Rôles des trois lignes de défense pour la sécurité de l'information et la gouvernance

Alors que les trois lignes de défense couvrant l'assurance, la gouvernance, le risque, la conformité, la sécurité de l'information et la sécurité sur Internet peuvent fonctionner d'une manière ou d'une autre sur la sécurité et la gouvernance de l'information, on peut examiner les objectifs, rôles et activités de ces fonctions pour explorer des façons d'optimiser les résultats. Des résultats optimisés signifient que les résultats cumulés des différentes parties travaillant sur la sécurité de l'information sont maximisés. Ceci permet de mieux déployer les ressources avec une productivité accrue en réduisant la duplication.

Rôles et responsabilités des différentes fonctions

Les organisations visent à atteindre leurs objectifs tout en gérant les risques dans leur appétit pour le risque. Une bonne structure de gouvernance dans la gestion des risques consiste à établir trois lignes de défense. Brièvement, la première ligne de défense est la fonction qui possède et gère le risque. Dans la première ligne de défense, les entreprises peuvent mettre en place des fonctions de contrôle (par exemple, le contrôle informatique qui relève du département informatique) pour faciliter la gestion des risques. La deuxième ligne de défense est la fonction de contrôle indépendant (par exemple, le risque informatique, la conformité informatique) qui contrôle les risques et surveille les contrôles de la première ligne de défense. Elle peut mettre en question l'efficacité des contrôles et la gestion des risques dans l'ensemble de l'organisation. La troisième ligne de défense est la vérification interne qui fournit une assurance indépendante. La figure 1 fournit des exemples des fonctions relevant des trois lignes de défense.

Diverses fonctions commerciales visent à assurer que les organisations gèrent les risques dans les limites de leur appétit pour le risque. En particulier, la gouvernance des technologies de l'information fournit la cohérence, les processus, les normes et la répétabilité nécessaire à des opérations informatiques efficaces tout en contrôlant le budget et en respectant les exigences réglementaires et organisationnelles. La gestion des risques informatiques doit fonctionner dans le cadre de la gestion des risques de l'entreprise et aborder différents genres de risques ainsi que les défis et les opportunités que présente le risque. Il permet de concentrer les investissements en matière de gouvernance des technologies de l'information, de sécurité et de confidentialité dans les domaines les plus cruciaux pour la réalisation des objectifs organisationnels. La sécurité de l'information vise à protéger les systèmes de données et d'informations contre tout accès, manipulation, modification et destruction non-autorisée garantissant ainsi la confidentialité, l'intégrité et la disponibilité des systèmes et des données. La cybersécurité qui comprend la technologie, les processus, les politiques et les personnes met l'accent sur l'utilisation de facteurs opérationnels pour guider les activités de sécurité tout en s'assurant que les facteurs de risque de cybersécurité sont inclus dans les processus de gestion des risques de l'organisation.¹

La fonction d'assurance est la vérification interne dont la mission peut être définie pour améliorer et protéger la valeur organisationnelle en fournissant une assurance objective et fondée sur le risque pour évaluer l'efficacité des processus de gouvernance, de gestion des risques et de contrôle.²

Structure organisationnelle des diverses fonctions

Différentes équipes peuvent être organisées de différentes manières comme le montrent les figures 2 et 3. La figure 2 illustre comment les équipes de gestion des risques informatiques, de la sécurité de l'information et de la cybersécurité peuvent être organisées de manière hiérarchique. Sous cette structure organisationnelle, il y a moins de chance que leurs tâches et activités soient dupliquées parce que la cybersécurité réside dans la sécurité de l'information. Ceci signifie que cette dernière est pleinement consciente des activités et du rôle de la première. La figure 3, quant à elle, est un exemple d'équipes de gestion des risques informatiques, de sécurité de l'information et de cybersécurité organisées dans une structure horizontale, en tant que contreparties les unes des autres. Avec ce genre de structure organisationnelle, il y a plus de chance que leurs activités se chevauchent parce que les différentes équipes peuvent ne pas être conscientes de ce que fait l'autre. Par exemple, l'équipe de sécurité des informations peut examiner les paramètres de sécurité de l'information et les contrôles de tous les systèmes d'exploitation, tandis que l'équipe de cybersécurité peut examiner les paramètres et les contrôles du serveur Web qui peuvent couvrir le même serveur. Un autre exemple peut être l’équipe de la sécurité de l'information qui est responsable de la planification de la reprise après un sinistre ou de la gestion du niveau de service. L'équipe de cybersécurité, quant à elle, est responsable du traitement du déni de service bien que la reprise après un sinistre et la gestion du niveau de service sont des contrôles destinés à prendre en compte le risque lié aux dénis de service.

Activités de diverses fonctions et les trois lignes de défense

Pour réaliser l'objectif ultime de l'organisation de gérer les risques (par exemple, les risques informatiques et technologiques) dans son niveau d'appétit pour le risque, les diverses fonctions organisationnelles et les trois lignes de défense doivent mener des activités telles que la collecte d'informations, l'évaluation des risques, des revues, des analyses et la surveillance des risques qui peuvent être communes aux trois lignes. Une façon de découvrir ces points communs est de communiquer fréquemment. Ceci facilite le partage d'informations. Pour faciliter la communication et la discussion des risques au sein d'une organisation, les différentes fonctions organisationnelles peuvent utiliser le même ensemble de catégories de risque et de taxonomie.

Partage d'informations

Les diverses fonctions organisationnelles travaillant sur les risques informatiques peuvent partager des informations internes utiles (par exemple, des données de transaction), des informations sur les risques (par exemple, des tendances ou des statistiques telles que le pourcentage de disponibilité des applications Web) et la perte interne de données (par exemple, des incidents de sécurité informatique ou leurs natures). Grâce au partage d'informations internes, les fonctions opérationnelles peuvent s'acquitter de leurs fonctions en effectuant des analyses, des évaluations des risques et des contrôles et en planifiant des revues de contrôle (p. ex., la conformité ou la planification d'audits).

Par ailleurs, l'information peut être partagée au sein d'une industrie au moyen d'une base de données externe contenant des pertes tout comme ORX stocke les pertes de données pour l'industrie bancaire et des assurances. Grâce au partage d'informations externes sur les risques, les diverses fonctions organisationnelles peuvent être mieux informées sur la détection et la prévention de risques similaires. Par exemple, en 2016, il y a eu une demande non autorisée de transfert d'argent par Bangladesh Bank.³ Elle a été détectée par l'une des banques de routage qui a signalé la transaction pour réexamen uniquement en raison du mot mal orthographié « fandation » qui a entraîné l'arrêt du transfert.

Les informations peuvent également être partagées dans un pays. Par exemple, le Cyber Security Information Sharing Partnership (CiSP)⁴ du Royaume-Uni est une initiative conjointe du secteur privé et du gouvernement mise en place pour échanger des informations de menaces cybernétiques en temps réel dans un environnement sûr, confidentiel et dynamique.

Ceci a amélioré la connaissance situationnelle et a réduit l'impact sur les organisations au Royaume-Uni. Les informations peuvent également être partagées entre les pays. Par exemple, il existe un partage entre les pays tel que l'Asia Pacific Computer Emergency Response Team (APCERT) pour encourager et soutenir la coopération entre les équipes nationales d'intervention d'urgence informatique dans la région Asie-Pacifique. APCERT maintient un réseau fiable d'experts en sécurité informatique dans la région Asie-Pacifique pour améliorer les connaissances et les compétences de la région en matière d'incidents de sécurité informatique.⁵

Partage du traitement

Outre le partage d'informations, le traitement peut également être partagé. Différentes fonctions peuvent utiliser des outils pour développer des mesures de surveillance à des fins préventives ou de détection. Le partage de ces outils peut réduire la duplication du travail entre les différentes équipes. Par exemple, la première ou la deuxième ligne de défense peut adopter regtech (une application de technologie pour assurer la conformité aux dernières exigences législatives ou de l'entreprise) ou utiliser l'apprentissage automatique pour détecter des attaques distribuées de déni de service basées sur la détection de modèles antérieurs similaires de déni de service. Les outils développés par la première ligne peuvent être utilisés par la deuxième ligne et vice versa. L'audit interne peut développer des scripts automatisés pour effectuer des tests ou des audits continus (p. ex., l'utilisation de robots pour consulter les sites Web des fournisseurs de services afin de vérifier si les derniers correctifs ou signatures de virus sont utilisés par l'organisation). Ceux-ci peuvent également être utilisés par la première ou deuxième ligne de défense à des fins de surveillance continue.

Partage d'informations

Les résultats des revues menées par une partie peuvent être partagés. Par exemple, la première ligne de défense peut procéder à une auto-vérification du respect des lignes directrices des transactions bancaires par Internet des autorités de Hong Kong (Hong Kong Monetary Association) pour la gestion de la conformité. La deuxième ligne de défense peut utiliser cette auto-vérification pour les rapports réglementaires.

Un autre exemple est la fonction de gouvernance. Les deuxième et troisième lignes de défense peuvent utiliser les résultats de la revue de contrôle des exceptions de la première ligne ou de tiers (p. ex., l'autorité réglementaire ou le vérificateur externe) pour l'identification des problèmes systémiques. La troisième ligne peut également utiliser les résultats de la revue de contrôle de la première ou de la deuxième ligne de défense pour évaluer leurs efficacités.

Travaux de la fonction d'assurance

Bien que les examens effectués par la fonction d'assurance puissent être similaires à ceux menés par la première ou la deuxième ligne de défense, seul, le département d'audit interne ou les prestataires externes peuvent fournir l'assurance requise car ils sont fonctionnellement indépendants de l'entreprise et possèdent des rapports hiérarchiques et un mandat différent de ceux de la première et de la deuxième ligne de défense. Par conséquent, les équipes d'audit doivent effectuer certains travaux pour évaluer l'efficacité des processus de gouvernance, de gestion des risques et de contrôle.

Diverses revues peuvent être effectuées par les équipes d'audit. Si les équipes d'audit effectuent une nouvelle exécution, ce n'est pas économique parce qu'elles dupliquent les efforts en ré-exécutant un contrôle tel que vérifier l'extraction des courriers électroniques échantillonnés pour identifier les renseignements personnels identifiables des clients non-chiffrés ou pour vérifier de façon indépendante l'exactitude du traitement par l'application de l'entreprise. Même si l'équipe d'audit effectue à nouveau un contrôle, comme le contrôle des applications durant la première année, l'audit peut néanmoins réduire le travail considérable du contrôle des performances au cours d'une année suivante (en économisant du temps et des efforts tout en atteignant l'assurance désirée) en effectuant d'autres tests tels que des contrôles de gestion de changements ou une vérification de la dernière date de changement pour voir si des changements ont été mis en place depuis le dernier audit lorsque le test de performance a été effectué à nouveau pour confirmer le traitement précis de l'application de l'entreprise.

L'audit peut également être effectué en continu pour fournir plus rapidement une assurance en fonction d'une plus grande taille de données testée. Cependant, la portée de l'audit continu peut potentiellement être réduite si la direction a mis en place une surveillance continue similaire et efficace. Il existe une relation inverse entre l'adéquation des activités de surveillance de la direction et celles de la gestion des risques et la mesure dans laquelle les auditeurs doivent effectuer des tests détaillés de contrôles et évaluer les risques. L'approche de la fonction d'audit et le montant de l'audit continu dépendent de la mesure dans laquelle la direction a mis en place une surveillance continue⁶ et de son efficacité.

Allocation économique des ressources

Si une fonction organisationnelle n'a pas les ressources nécessaires pour effectuer les tâches requises, elle peut envisager d'obtenir des ressources en interne. Par exemple, le test informatique de la loi Sarbanes-Oxley peut être effectué par des ressources internes telles que les équipes internes d'audit, de conformité et des risques, en fonction de l'équipe disposant des ressources requises, aussi longtemps que toutes les fonctions répondent aux exigences du test Sarbanes-Oxley.

Pour les revues exigées par les autorités et qui requièrent une partie indépendante, une organisation peut choisir des ressources internes avec des compétences adéquates pour satisfaire aux exigences car les ressources internes sont généralement moins coûteuses que les ressources externes. Si les ressources internes ne possèdent pas les compétences et les outils requis (p. ex., les tests de pénétration ou le piratage éthique) et ne peuvent pas fournir l'assurance requise, des ressources externes devraient alors être engagées sans égard aux coûts relativement élevés.

Conclusion

Lors de l'examen des rôles et des objectifs des trois lignes de défense qui couvrent l'assurance, la gouvernance, les risques, la conformité, la sécurité de l'information et la cybersécurité, il peut y avoir des activités communes ou qui se chevauchent. Une structure d'organisation hiérarchique peut réduire le risque de duplication des tâches et des activités entre les fonctions ou les équipes car chaque équipe est plus consciente du rôle et des activités des autres équipes au sein de la structure hiérarchique. Une autre façon d'optimiser les résultats et d'économiser les ressources et les coûts de l'organisation est de partager les informations, le traitement et les résultats des diverses fonctions opérationnelles et équipes (y compris les résultats des organisations publiques ou à but non lucratif). Ceux-ci peuvent être utilisés pour rationaliser les activités de chaque fonction.

Cependant, la fonction d'assurance ne peut être assurée que par des parties indépendantes telles que l'équipe d'audit interne et des prestataires externes. Les ressources internes seraient moins coûteuses que les ressources externes. Mais, les premières pourraient ne pas disposer des ressources nécessaires pour mener à bien certaines tâches. Dans ces cas, des prestataires de services externes peuvent être requis malgré les coûts relativement élevés pour assurer l'assurance requise.

Note de l'auteur

Les opinions exprimées dans cet article sont celles de l'auteur et ne reflètent pas nécessairement celles de Citibank.

Bibliographie

¹ Lainhart, J W.; Z. Fu; C. Ballister; « Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement » ISACA Journal, vol. 5, 2016, www.isaca.org/resources/isaca-journal/issues
² L'Institut des auditeurs internes, « Supplemental Guidance, Model Internal Audit Activity Charter », 2017
³ Schwartz, M.; « Bangladesh Bank Hackers Steal $100 Million », Bank Info Security, 10 mars 2016, https://www.bankinfosecurity.com/bangladesh-bank-hacers-steal-100-million-a-8958
⁴ Centre national de cybersécurité, Partenariat pour le partage de l'information sur la cybersécurité, 20 mars 2018, https://www.ncsc.gov.uk/cisp
⁵ Équipe d'intervention en cas d'urgence informatique en Asie-Pacifique, https://www.apcert.org
⁶ Coderre, D. ; « Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment », L'Institut des auditeurs internes, 2005, https://www.iia.nl/SiteFiles/IIA_leden/Praktijkgidsen/GTAG3.pdf