l'avenir de l'audit ti et de la sÉcuritÉ À l'Ère de la ... · 1. sécurité des...
TRANSCRIPT
1
L ' AV E N I R D E L ' A U D I T T I E T
D E L A S É C U R I T É À L ' È R E
D E L A P E RT U R B AT I O N
N U M É R I Q U EROB CLYDE, CISM, NACD BOARD LEADERSHIP FELLOW
BOARD OF DIRECTORS PAST CHAIR, ISACA
BOARD OF DIRECTORS, TITUS
EXECUTIVE CHAIR, WHITE CLOUD SECURITY
AGENDA
• L’avenir: numérique par défaut
• Recherche actuelle, tendances et
menaces
• Technologies émergentes et les
rôles de sécurité et d’audit
• Comment nous préparer pour
l'avenir et l’industrie 4.0.
10/14/2019 ® 2018 ISACA. All Rights Reserved.2
L’AVENIR:NUMÉRIQUE PAR DÉFAUT
LES NOUVELLES – ET ANCIENNES – ENTREPRISES MANUFACTURIÈRES
SONT MAINTENANT DES ENTREPRISES LOGICIELLES
10/14/2019 ® 2018 ISACA. All Rights Reserved.4
“Tesla est une
compagnie
logicielle
tout autant
qu’elle est une
compagnie de
matériel”E L O N M U S K
T E S L A C E O
“Le logiciel
est une
compétence
essentielle chez
General Motors”
M A R Y B A R R A
G E N E R A L M O T O R S C E O
10/14/2019 ® 2018 ISACA. All Rights Reserved.5
UNE ENTREPRISE NUMÉRIQUE
REPOSANT SUR UN LOGICIEL
OPPORTUNITÉS DE CROISSANCE AVEC LA
TRANSFORMATION NUMÉRIQUE
10/14/2019 ® 2018 ISACA. All Rights Reserved.6
NATIONAL ASSOCIATION OF CORPORATE DIRECTORS
• Réinvention numérique
• Engagement des clients
• Processus principal de l’entreprise
• Tirer parti de la flexibilité et de l'agilité
des architectures modernes
RECHERCHES RÉCENTES,
MENACES ET TENDANCES
10/14/2019 ® 2018 ISACA. All Rights Reserved.7
«GLOBAL RISKS REPORT 2019» – FORUM ÉCONOMIQUE MONDIAL
10/14/2019 ® 2018 ISACA. All Rights Reserved.8
• Conséquences
negatives des avancées
technologiques
• Pannes des
infrastructures critiques
• Cyber attaques
• Fraudes et vol de
données
PLUS GRANDES CYBER-MENACES ET DÉFIS ÉMERGENTS EN 2019
10/14/2019 ® 2018 ISACA. All Rights Reserved.9
SECURITY MAGAZINE, MIT TECHNOLOGY REVIEW
• Crypto jacking
• Corruption de logiciel
• Attaques contre les écosystèmes des
cryptomonaies
• Cyberpolitiques: mouvement lent,
attentes accrues en matière de
divulgation
• Emulation de la menace (ATT@CK)
• Solutions d’identité pour l’infonuagique
• Authentification mobile
• Emphase des clients sur la gestion du
risque
• Fausses vidéos et audio générés
par l’IA
• Corruption des defenses de l’IA
• Piratage de contrats intelligents
• Casser le chiffrement à l'aide
d'ordinateurs quantiques
• Attaquer depuis le nuage
https://www.securitymagazine.com/articles/89581-the-biggest-cyber-threats-to-watch-out-for-in-2019;
https://www.technologyreview.com/s/612713/five-emerging-cyber-threats-2019/
IT AUDIT BENCHMARKING SURVEY PAR ISACA & PROTIVITI
10/14/2019 ® 2018 ISACA. All Rights Reserved.10
Principaux défis technologiques
1. Sécurité des TI et protection de la vie
privée/cybersécurité
2. Gouvernance et gestion des
données
3. Technologies émergentes et
changements d’infrastructures –
transformation, innovation,
perturbation
4. Défis en ressources / dotation /
expertise
LES PLUS GRANDS DÉFIS EN AUDIT TI: TECHNOLOGIES, TALENT CHANGEMENT
10/14/2019 ® 2018 ISACA. All Rights Reserved.11
• Les innovations modifient
le profil de risque et
l’environnement de
contrôle
• Rester en phase
représente un fardeau
important pour les
équipes d'audit TI
ÉTAT DE LA CUBERSÉCURITÉ 2019 : PORTRAIT DE LA MENACE
POUR LES ORGANISATIONS ATTEINTES CETTE ANNÉE,
LES 3 PRINCIPAUX RESPONSABLES SONT:
CYBERCRIMINELS
INTERNES
BIEN INTENTIONNÉS
SEULEMENT
34% SONT TRÈS CONFIANTS
Les répondants qui relèvent d'un RSSI (CISO) ont une
plus grande confiance envers la capacité de leur équipe
de cybersécurité à détecter les cybermenaces et à y
répondre
Indiquent que la cybersécurité relève du
RSSI (CISO) DE LEUR ORGANISATION
ÉTAT DE LA CYBERSÉCURITÉ 2019 : NIVEAU DE COMPÉTENCE
10/14/2019 ® 2018 ISACA. All Rights Reserved.13
CANDIDATS QUALIFIÉSRECHERCHÉS
INDIQUENT QUE
MOINS DU QUART
Des candidats sont qualifiés pour le poste
en cybersécurité pour lequel ils postulent
INDIQUENT QUE
LES DIPLÔMÉS D’UNIVERSITÉ
ne sont pas préparés pour les défis qui les
attendent
PRÈS DE
LES MODIFICATIONS RÈGLEMENTAIRES COMPORTMENT DES CHANGEMENTS POUR L’AUDIT ET LA SÉCURITÉ
10/14/2019 ® 2018 ISACA. All Rights Reserved.14
BAROMÈTRE DE LA TRANSFORMATION NUMÉRIQUE D'ISACA
10/14/2019 ® 2018 ISACA. All Rights Reserved.15
Les organisations qui sont en avance
dans la transformation numérique
tendent à être celles qui sont moins
réticentes au risque quand il s’agit de
considérer, de tester et d’adopter des
technologies émergentes et
transformatrices.www.isaca.org/info/digital-transformation-barometer
TECHNOLOGIES DE TRANSFORMATION
10/14/2019 ® 2018 ISACA. All Rights Reserved.16
9 organisations sur 10 participent à l’effort de transformation
En moyenne:
42% de transformation
réaliséeInternet
des objets
IA/ apprentissage
automatique
PRINCIPALES TECHNOLOGIES ÉMERGENTES ET
LES RÔLES D’AUDIT ET DE SÉCURITÉ
10/14/2019 ® 2018 ISACA. All Rights Reserved.17
L’INTELLIGENCE ARTIFICIELLE ET LE RISQUE
10/14/2019 ® 2018 ISACA. All Rights Reserved.18
Êtes-vous convaincu que
votre organisation peut
évaluer correctement la
sécurité des systèmes basée
sur l'IA / l'apprentissage
automatique?
60% NON
Technologies émergentes avec le plus grand potential de
Valeur de Transformation
2017
2018
ENJEUX DE GOUVERNANCE, DE RISQUE ET D’AUDIT POSÉS PAR L’IA
10/14/2019 ® 2018 ISACA. All Rights Reserved.19
Progression des menaces existantesLes outils et systems d’IA réduisent les coûts et
facilitent leur multiplication
Arrivée de nouvelles menacesL’IA peut effectuer des tâches normalement
irréalisables par un humain et notamment découvrir
les vulnérabilité dans les mesures de défense
déployées par des systèmes d’IA
Changements dans la nature des
menacesParticulièrement efficaces, finement ciblées,
difficiles à attribuer et susceptibles d'exploiter les
vulnérabilités des autres systèmes pilotés par l’IA
LES CHANGEMENTS AU PAYSAGE DES MENACES INDUISENTDES CHANGEMENTS AU MODÈLE DE SÉCURITÉ
10/14/2019 ® 2018 ISACA. All Rights Reserved.20
Sécurité physiqueLes outils et systèmes d’IA attaquent/corrompent
les systèmes physiques et cyber-physiques
Sécurité politiqueExpansion de la manipulation sociale, atteinte à la
vie privée, surveillance automatisée, persuasion,
ou tromperie
Sécurité numériqueAllégement du compromis existant entre l'ampleur
et l'efficacité des attaques
APPAREILS CONNECTÉS
10/14/2019 ® 2018 ISACA. All Rights Reserved.21
14.2GAppareils IdO à la fin de 2019
Gartner prévoit
25Gd’ici 2021
Des consommateurssont préoccupés par la collecte de donnéespar les appareils ouvolés par des pirates
Sondage BullGuard
66%
L’ANALYSE DE RISQUES POUR L’IDO EST SEMBLABLE À L’ANALYSE DE RISQUES TRADITIONNELLE
10/14/2019 ® 2018 ISACA. All Rights Reserved.22
• Pensez au pire des cas
• Mettez l’emphase sur les impacts, pas sur
les probabilités
• Évaluez l’impact du mauvais
fonctionnement de chaque appareil
• Catégorisez la gravité des impacts
• Identifiez des scenarios pour chaque
catégorie
L’ANALYSE DE RISQUES POUR L’IDO EST SEMBLABLE À L’ANALYSE DE RISQUES TRADITIONNELLE
10/14/2019 ® 2018 ISACA. All Rights Reserved.23
• Adhérez sécuritairement à l’IdO pour préserver
votre avantage concurrentiel
• Exigez que les appareils IdO sans-fil soient
connectés à un réseau pour invités
• Mettez à jour et corrigez rapidement
• Balayez les réseaux pour découvrir les
appareils IdO
• Changez les mots de passe par défaut par des
mots de passe forts
• Renforcez votre culture de cybersécurité
• Offrez les certifications et la formation
AUDITER LES TECHNOLOGIES ÉMERGENTES
10/14/2019 ® 2018 ISACA. All Rights Reserved.24
• Comprenez comment la
technologie soutient les objectifs
stratégiques
• Concentrez-vous sur les risques
ou les obstacles susceptibles de
retarder ou de faire dérailler les
objectifs
• Parlez des résultats
• Utilisez l'IA pour effectuer le travail
• Encouragez votre équipe à
l’essayer
SE PRÉPARER POUR L’AVENIR ET
L’INDUSTRIE 4.0
10/14/2019 ® 2018 ISACA. All Rights Reserved.25
10/14/2019 ® 2018 ISACA. All Rights Reserved.26
L'objectif n’est pas d’auditer et sécuriser la technologie émergente de cette année, mais de développer et rendre agiles les équipes d'audit et de sécurité afin qu’elles soient en mesure d’apprendre rapidement et d’identifier les risques avec toute nouvelle technologie.
L’AVENIR DE L’AUDIT ET DE LA SÉCURITÉ TI
10/14/2019 ® 2018 ISACA. All Rights Reserved.27
Alors que la main d”oeuvre et les milieux
de travail changent continuellement,
l’audit et la sécurité devront évoluer, tout
comme les autres volets de l’entreprise
• Implication hâtive
• Expertise étendue
67%ont des difficultés à recruter des auditeurs
possédant les compétences techniques
requises
47%s’attendent à ce que les auditeurs TI
participent davantage aux grands
projets technologiques d’ici 3 à 5 ans
92%sont optimistes quant à l'impact de la technologie
sur leurs compétences professionnelles au cours
des cinq prochaines années
1 9 6 9
La 3e révolution
industrielle
ROBOTIQUE
BIOTECH
IMPRESSION3D
IA
IdO
INFORMATIQUEQUANTIQUE
Nous devons identifier des pistes technologiques pour fournir plus de valeur avec plus d'efficacité
M E R C I !
10/14/201933