Cet article s’inscrit dans la série 12 principes stratégiques en gestion des risques liés au respect de la vie privée, à la cybersécurité et à l’IA. Celle-ci explore les principaux aspects sur lesquels les équipes de direction et les conseils d’administration doivent collaborer pour protéger la valeur de leur entreprise dans un environnement de risque de plus en plus complexe.
La cybersécurité ne peut plus être cloisonnée. Elle doit être abordée par les conseils d’administration et intégrée dans les stratégies de gouvernance des risques. De plus en plus, les chef·fes de la sécurité de l’information sonnent l’alarme à propos non seulement de menaces externes, mais aussi d’incohérences au sein de leur propre organisation entre la cyberplanification et les risques réels, de même que les stratégies de continuité des activités et la réponse aux crises.
Pourquoi est-ce important?
De nombreux conseils d’administration voient toujours la cybersécurité comme une question technique ou la responsabilité des équipes de TI. Toutefois, les cyberattaques ont maintenant des répercussions directes sur la continuité des opérations, la confiance des investisseurs et l’image de marque. Les rançongiciels peuvent interrompre les activités. Les atteintes à la sécurité des données peuvent donner lieu à des actions collectives. En résumé les cybermenaces sont également des menaces d’affaires.
Les conseils d’administration qui traitent la cybersécurité et la gouvernance comme une priorité et exigent que leurs cadres soient au diapason se trouveront en meilleure position pour affronter les perturbations et garder la confiance des parties prenantes.
Ce que les équipes de direction et les conseils d’administration doivent prioriser
- Intégration des cyberrisques à la stratégie de gestion des risques
Les cyberrisques doivent être considérés au même titre que les autres risques pour que les conseils d’administration puissent les comparer et les gérer adéquatement. - Planification de la continuité des activités qui tient compte des rançongiciels
Les plans de continuité des activités et de reprise après catastrophe doivent traiter les rançongiciels comme une menace à part entière. Ils doivent également comprendre une stratégie de communication et de restauration des données et des dispositions en cas d’arrêt des systèmes. - Prise en compte des aspects juridiques, des relations publiques et des activités dans votre plan de crise
Une réponse bien coordonnée requiert la collaboration de toutes les équipes. Il est important que les conseils demandent aux personnes responsables des activités juridiques, des communications et de l’exploitation si elles ont testé un scénario d’atteinte à la sécurité des données ensemble, et si leur plan est régulièrement réexaminé. - Définition claire des responsabilités et de l’autorité du/de la chef·fe de la sécurité de l’information
Les conseils d’administration doivent comprendre de qui relève le/la chef·fe de la sécurité de l’information, à quel point il/elle est en mesure de faire escalader un problème, et si il/elle est entendu·e par les autres membres de la haute direction.
Dernières réflexions
Un conseil d’administration qui se préoccupe des cyberrisques n’est pas que de la bonne gouvernance – il s’agit d’un avantage concurrentiel. Dans un environnement de risque instable, toutes les parties doivent avancer dans la même direction pour faciliter la prise de décisions.
