Face à des attaques qui touchent désormais toutes les organisations, l’audit IT permet de dépasser l’empilement de solutions techniques pour évaluer réellement le niveau de maîtrise des risques. Nicolas Rouillé, associé, expert-comptable et commissaire aux comptes chez ORCOM, et Amandine Zouzi, directrice de mission et responsable du département Audit & Conseil IT, détaillent les principaux leviers à examiner, de la gouvernance aux accès, en passant par les prestataires et la continuité d’activité.
L’utilisation croissante des outils numériques, ainsi que le partage fréquent de données entre ces outils, augmentent considérablement le risque d’exposition aux cybermenaces. Aujourd’hui, les entreprises s’appuient fortement sur leurs systèmes d’information pour assurer la continuité de leurs activités, gérer leurs données et maintenir leurs relations avec les tiers.
Dans ce contexte, les cybercriminels ne ciblent plus uniquement les grandes structures : toutes les organisations, quels que soient leur taille ou leur secteur d’activité, peuvent être exposées à des attaques informatiques.
Les conséquences d’une cyberattaque pour l’entreprise
La cybersécurité représente donc un enjeu majeur pour l’entreprise. Une cyberattaque peut avoir des conséquences financières importantes, notamment en raison de vol de fonds, de paiement de rançons, des coûts de remise en état ou encore de la perte de chiffre d’affaires. Elle peut également perturber fortement l’activité en bloquant la production, les services, les applications métiers ou l’accès aux données critiques. Sur le plan réglementaire, l’entreprise doit respecter le Règlement Général sur la Protection des Données (RGPD) et signaler toute violation de données personnelles, sous peine de sanctions prononcées par la CNIL. Enfin, une attaque peut nuire durablement à son image en en altérant la confiance des clients, des partenaires et des fournisseurs.
La mise en place d’une stratégie de cybersécurité globale
Pour faire face à ces risques, il est nécessaire de mettre en place une stratégie de cybersécurité globale, reposant sur une gouvernance claire et une organisation adaptée. Cette démarche permet d’anticiper les menaces, de sécuriser les activités essentielles et de définir un cadre commun pour l’ensemble des collaborateurs. La première étape consiste à réaliser une analyse des risques afin d’identifier les actifs critiques de l’entreprise, les menaces auxquelles elle peut être exposée, les vulnérabilités existantes ainsi que les impacts potentiels sur son activité. Cette analyse permet de hiérarchiser les priorités et d’orienter les actions de sécurité vers les enjeux les plus sensibles.
La formalisation d’une politique de sécurité
Il convient ensuite de formaliser une politique de sécurité précisant les règles d’accès aux systèmes et aux données, les responsabilités de chacun ainsi que les démarches à suivre en cas d’incident, notamment les personnes à informer et les actions à engager. Ce cadre de référence contribue à assurer une gestion cohérente et efficace de la sécurité au sein de l’organisation.
La maîtrise des risques liés aux prestataires
La gestion des prestataires constitue également un enjeu important dans la maîtrise des risques, en particulier lorsque certaines activités ou données sensibles sont externalisées. Elle doit s’appuyer sur des clauses de sécurité clairement définies dans les contrats, incluant notamment les engagements de service, la confidentialité et les responsabilités en cas d’incident. Les prestataires critiques doivent faire l’objet d’audits réguliers afin de s’assurer du respect des exigences de sécurité. Il est également nécessaire de contrôler strictement les accès accordés aux tiers et d’assurer un suivi des incidents liés aux prestations externalisées afin de conserver une visibilité suffisante sur les risques.
Le renforcement de la protection des accès
La mise en œuvre de mesures de protection constitue un levier essentiel pour réduire l’exposition aux cybermenaces. La majorité des attaques exploitent des accès insuffisamment sécurisés ou des vulnérabilités non corrigées. Il est donc indispensable de renforcer la sécurité des accès, notamment grâce à l’authentification multifacteurs, d’accorder à chaque utilisateur uniquement les droits d’accès nécessaires à l’exercice de ses fonctions, de procéder à une revue régulière des autorisations accordées et de désactiver sans délai les comptes inactifs ou obsolètes.
La sécurisation de l’infrastructure informatique
La sécurité doit également reposer sur une protection efficace de l’infrastructure informatique. Le déploiement de pare-feux de nouvelle génération, la segmentation des réseaux, la mise à jour régulière des systèmes ainsi que l’utilisation de solutions antivirus (ou EDR – Endpoint Detection and Response) permettent de réduire les vulnérabilités, de limiter la propagation des attaques et de détecter plus rapidement les comportements suspects.
Les quatre piliers de la cybersécurité
Dans une logique de maîtrise des risques et d’audit, une protection efficace repose sur quatre piliers complémentaires. La prévention vise à réduire les risques en amont grâce à la maîtrise des accès, aux mises à jour régulières et à la sensibilisation des utilisateurs. La détection permet d’identifier rapidement les anomalies au moyen du monitoring et des mécanismes d’alerte. La réaction consiste à organiser la gestion des incidents et des situations de crise afin de limiter les impacts sur l’activité. Enfin, la récupération repose sur des sauvegardes fiables et sur des dispositifs permettant de restaurer les services essentiels dans les meilleurs délais.
Le rôle du PCA et du PRA dans la résilience de l’entreprise
La mise en place d’un Plan de Continuité d’Activité (ou PCA), et d’un Plan de Reprise d’Activité (ou PRA), est également indispensable pour renforcer la résilience de l’entreprise. Le PCA vise à maintenir les activités critiques en cas de perturbation majeure, tandis que le PRA permet de restaurer rapidement les services après un incident. L’objectif est de limiter les interruptions d’activité, de réduire les impacts opérationnels et financiers, et de garantir la continuité des services essentiels.
La cybersécurité ne repose donc pas uniquement sur des solutions techniques. Elle nécessite une approche globale associant gouvernance, gestion des risques, protection des systèmes d’information, sensibilisation des collaborateurs et préparation aux situations de crise. Cette démarche permet de protéger durablement les données et les actifs critiques de l’entreprise tout en renforçant sa capacité à faire face aux cybermenaces.



