Theresa Grafenstine, responsable mondial de l'audit pour le cyberespace, la résilience & Tiers chez Citibank
Avant d'occuper chez Citi le poste de directeur général/auditeur en chef pour la cybernétique, la sécurité informatique ( & ) et la continuité des activités, Theresa a occupé pendant un certain temps le poste de directeur général chez Deloitte. Avant cela, Theresa a été la première femme inspecteur général de la Chambre des représentants à Washington, et a également été présidente de l'ISACA, l'organisme professionnel pour l'audit, le risque, la sécurité et la gouvernance des technologies de l'information. Son point de vue sur la cybernétique et l'audit est à la fois perspicace et fondé sur une vaste expérience, car les défis posés par les cyberrisques se sont accrus et leurs implications pour l'audit ont évolué.
Tout au long de sa carrière, Theresa a vu le rôle de l'audit évoluer avec l'émergence des cyber-risques. Elle considère l'audit comme une nécessité cruciale pour y faire face.
"Au tout début de ma carrière, les gens pensaient que l'audit était axé sur les finances. Ensuite, il y a eu les contrôles informatiques et les auditeurs informatiques, mais à mesure que la cybernétique s'est développée pour devenir l'un des plus grands risques qui engloutissent la société, nous réalisons aujourd'hui que l'audit doit faire partie des mesures de lutte contre ce fléau.
Les auditeurs possèdent de nombreuses compétences. Ils peuvent examiner les problèmes du début à la fin, dans tous les services et dans l'ensemble de l'organisation, et ainsi comprendre les problèmes et les risques liés à l'abus ou au vol d'informations. Ils peuvent identifier les risques et vérifier si des contrôles sont en place pour y remédier.
"Il s'agira d'un type d'audit différent. Les anciens concepts d'audit, tels que la séparation des responsabilités, sont toujours d'actualité, mais nous devons faire beaucoup plus. Lorsque vous introduisez de la complexité dans les systèmes, cela signifie qu'il y a plus de possibilités d'erreurs. Les gens aiment parler de "big data", mais pour utiliser les big data, vous devez comprendre toutes les données dont vous disposez, au-delà des frontières, et exploiter ce que vous avez dans tous ces systèmes de base de données en silo. Vous devez exposer et décomposer les données, et voir comment elles sont toutes liées. Le problème est que lorsque vous exposez des données, même en interne, cela donne lieu à des problèmes d'accès et crée un nouveau type de risque".
Le rôle de l'audit va s'accroître, mais il va aussi changer. Grâce à la technologie, les auditeurs n'auront plus besoin d'examiner la routine et les choses banales, mais leur tâche deviendra plus technique et plus analytique.
Je suis d'accord pour dire que les auditeurs et les responsables de la sécurité sont perçus comme le "bureau du non" et comme des obstacles au progrès. Nous devons donc être clairs et précis dans notre message sur notre rôle et sur la raison pour laquelle nous donnons des conseils sur les risques. Le message est que notre objectif est de rendre les systèmes sûrs, et que vous ne pouvez pas progresser dans votre activité si vous n'êtes pas sûr que votre système est sûr".
L'esprit critique a toujours été important : poser des questions, faire preuve de curiosité intellectuelle et ne pas se contenter d'une réponse superficielle.
"Pour apporter de la valeur ajoutée, les auditeurs doivent comprendre pourquoi quelque chose fonctionne et remettre en question les règles. Sont-elles logiques ? Nous ne nous contentons pas de veiller à ce que les règles soient appliquées. L'IA (Intelligence Artificielle) fait ce que ses algorithmes lui disent de faire et nous devons veiller à ce qu'elle soit conforme à ce qui semble approprié. Nous présentons les problèmes aux personnes qui sont en mesure de les résoudre".
"Au début, nous nous sommes concentrés sur la sécurité au périmètre des systèmes - protection contre les virus, puis pare-feu, et enfin systèmes de détection d'intrusion. Aujourd'hui, nous disons que notre système sera inévitablement violé parce qu'il y a tellement de façons de pénétrer dans un réseau. Les rançongiciels, les logiciels malveillants - il suffit qu'une personne clique sur un lien. Pour une bonne sécurité, il faut donc être vigilant. Si nous savons que quelqu'un s'introduira dans notre réseau, disposons-nous des outils et des compétences humaines nécessaires pour faire la distinction entre une activité malveillante et une activité normale ?
Quelle est la rapidité avec laquelle nous détectons une violation des systèmes et quelle est la rapidité avec laquelle nous agissons. Ai-je des sauvegardes qui me permettent, en cas de vol ou d'altération de mes données, de me rétablir rapidement sans que ma réputation ne soit gravement entachée ? Quelqu'un s'introduira, mais il s'agit de savoir comment gérer cela. C'est le monde dans lequel nous vivons".
Les gens interrogent souvent Theresa sur les obstacles à la progression de carrière des femmes.
"Il y a des plafonds de verre, mais ne vous limitez pas. Surmontez vos peurs et ne soyez pas le plafond de verre que vous vous imposez. Si vous ne pouvez pas exprimer votre opinion lors d'une réunion, comment pourrez-vous devenir un leader dans votre carrière ?
Un deuxième conseil est de faire preuve de courage moral.
"L'idée que je puisse devenir inspecteur général de la Chambre des représentants était ahurissante. Mais vous avez affaire à des gens qui ont du pouvoir. En tant qu'auditeur, vous devez avoir le courage moral de dire la vérité au pouvoir. En fin de compte, si vous ne pouvez pas tenir tête aux puissants, vous ne devriez pas être dans votre rôle.
"Le travail en réseau est extrêmement important. Il faut essayer de trouver des modèles et un mentor - il ne s'agit pas nécessairement d'une relation formelle - que vous admirez et qui est prêt à vous consacrer quelques minutes et à vous donner quelques conseils. C'est quelque chose que j'essaie de faire moi-même : aider les autres avec votre expérience et votre savoir-faire. C'est rendre quelque chose à un monde du travail qui m'a tant donné.