Le conseil d'administration, Lead Cybersecurity

Avr 21, 2021 | Cyber Security, Non classé | 0 commentaires

La cybersécurité -une dimension de la gouvernance- doit devenir une priorité du conseil d'administration. Ce n'est pas encore le cas, mais il y a progrès.

Sécurité de l'information (44,7 %) et résilience du business (42,0 %), désormais les premières priorités au Davos Agenda 2021. Pour Jacques Ruckert, ce sont là des signes qui ne trompent pas. En introduction de la matinée sur la cybersécurité (mercredi 21 avril) de la Telindus Live Week, le Chief Solutions & Innovation Officer de Telindus y voit «un changement de paradigme majeur». Comparativement, avec 22,0 %, l'innovation n'arrive qu'en… huitième position.

Les violations profondes de la cybersécurité de 2020, qui ont abouti à l'attaque généralisée de la chaîne d'approvisionnement de Solarwinds, ont rappelé aux décideurs du monde entier l'importance accrue de la cybersécurité. Et la nécessité de l'inclure au niveau du conseil d'administration.

«Les cybermenaces sont des risques persistants et stratégiques pour toutes les organisations, quel que soit le secteur dans lequel elles opèrent. Pour faire face, note Jacques Ruckert, une culture de la cybersécurité et un leadership qui s'implique en matière de cybersécurité au plus haut niveau sont nécessaires.» 

La pandémie, ce révélateur

L'année 2020 ayant marqué les esprits, «il est devenu évident que la sécurité est l'affaire de tous dans l'entreprise; les conseils d'administration, en particulier, et sans doute en premier, estime Cédric Mauny, Cybersecurity Lead, Telindus. Ils ont besoin de bases plus solides pour gérer efficacement les risques cyber. La pandémie COVID-19 a accéléré l'adoption de la technologie, tout en révélant les vulnérabilités et le manque de préparation. En exacerbant, aussi, les inégalités technologiques au sein et entre les sociétés.»

On l'a compris, la cybersécurité deviendra stratégique. Il s'agira de développer davantage de partenariats entre les industries et les régulateurs, mais aussi avec les décideurs. Comme tout autre défi sociétal stratégique, la cybersécurité ne peut être abordée en silos.

Le mouvement est en marche. En janvier, Gartner observait l'évolution : les conseils d'administration considèrent désormais la cybersécurité comme la deuxième source de risque la plus importante. Et de prévoir que, d'ici 2025, 40 % des conseils d'administration disposeront d'un comité dédié à la cybersécurité, supervisé par un membre qualifié du conseil…

L'impulsion doit venir d'en-haut

Vers un mieux, donc. Mais le chemin sera encore long. Seuls 37 % des administrateurs considèrent que leur conseil comprend parfaitement le plan de gestion de crise de leur entreprise, a chiffré PwC. C'est peu. Et inquiétant.

Pour sa part, le World Economic Forum préconise les Principles for Board Governance of Cyber Risk, un document conçu comme une référence. S'appuyant sur les orientations existantes, et élaboré en coopération avec la National Association of Corporate Directors, l'Internet Security Association et les partenaires du Forum, il propose six principes pour la gouvernance des conseils d'administration en matière de cybersécurité.

Même si nous commençons à voir des entreprises s'engager sur la bonne voie, en créant des comités de cyber sécurité indépendants rapportant directement au conseil d'administration, la tendance est encore faible, laisse entendre Cédric Mauny. Or, «le lead doit venir d'en haut !»

Des dangers au quotidien

Pourtant, les organes supérieurs sont les plus menacés, montrent différentes études. Les membres de la direction et du conseil d'administration, dont la compromission des comptes est susceptible d'avoir un impact particulièrement important, sont les premières cibles. Siégeant, pour certains, à plusieurs conseils d'administration, ils disposent d'un réseau de contacts précieux et influents.

Qui plus est, les attaques de phishing sont de plus en plus sophistiquées et, de facto, plus difficiles à repérer. Les assaillants les plus avancés adaptent toujours plus subtilement leurs attaques à leurs cibles en utilisant intelligemment des sites web externes. Il peut s'agir d'e-mails classiques de type «échec du paiement par carte bancaire» aux sondages Doodle en passant par les services de partage de fichiers…

De nombreux employés et cadres supérieurs peinent à faire la différence entre les commerciales légitimes et ces attaques de type spear phishing. Le risque est grand de voir des données personnelles et de l'entreprise transmises aux cyberdélinquants.

Un comité de cybersécurité au conseil d'administration

Pour aller plus loin, les entreprises ne doivent pas seulement posséder un expert en cybersécurité parmi les membres de leur conseil d'administration, mais aussi un vrai comité de cybersécurité en contact direct avec le conseil.

Enfin, les conseils devront se préparer à une cyberattaque et s'assurer que la direction a élaboré un plan d'intervention conforme aux meilleures pratiques du secteur. En somme, articuler la gestion des risques, la technologie, la gestion des incidents et, surtout, la culture de la cybersécurité, en partant de la gouvernance, rappellent les experts de Telindus.

La culture de la cybersécurité, prévient Cédric Mauny, est la dimension la plus difficile à mettre en oeuvre et à contrôler. «L'une des erreurs, souligne-t-il, est de considérer l'opinion des cadres supérieurs et des informaticiens comme privilégiée. Toutes les mesures de sécurité doivent être compréhensibles à tout le personnel». D'où une nécessité de formation. Et l' de ce sujet, a priori strictement technologique, aux autres dimensions de l'entreprise.

Sommaire
Le conseil d'administration, Lead Cybersecurity
Titre
Le conseil d'administration, Lead Cybersecurity
Description
La cybersécurité -une dimension de la gouvernance- doit devenir une priorité du conseil d’administration. Ce n'est pas encore le cas, mais il y a progrès.
Auteur
Editeur
Soluxions Magazine
Logo