Le nombre de comptes utilisateurs piratés a atteint un seuil critique début 2019, avec la divulgation de la première méga fuite totalisant 2,2 millions de comptes. De plus, pour les entreprises qui ne sécurisent pas leurs ressources résidant dans le cloud, les chiffres sont encore pires : 2,7 milliards d’adresses email, un milliard de mots de passe email et 800 000 demandes de certificats de naissance ont été récemment détournés dans le plus récent incident de cette nature. Il s’agit là de fuites dans des proportions astronomiques, qui éveillent désormais certainement l’attention de directeurs informatiques comme de directeurs généraux.

Mais quelle importance revêt la cyber sécurité aujourd’hui au sein des conseils d’administration ?


Il ne s’agit plus uniquement d’un problème informatique, car 80% des grandes entreprises ayant déjà subi un incident grave de cyber sécurité ont dû en informer leur conseil d’administration. Ces événements ont désormais un impact sur le chiffre d’affaires – et certainement aussi sur la réputation et l’image de marque des entreprises.

Rappelons-nous l’un des piratages les plus tristement célèbres de ces dernières années, celui qui a touché Yahoo. Il a eu un impact important à la fois sur l’image et les finances de l’entreprise – la dévaluation de sa valeur lors de son acquisition par Verizon, par exemple. En dehors des coûts informatiques liés au blocage de l’attaque, un piratage a bien d’autres conséquences dommageables, des amendes pour non-conformité aux pertes de revenus dues à l’interruption ou au ralentissement des activités.

Clairement, étant donné les profondes ramifications que peut avoir aujourd’hui un seul incident de cyber sécurité, ce sujet doit désormais devenir une priorité au sein des conseils d’administration, s’il ne l’est pas déjà.

Concrètement, quels progrès ont déjà réalisé dans ce domaine ? Comment les conseils d’administration suivent-ils le rythme des défis de cyber sécurité actuels, et que pouvons-nous attendre d’eux à ce sujet dans les années à venir ?

Une prise de conscience accrue

Des progrès sont constatés aujourd’hui dans deux domaines. Premièrement, on dénombre davantage d’entreprises dont le conseil d’administration comprend au moins un membre possédant une expertise en cyber sécurité. Cela semble être une tendance durable – 35 des 100 plus grandes entreprises américaines par exemple étant dans ce cas. C’est là une étape naturelle et indispensable dans le processus.

Deuxième progrès notable : 42% des membres des conseils d’administration interrogés récemment aux Etats Unis estiment que ce sont les menaces de cyber sécurité qui ont eu le plus grand impact sur leur entreprise en 2019, ce qui implique que leur prise de conscience du cyber risque s’est largement accrue. Toujours plus de conseils ont effectivement pris conscience du problème.

Mais encore peu de comités indépendants

Mais beaucoup d’efforts restent encore à faire. Même si nous commençons à voir des entreprises qui s’engagent sur la bonne voie, en créant des comités de cyber sécurité indépendants rapportant directement au conseil d’administration, cette tendance est encore faible. Les organisations qui s’engagent dans cette direction – notre entreprise est l’une d’entre elles – représentent encore une très petite minorité : seules environ 10% des entreprises possèdent un comité dédié à la cyber sécurité au niveau de leur conseil d’administration.

Pour aller plus loin, les entreprises ne doivent pas seulement posséder un expert en cyber sécurité parmi les membres de leur conseil d’administration, mais aussi un vrai comité de cyber sécurité en contact direct avec leur conseil, qui doit désormais faire partie des meilleures pratiques. Les missions de ce comité devraient clairement se concentrer sur la réduction des risques auxquels l’entreprise est confrontée et sur l’augmentation de la visibilité nécessaire pour contrer ces risques.

Un rôle de gouvernance et de conseil sur la cyber sécurité

Pour concrétiser ces nouvelles avancées, les conseils d’administration doivent pouvoir disposer d’un vrai pouvoir de surveillance sur les moyens utilisés par l’entreprise pour protéger les données sensibles de ses clients et de ses employés. Cette visibilité leur permettra alors d’avoir à la fois un rôle de gouvernance et de conseil sur le choix des meilleures couches supplémentaires de protection nécessaires.

Mais comment pouvons-nous accélérer ce mouvement ? Une option, identique à la nouvelle réglementation californienne qui impose une représentation féminine au sein des conseils d’administration, pourrait être une réglementation répondant au problème posé par la cyber sécurité, en exigeant que les entreprises recrutent des spécialistes de ce domaine au sein de leurs conseils.

Alors que la gouvernance de la cyber sécurité s’impose en tête des priorités dans les entreprises, les conseils d’administration doivent non seulement évaluer les risques, mais aussi aider à recommander, gouverner et imposer les mesures préventives les mieux adaptées. Faire de cette avancée une réalité s’affirme comme de plus en plus stratégique pour installer les meilleures pratiques de cyber sécurité à tous les niveaux du management.

<<< À lire également : Cyber Sécurité : Les “Portes Dérobées” Au Cœur de la Guerre Commerciale >>>