Les cybermenaces sont des risques persistants et stratégiques pour toutes les organisations, quel que soit le secteur dans lequel elles opèrent. Pour faire face, une culture de la cybersécurité et un leadership qui s’implique en matière de cybersécurité au plus haut niveau sont nécessaires.
Les technologies de l’information étant de plus en plus importantes pour la position concurrentielle des entreprises, les dirigeants sont devenus plus sensibles à la gestion globale des risques informatiques de leur organisation. Compte tenu de la fréquence inquiétante des cyberattaques, les entreprises, quelles que soient leur forme et leur taille, sont de plus en plus menacées. Aussi, il est devenu essentiel pour le conseil d’administration de s’assurer que les mesures de cybersécurité d’une entreprise sont adéquates.
Pour faire face à ce problème, le fait de doter le conseil d’administration de membres ayant une grande expertise en matière de sécurité pourrait être l’un des meilleurs mécanismes de protection dans un environnement commercial de plus en plus risqué, tant du point de vue de la gouvernance d’entreprise que de la gouvernance informatique.
S’engager sur la question du risque cyber
Pour aider les administrateurs d’entreprise à appréhender la gestion globale des risques informatiques, le Forum économique mondial a édité un document (Principles for BoardGovernance of Cyber Risk) conçu comme une référence lorsqu’ils établissent la stratégie de cybersécurité de leur organisation et s’engagent avec les parties prenantes sur la question du risquecyber. Ce guide s’appuie sur les orientations existantes. Il a été élaboré en coopération avec la National Association of Corporate Directors, l’Internet Security Association et les partenaires du Forum, il propose six principes pour la gouvernance des conseils d’administration en matière de cybersécurité.
Rédigé en collaboration avec PwC, le rapport fournit des conseils et suggère des actions essentielles que les administrateurs peuvent trouver utiles lorsqu’ils cherchent à comprendre la position actuelle de leur organisation, à exercer leur fonction de surveillance et à fixer des objectifs futurs. Voici les trois premiers principes élaborés par les experts, et qui synthétisent les principales orientations destinées aux administrateurs. Nous avons publié les trois premiers dans cet article. Voici les trois suivants.
Harmoniser l’organisation interne et la cybersécurité
- Modifier la structure organisationnelle pour s’assurer que la fonction de cybersécurité est correctement représentée dans l’entreprise, les groupes internes et la direction.
- Comprendre les bases de l’attribution des rôles importants et des lignes de responsabilité en matière de stratégie, de politique et d’exécution de la cybersécurité, et remettre en question cette attribution.
- Définir les attentes en matière de dotation en personnel et de financement des fonctions de cybersécurité et de risque cyber et contrôler l’efficacité de ces décisions.
- Inspirer une culture de la cybersécurité et encourager la collaboration entre la fonction de cybersécurité et toutes les parties prenantes liées au risque cyber et aux responsables de celui-ci à différents niveaux (par exemple, conformité, vie privée, etc.).
- Veiller à ce qu’un responsable ait l’autorité et la responsabilité de coordonner la stratégie en matière de risque cyber dans l’ensemble de l’organisation et que celle-ci dispose d’un plan complet de gouvernance des données.
Intégrer l’expertise en cybersécurité dans le conseil d’administration
- Établir des relations avec les parties prenantes internes qui peuvent fournir une expertise pour guider les décisions stratégiques en matière de cybersécurité, jusqu’à s’assurer que l’expertise en matière de cybersécurité est représentée au conseil d’administration.
- Saisir les occasions d’accroître le niveau de connaissances de base des administrateurs sur le risque cyber.
- Faire appel à des conseillers et à des évaluateurs tiers, qui rendent régulièrement compte au conseil, pour assurer une supervision efficace de la part de la direction.
- Envisager des audits périodiques, des examens de la solidité de la cybersécurité et des analyses comparatives par des tiers indépendants.
- Organiser des sessions régulières avec le conseil d’administration pour le tenir informé sur les récents cyberincidents, tendances, vulnérabilités et prévisions de risques. Faire appel à des tiers externes, si nécessaire, pour garantir l’exactitude et la compétence.
Encourager la résilience et la collaboration systémiques
- Développer une vision à 360 degrés de la position de l’organisation en matière de risques et de résilience pour agir en tant que partie socialement responsable dans l’environnement plus large dans lequel l’entreprise opère.
- Développer des réseaux de pairs, y compris d’autres membres du conseil, pour partager les meilleures pratiques de gouvernance au-delà des frontières institutionnelles.
- S’assurer que la direction dispose de plans pour une collaboration efficace, en particulier avec le secteur public, pour améliorer la cyber-résilience
- S’assurer que la direction prend en compte les risques découlant de l’ensemble de l’industrie (par exemple, les tiers, les fournisseurs et les partenaires).
- Encouragez la participation de la direction dans les groupes industriels et les plateformes de partage des connaissances et des informations
