La cybercriminalité est en hausse. Rançongiciels, logiciels malveillants, hameçonnage et prise de contrôle de comptes : les risques se multiplient.
En fait, 83 % des entreprises qui ont été sondées dans le Data Breach Action Guide d’IBM ont été victimes d’au moins une atteinte à la protection des données. Détecter et contenir une atteinte à la cybersécurité n’est pas chose aisée : il faut environ 277 jours pour y parvenir.
Pour limiter les risques liés à la cybersécurité, les administrateurs doivent participer davantage au renforcement des dispositifs de cybersécurité de l’entreprise. Il arrive souvent qu’ils ne connaissent pas assez bien les cybermenaces de l’heure pour contribuer à l’élaboration de stratégies adaptées de gestion des risques et prendre des décisions informées. À peine 51 % des entreprises figurant dans le classement Fortune 100 comptent un spécialiste en cybersécurité parmi les membres de leur conseil d’administration, tandis que ce pourcentage chute à 9 % pour celles du Fortune 200 et 500.
En tant que protecteurs des intérêts de l’entreprise, les conseils d'administration ne peuvent se permettre de faire fi des cyberrisques. Comme presque toutes les activités d’une entreprise sont maintenant informatisées, une violation importante des données ou une attaque par rançongiciel peut nuire directement au chiffre d’affaires, à la réputation ou à la valeur actionnariale. Plus encore, les conseils d'administration qui ne s’occupent pas adéquatement de la cybersécurité ne remplissent pas leur devoir fiduciaire et exposent l’entreprise à des risques.
Le rôle des administrateurs dépasse la seule supervision des activités de cybersécurité de l’entreprise : ils doivent évaluer la posture de sécurité et vérifier si celle-ci et le profil de risque correspondent à la tolérance au risque de l’entreprise. Toutefois, bon nombre de membres de conseil d'administration connaissent bien mal l’appétence aux cyberrisques de leur entreprise ou l’écosystème de cybermenaces dans lequel elle évolue. De ce fait, de plus en plus d’entreprises sont victimes de cybercrimes. Il est donc impératif que les équipes des TI pallient ce manque de connaissances tout en agissant concrètement pour améliorer la compréhension des enjeux de cybersécurité.
Comment les membres du conseil d'administration devraient-ils encadrer la cybersécurité?
Les administrateurs devraient demander aux responsables des équipes des TI de reformuler les problèmes techniques sous l’angle des risques d’entreprise afin de mieux évaluer la posture de sécurité de celle-ci. Combler ce fossé communicationnel est fondamental pour la convergence des points de vue et l’adoption d’une approche collaborative à l’égard de la gouvernance de la cybersécurité.
Par exemple, plutôt que de parler des contrôles de sécurité hautement techniques, ils devraient s’entretenir du degré de risque des actifs numériques de l’entreprise et des indicateurs appropriés pour évaluer leur posture de sécurité. Ce simple changement de perspective (c.-à-d. passer des aspects techniques aux risques) permet aux responsables des TI et aux administrateurs d’être sur la même longueur d’onde. Ces derniers peuvent ainsi creuser le sujet avec les responsables, lesquels peuvent en retour aborder les enjeux de cybersécurité d’une manière que comprennent les administrateurs.
Le principal défi des responsables de la cybersécurité concernant les membres du conseil d'administration
Le manque de connaissances informatiques étant un problème courant au sein des conseils d'administration, il est d’autant plus important d’établir une bonne communication entre les professionnels en technologie et les administrateurs.
Les conseils d'administration veillent principalement à l’atteinte des objectifs commerciaux, à la génération de revenus et à l’expansion des activités, tandis que les spécialistes en TI se concentrent plus sur des sujets hautement techniques. Cela leur vaut d’être perçus comme travaillant en vase clos et ne s’intéressant pas à l’activité de l’entreprise. Le décalage entre leurs priorités et leur jargon peut entraîner des malentendus et empêcher le responsable de la cybersécurité de bien faire valoir l’importance de ses initiatives et ses investissements auprès du conseil d’administration. Aucun des deux n’oriente la discussion sur les risques d’entreprise, enjeu qui doit absolument être abordé pour améliorer la cybersécurité.
Stratégies pour améliorer la surveillance de la cybersécurité par le conseil d'administration
Pour développer les connaissances des administrateurs sur la cybersécurité et orienter la discussion sur les risques, les entreprises peuvent mettre en place des stratégies de communication.
De telles séances d’information sont rarissimes. Pourtant, elles permettent aux responsables des TI d’informer les membres du conseil d'administration des principales menaces à la cybersécurité pesant sur leur secteur et leur entreprise. Les lacunes de l’entreprise en matière de sécurité et les atteintes qui ont été prévenues peuvent aussi y être abordées. Ces séances donnent également aux administrateurs l’occasion d’en apprendre davantage sur le paysage de la cybersécurité et de poser des questions aux responsables des TI sur les risques d’entreprise dans le but de déterminer ce qui doit être fait pour minimiser les menaces et contrer les atteintes potentielles.
Le conseil d'administration devrait se poser les questions suivantes : Quels sont les trois principaux incidents de sécurité à survenir dans le secteur? Sommes-nous protégés contre ceux-ci? Quelles mesures avons-nous mises en place pour atténuer les risques? Une communication solide et un partage des connaissances permettront d’adopter des mesures de cybersécurité rigoureuses qui protégeront l’entreprise contre les nouvelles menaces.
Pour que les membres du conseil d'administration saisissent pleinement ce qu’est la cybersécurité, utilisez des données concrètes axées sur les risques qui leur permettront de prendre des décisions pragmatiques en la matière. Plutôt que d’utiliser des tableaux comprenant des douzaines d’indicateurs de rendement clés, présentez-leur :
- les sommes que l’entreprise consacre à la cybersécurité par employé et une comparaison avec des données de référence sectorielles;
- le nombre d’atteintes à la cybersécurité qui ont été prévenues;
- les leçons tirées de telles situations;
- une comparaison entre le nombre d’atteintes à la cybersécurité subies par l’entreprise par rapport au nombre moyen survenues dans le secteur;
- le nombre d’incidents de cybersécurité récurrents;
- la vitesse à laquelle l’entreprise a repris ses activités après un problème de sécurité;
- le nombre d’heures consacrées à corriger une faille de sécurité;
- les répartitions des dépenses pour contrer les principales menaces du secteur;
- la posture de sécurité de l’entreprise et ses changements à la lumière des initiatives à venir.
Vu le nombre ingérable de menaces, les équipes des TI doivent pouvoir faire part de leur expérience et décrire fidèlement la situation actuelle. Pour ce faire, elles ont besoin d’un espace sécuritaire propice à une discussion ouverte sur les risques.
Il s’agit d’un changement de culture instauré par la direction, puis propagé aux autres échelons de l’entreprise. Il est important que les problèmes de cybersécurité urgents puissent être abordés de façon transparente, que les risques soient reconnus de bonne foi et que des solutions soient élaborées de manière collaborative pour améliorer la posture de sécurité. Sans ces échanges francs, les administrateurs ne pourront pas déterminer si les ressources sont adéquatement réparties.
En conclusion, la perfection n’existe pas, et les risques sont inévitables dans le domaine de la cybersécurité. Si tout semble parfait, il faut se poser les questions suivantes : Quelle est la zone la plus vulnérable de l’entreprise? Avons-nous pris des mesures pour y remédier?
Les entreprises doivent comparer leurs dépenses en cybersécurité avec des données de référence sectorielles pour déterminer si elles sont en phase avec leurs concurrents et si elles investissent suffisamment dans la sécurité. Elles n’ont pas à augmenter ces investissements en fonction de leur expansion, mais elles doivent les ajuster lorsqu’elles effectuent des changements majeurs comme l’embauche de nouveaux employés ou la conquête de nouveaux marchés. Pour assurer une protection optimale, des investissements stratégiques doivent avant tout viser les actifs les plus précieux et les plus susceptibles d’être la cible des cyberattaques.
Il importe également de discuter avec le conseil d'administration des coûts engendrés par une atteinte à la cybersécurité. Une comparaison entre les coûts d’une violation et les investissements en sécurité est à envisager. Pour prendre des décisions éclairées en matière de dépenses en cybersécurité, il faut notamment tenir compte des atteintes à la réputation, des coûts liés au retour à la normale et des pertes de ventes potentielles.
Le conseil devrait fournir un soutien lors des incidents de cybersécurité, être informé fréquemment des changements dans la situation et bien comprendre les principales décisions qui sont prises. Dans de tels cas, il peut fournir des conseils très utiles concernant l’appétence au risque de l’entreprise. En l’incluant dans les discussions sur les répercussions financières, la disponibilité des systèmes, le paiement de rançons, l’embauche d’autres employés en TI ou l’achat de produits de cybersécurité supplémentaires, les entreprises tirent grandement parti des compétences en affaires de ses membres.
Cet ajout peut transformer le déroulement des discussions sur les mesures de cybersécurité avec le conseil. Comme la plupart des administrateurs possèdent peu de connaissances techniques, nous recommandons aux entreprises d’accorder la priorité à un spécialiste en TI lors de la sélection d’un nouveau membre. Ainsi, tant les risques que les aspects techniques peuvent être abordés.
BDO peut vous aider
BDO soutient les entreprises dans la création d’espaces de discussions constructives sur la cybersécurité entre les membres de leur conseil d'administration et les responsables des TI de sorte que l’appétence au risque de l’entreprise soit prise en compte. De plus, nous adoptons une vision globale de la cybersécurité en nous appuyant sur notre solution Perpetual Defense,
Notre offre comprend des services de préparation complète, de surveillance 24 h sur 24, de détection, d’intervention et de tests de sécurité opérationnels et offensifs. À titre de lauréats du prix Partenaire Microsoft de l’année, nous possédons une vaste expérience en réduction des risques de sécurité à l’adoption de nouveaux systèmes infonuagiques.