Les cybermenaces sont des risques persistants et stratégiques pour toutes les organisations, quel que soit le secteur dans lequel elles opèrent. Pour faire face, une culture de la cybersécurité et un leadership qui s’implique en matière de cybersécurité au plus haut niveau sont nécessaires.
Le risque cyber figure parmi les principales menaces auxquels les entreprises sont confrontées. Les technologies de l’information étant devenues centrales pour la position concurrentielle des entreprises, les dirigeants sont de plus en plus sensibles à la gestion globale des risques informatiques de leur organisation. L’année 2020 ayant marqué les esprits, il est devenu évident que la sécurité est l’affaire de tous dans l’entreprise. Les conseils d’administration, en particulier, ont besoin de bases plus solides pour gérer efficacement les risques cyber.
Dans une étude de Gartner publiée en janvier dernier, les conseils d’administration considèrent la cybersécurité comme la deuxième source de risque la plus importante pour l’entreprise. D’ici 2025, prédit l’enquête, 40 % des conseils d’administration disposeront d’un comité dédié à la cybersécurité, supervisé par un membre qualifié du conseil, contre moins de 10 % aujourd’hui. Néanmoins, la prise en compte des enjeux de la cybersécurité pour les affaires ne s’accompagne pas toujours d’une compréhension des implications pratiques. Selon une enquête PwC, seuls 37 % des administrateurs ont déclaré que leur conseil d’administration comprenait parfaitement le plan de gestion de crise de leur entreprise.
Une impulsion qui vient d’en-haut
Pour aider les administrateurs d’entreprise à appréhender la gestion globale des risques informatiques, le Forum économique mondial a édité un document (Principles for Board Governance of Cyber Risk) conçu comme une référence lorsqu’ils établissent la stratégie de cybersécurité de leur organisation et s’engagent avec les parties prenantes sur la question du cyber-risque. S’appuyant sur les orientations existantes, et élaboré en coopération avec la National Association of Corporate Directors, l’Internet Security Association et les partenaires du Forum, il propose six principes pour la gouvernance des conseils d’administration en matière de cybersécurité.
Rédigé en collaboration avec PwC, le rapport fournit des conseils et suggère des actions essentielles que les administrateurs peuvent trouver utiles lorsqu’ils cherchent à comprendre la position actuelle de leur organisation, à exercer leur fonction de surveillance et à fixer des objectifs futurs. Voici les trois premiers principes élaborés par les experts, et qui synthétisent les principales orientations destinées aux administrateurs.
1La cybersécurité est un levier stratégique pour les entreprises
- Intégrer les considérations de cyber-risque dans les principales décisions opérationnelles et stratégiques, y compris l’adoption du cyber-risque comme un point récurrent de l’ordre du jour des réunions du conseil d’administration.
- Examiner chaque nouvelle initiative majeure de transformation à travers le prisme du risque cyber.
- Déterminer quel comité du conseil devrait avoir la supervision principale des questions de risque cyber.
- Analyser les questions de cybersécurité au regard de leurs implications stratégiques et dans le cadre du risque d’entreprise ; en outre, analyser les considérations de la stratégie et du modèle d’entreprise en ce qui concerne les questions de cybersécurité.
- Demander aux dirigeants d’identifier les possibilités d’utiliser la cybersécurité comme facteur de différenciation sur le marché ou comme moteur de l’activité.
2Comprendre les moteurs économiques et l’impact du risque cyber
- Examiner et approuver l’appétit ou la tolérance de l’organisation en matière de risque cyber, dans le contexte du profil de risque et des objectifs stratégiques de l’entreprise en s’assurant que la direction a :
- défini les niveaux d’appétit pour le risque cyber en termes financiers afin d’éclairer la prise de décision et développer des indicateurs clés pour mesurer la performance globale de la gestion des cyber-risques ;
- mis en œuvre un programme visant à identifier les scénarios de cyber-risque qui correspondent au profil de risque de l’organisation et établir un appétit pour le risque (risk appetite) ;
- fourni au conseil d’administration des justifications détaillées pour la détermination par l’organisation de l’importance relative du risque, y compris le risque cyber, sur la base d’une indication de l’importance du risque pour la réputation, la clientèle, les finances et d’autres impacts pertinents dans le cadre de son suivi régulier de la gestion des risques.
- Demander à la direction d’établir un cadre cohérent, utilisant des modèles de quantification des risques acceptés par le secteur, pour calculer l’impact économique potentiel et la probabilité de scénarios de cybersécurité.
- Exiger un examen continu des mesures et des instruments de mesure du risque cyber. Les cadres et les rapports acceptés par l’industrie peuvent guider les décisions fondées sur les données, en alignant l’appétit pour le risque sur les objectifs et la stratégie de l’organisation.
- Fonder les décisions de gestion des risques cyber sur l’impact potentiel et la probabilité des événements à risque et les pertes ou expositions fonctionnelles.
3Aligner la gestion du risque cyber avec les besoins métier
- Examiner d’un œil critique la stratégie commerciale et les moteurs de l’organisation (par exemple, la croissance numérique) dans le contexte de leurs implications en matière de risque cyber.
- Exiger de la direction exécutive (c’est-à-dire de l’ensemble des cadres dirigeants) qu’elle rende compte au conseil d’administration des implications de ses activités en matière de cybersécurité, de l’appropriation des risques et de l’alignement sur le programme de gestion des risques de l’entreprise, sans négliger de couvrir la manière dont les décisions relatives aux risques cyber sont suivies.
- Exiger que la direction rende compte au conseil d’administration avec des plans bien élaborés, écrits et testés (ou des rôles dans le plan général) pour contrer les cyber-événements.
- Exiger de la direction qu’elle intègre l’analyse des cyber-risques dans les décisions commerciales importantes (par exemple, le lancement d’un nouveau produit ou la publication d’une application), ainsi que des garanties efficaces quant à la qualité et à l’exhaustivité des informations.
- Exiger de la direction qu’elle fournisse au conseil d’administration des feuilles de route sur la manière dont l’entreprise détermine la matérialisation des risques afin d’informer les obligations réglementaires. (À suivre.)