Non seulement les incidents de cybersécurité sont-ils plus fréquents, mais ils coûtent plus cher.
En réalité, le coût moyen mondial des atteintes à la sécurité des données en 2024 est de 4,88 millions $, soit une augmentation de 10 % sur 2023. C’est le coût le plus élevé à ce jour. Bien sûr, les répercussions financières ne sont pas les seuls coûts pour les organisations aux prises avec un incident de cybersécurité : les atteintes à la réputation et à l’exploitation peuvent aussi paralyser l’entreprise.
Les membres du conseil doivent jouer un rôle actif dans l’atténuation et la prévention des cyberattaques. Toutefois, seules 12 % des entreprises S&P 500 disposent d’un administrateur actuel ou ancien qui soit expert en sécurité informatique. Cette lacune pourrait faire mal à votre organisation aujourd’hui et à l’avenir.
Comment vous assurer que votre organisation ne vienne pas alimenter le cycle des nouvelles les plus récentes en fait d’atteintes à la cybersécurité? Commencez par poser les bonnes questions.
Naviguer l’univers de cybersécurité : secteurs du priorité pour le conseil
Au fil des ans, les capacités technologiques ont connu un essor considérable. Aussi, les organisations sont désormais habilitées à se doter d’une exploitation plus efficiente et de résultats accélérés. Et comme les technologies se lient de plus en plus aux objectifs commerciaux, les membres du conseil doivent évaluer les décisions technologiques de la même façon qu’ils évaluent les décisions commerciales stratégiques.
Tout comme le CA guide l’orientation commerciale de l’organisation, il est désormais aussi responsable d’assurer que les moyens technologiques appropriés permettent de soutenir la stratégie commerciale et que le bon degré de tolérance du cyberrisque est atteint et géré.
Pour garantir une surveillance responsable, le CA doit prioriser ces tâches :
Six stratégies pour augmenter vos connaissances en cybersécurité
Combler les lacunes actuelles est essentiel pour que les CA encadrent avec succès le programme de cybersécurité de leurs organisations. Cela peut aider à assurer que la cybersécurité est considérée de façon appropriée pendant les réunions ordinaires du conseil et permettre aux administrateurs d’exécuter leurs tâches en matière de cybersécurité.
Voici six stratégies pour augmenter vos connaissances et mieux vous préparer à intégrer les risques technologiques aux processus de prise de décisions :
Assurez-vous d'obtenir des mises à jour régulières en matière de cybersécurité. Profitez-en pour prendre le temps de discuter des risques les plus importants de votre industrie et des expériences similaires d'organisations semblables. Posez des questions au sujet des efforts de votre entreprise pour atténuer et prévenir les risques de types d'incidents qui frappent votre organisation et pour intervenir en conséquence. Les réponses que vous recevez pourraient être essentielles pour raffermir le cadriciel de défense de votre organisation.
Réorienter les paramètres techniques vers des paramètres axés sur le bon sens qui font ressortir les risques et la valeur est important. Par exemple, identifiez les systèmes en fin de vie vulnérables et les contrôles en place pour en atténuer les risques. Discutez des coûts complets des cyberintrusions, ce qui comprend l'équipe d'intervention en place et le soutien juridique de même que les répercussions sur les primes d'assurance et le revenu de l'organisation. Reportez-vous aux modèles de l'industrie pour comparer votre organisation à d'autres afin de comprendre où elle se situe et planifier les améliorations nécessaires.
À l'aide de ces personnes les membres du CA peuvent augmenter leurs connaissances en cybersécurité et réussir à traduire l'information axée sur les technologies en aperçus et en stratégies en matière de risques. Bref, ajouter un cybersiège au CA garantit un accès constant à l'expertise voulue pour raffermir vos équipes de gestion du risque, de sécurité et de technologies.
Pour mieux comprendre les cybermenaces et la façon d'intervenir, pensez à faciliter des simulations d'incidents. Ces exercices vous aideront à comprendre votre rôle durant un cyberévénement, les répercussions possibles, le besoin d'améliorer le déroulement des opérations et à bâtir la mémoire musculaire.
Lors d'une cyberattaque les membres du CA devraient communiquer activement avec les experts en sécurité et recevoir des mises à jour de leur part et des équipes d'intervention. En étant au courant de l'évolution et des résultats des incidents ils peuvent offrir des conseils indépendants et poser des questions pour déceler tout relent de risque. Les CA doivent aussi comprendre comment l'organisation entend intervenir lors de futures cyberattaques.
Ce que vous pouvez apprendre des incidents évités de justesse, voire d'un incident réel, pourrait prévenir les coups puisque 83 % des organisations ont déjà subi plus d'une cyberattaque. Demandez combien de fois cela s'est produit et ce que l'organisation en a tiré pour identifier les lacunes et élaborer des mesures appropriées.
Le rôle essential du CA en gestion des cyberrisques
Le degré d’examen détaillé qui entoure le conseil a changé ces dernières années. Après tout, il est là pour aider l’organisation à gérer les risques, et ça comprend les risques d’incidents de cybersécurité.
Selon une étude récente de la société Gartner, 88 % des conseils d'administration considèrent la cybersécurité comme un risque commercial, ce qui met en lumière une tendance des CA à prioriser la cybersécurité. Vous avez l’obligation fiduciaire non seulement de fournir un encadrement indépendant pour gérer la situation de l’entreprise en matière de cybersécurité mais aussi de lui poser plusieurs défis pour hausser la barre de votre cadriciel de défense.
BDO peut vous aider
Le portefeuille de BDO en matière de cybersécurité comprend une approche ciblée pour gérer les cyberrisques. Nous offrons des séances d’éducation pour aider à combler l’écart des savoirs et permettre aux membres du CA de rester au fait de la croissance rapide du paysage technologique. Au cours de ces rencontres nous leur montrons comment convertir une conversation axée sur les technologies en un échange axé sur le risque commercial, de sorte que le CA puisse offrir un degré responsable d’encadrement et poser les bonnes questions à ses équipes. Ces rencontres traitent aussi des cyberrisques les plus récents qui menacent les organisations d’aujourd’hui et de ce qu’elles font pour les atténuer.
En outre, notre cadriciel Perpetual Defence peut aider les organisations à rehausser leur position en matière de cybersécurité et à obtenir une gestion anticipée des risques adaptée aux risques de cybersécurité qui évoluent. Il comprend une préparation complète; le contrôle, la détection et l’intervention de même que des essais opérationnels et de sécurité.