Rights Reserved.11

• Les innovations modifient

le profil de risque et

l’environnement de

contrôle

• Rester en phase

représente un fardeau

important pour les

équipes d'audit TI

ÉTAT DE LA CUBERSÉCURITÉ 2019 : PORTRAIT DE LA MENACE

POUR LES ORGANISATIONS ATTEINTES CETTE ANNÉE,

LES 3 PRINCIPAUX RESPONSABLES SONT:

CYBERCRIMINELS

INTERNES

BIEN INTENTIONNÉS

SEULEMENT

34% SONT TRÈS CONFIANTS

Les répondants qui relèvent d'un RSSI (CISO) ont une

plus grande confiance envers la capacité de leur équipe

de cybersécurité à détecter les cybermenaces et à y

répondre

Indiquent que la cybersécurité relève du

RSSI (CISO) DE LEUR ORGANISATION

ÉTAT DE LA CYBERSÉCURITÉ 2019 : NIVEAU DE COMPÉTENCE

10/14/2019 ® 2018 ISACA. All Rights Reserved.13

CANDIDATS QUALIFIÉSRECHERCHÉS

INDIQUENT QUE

MOINS DU QUART

Des candidats sont qualifiés pour le poste

en cybersécurité pour lequel ils postulent

INDIQUENT QUE

LES DIPLÔMÉS D’UNIVERSITÉ

ne sont pas préparés pour les défis qui les

attendent

PRÈS DE

LES MODIFICATIONS RÈGLEMENTAIRES COMPORTMENT DES CHANGEMENTS POUR L’AUDIT ET LA SÉCURITÉ

10/14/2019 ® 2018 ISACA. All Rights Reserved.14

BAROMÈTRE DE LA TRANSFORMATION NUMÉRIQUE D'ISACA

10/14/2019 ® 2018 ISACA. All Rights Reserved.15

Les organisations qui sont en avance

dans la transformation numérique

tendent à être celles qui sont moins

réticentes au risque quand il s’agit de

considérer, de tester et d’adopter des

technologies émergentes et

transformatrices.www.isaca.org/info/digital-transformation-barometer

TECHNOLOGIES DE TRANSFORMATION

10/14/2019 ® 2018 ISACA. All Rights Reserved.16

9 organisations sur 10 participent à l’effort de transformation

En moyenne:

42% de transformation

réaliséeInternet

des objets

IA/ apprentissage

automatique

PRINCIPALES TECHNOLOGIES ÉMERGENTES ET

LES RÔLES D’AUDIT ET DE SÉCURITÉ

10/14/2019 ® 2018 ISACA. All Rights Reserved.17

L’INTELLIGENCE ARTIFICIELLE ET LE RISQUE

10/14/2019 ® 2018 ISACA. All Rights Reserved.18

Êtes-vous convaincu que

votre organisation peut

évaluer correctement la

sécurité des systèmes basée

sur l'IA / l'apprentissage

automatique?

60% NON

Technologies émergentes avec le plus grand potential de

Valeur de Transformation

2017

2018

ENJEUX DE GOUVERNANCE, DE RISQUE ET D’AUDIT POSÉS PAR L’IA

10/14/2019 ® 2018 ISACA. All Rights Reserved.19

Progression des menaces existantesLes outils et systems d’IA réduisent les coûts et

facilitent leur multiplication

Arrivée de nouvelles menacesL’IA peut effectuer des tâches normalement

irréalisables par un humain et notamment découvrir

les vulnérabilité dans les mesures de défense

déployées par des systèmes d’IA

Changements dans la nature des

menacesParticulièrement efficaces, finement ciblées,

difficiles à attribuer et susceptibles d'exploiter les

vulnérabilités des autres systèmes pilotés par l’IA

LES CHANGEMENTS AU PAYSAGE DES MENACES INDUISENTDES CHANGEMENTS AU MODÈLE DE SÉCURITÉ

10/14/2019 ® 2018 ISACA. All Rights Reserved.20

Sécurité physiqueLes outils et systèmes d’IA attaquent/corrompent

les systèmes physiques et cyber-physiques

Sécurité politiqueExpansion de la manipulation sociale, atteinte à la

vie privée, surveillance automatisée, persuasion,

ou tromperie

Sécurité numériqueAllégement du compromis existant entre l'ampleur

et l'efficacité des attaques

APPAREILS CONNECTÉS

10/14/2019 ® 2018 ISACA. All Rights Reserved.21

14.2GAppareils IdO à la fin de 2019

Gartner prévoit

25Gd’ici 2021

Des consommateurssont préoccupés par la collecte de donnéespar les appareils ouvolés par des pirates

Sondage BullGuard

66%

L’ANALYSE DE RISQUES POUR L’IDO EST SEMBLABLE À L’ANALYSE DE RISQUES TRADITIONNELLE

10/14/2019 ® 2018 ISACA. All Rights Reserved.22

• Pensez au pire des cas

• Mettez l’emphase sur les impacts, pas sur

les probabilités

• Évaluez l’impact du mauvais

fonctionnement de chaque appareil

• Catégorisez la gravité des impacts

• Identifiez des scenarios pour chaque

catégorie

L’ANALYSE DE RISQUES POUR L’IDO EST SEMBLABLE À L’ANALYSE DE RISQUES TRADITIONNELLE

10/14/2019 ® 2018 ISACA. All Rights Reserved.23

• Adhérez sécuritairement à l’IdO pour préserver

votre avantage concurrentiel

• Exigez que les appareils IdO sans-fil soient

connectés à un réseau pour invités

• Mettez à jour et corrigez rapidement

• Balayez les réseaux pour découvrir les

appareils IdO

• Changez les mots de passe par défaut par des

mots de passe forts

• Renforcez votre culture de cybersécurité

• Offrez les certifications et la formation

AUDITER LES TECHNOLOGIES ÉMERGENTES

10/14/2019 ® 2018 ISACA. All Rights Reserved.24

• Comprenez comment la

technologie soutient les objectifs

stratégiques

• Concentrez-vous sur les risques

ou les obstacles susceptibles de

retarder ou de faire dérailler les

objectifs

• Parlez des résultats

• Utilisez l'IA pour effectuer le travail

• Encouragez votre équipe à

l’essayer

SE PRÉPARER POUR L’AVENIR ET

L’INDUSTRIE 4.0

10/14/2019 ® 2018 ISACA. All Rights Reserved.25

10/14/2019 ® 2018 ISACA. All Rights Reserved.26

L'objectif n’est pas d’auditer et sécuriser la technologie émergente de cette année, mais de développer et rendre agiles les équipes d'audit et de sécurité afin qu’elles soient en mesure d’apprendre rapidement et d’identifier les risques avec toute nouvelle technologie.

L’AVENIR DE L’AUDIT ET DE LA SÉCURITÉ TI

10/14/2019 ® 2018 ISACA. All Rights Reserved.27

Alors que la main d”oeuvre et les milieux

de travail changent continuellement,

l’audit et la sécurité devront évoluer, tout

comme les autres volets de l’entreprise

• Implication hâtive

• Expertise étendue

67%ont des difficultés à recruter des auditeurs

possédant les compétences techniques

requises

47%s’attendent à ce que les auditeurs TI

participent davantage aux grands

projets technologiques d’ici 3 à 5 ans

92%sont optimistes quant à l'impact de la technologie

sur leurs compétences professionnelles au cours

des cinq prochaines années

1 9 6 9

La 3e révolution

industrielle

ROBOTIQUE

BIOTECH

IMPRESSION3D

IA

IdO

INFORMATIQUEQUANTIQUE

Nous devons identifier des pistes technologiques pour fournir plus de valeur avec plus d'efficacité

M E R C I !

10/14/201933