Comment les CA doivent traiter la cybersécurité

Par La rédaction | 16 mars 2022 | Dernière mise à jour le 15 août 2023
3 minutes de lecture

La question de la cybersécurité relève des conseils d’administration (CA). Mais encore faut-il savoir comment aborder cette problématique complexe.

La pandémie de COVID-19 et désormais la guerre en Ukraine ont accru les risques d’être frappé par des cyberattaques, quelles que soit leur nature.

La cybersécurité est plus que jamais devenue un enjeu stratégique primordial. La manière de répondre à ce défi conduira les firmes à survivre ou à succomber aux risques numériques, souligne Harvard Business Review, qui liste les questions que les administrateurs devraient se poser.

PLUS LARGE QUE LES FUITES DE DONNÉES

La cybersécurité ne se limite pas à la protection des données. La fuite d’informations personnelles n’est qu’un des risques en termes de cybersécurité. Les administrateurs doivent établir une carte de toutes les menaces qui pèsent sur l’organisation.

DES MISSIONS À DÉFINIR

Le CA n’a pas vocation à tout faire en matière de cybersécurité. Il doit s’assurer que l’organisation dispose d’un plan, mais il n’est pas là pour l’établir lui-même. Ce plan peut correspondre au cadre élaboré par le National Institute of Standards and Technology (NIST) aux États-Unis, qui consiste à préparer l’organisation à faire face à une cyberattaque :

  • identifier,
  • protéger,
  • détecter,
  • répondre
  • et récupérer.

Dans chacun de ces domaines, le plan de l’entreprise doit être documenté pour dire comment elle répondra le moment venu.

LES PRIORITÉS EN MATIÈRE DE CYBERSÉCURITÉ

Le CA doit d’abord se concentrer sur le risque, la réputation et la continuité des activités. Même s’ils sont d’une autre nature que les risques commerciaux, les risques de cybersécurité doivent être traités aussi sérieusement. Pour cela, le CA doit être au cœur d’une communication claire en matière de cybersécurité. Il doit pouvoir comparer les mesures prises par l’organisation avec les meilleures pratiques existantes, et pousser à combler les écarts existants.

AGIR EN PROFONDEUR

Les mécanismes de défense peuvent être dépendants les uns des autres. Les administrateurs doivent veiller à ce que les différents systèmes puissent agir les uns après les autres, selon le degré de la brèche de sécurité, sans que toute la défense soit prise à défaut. Cela implique que des procédures précises soient en place, et pas seulement du point de vue technologique, mais aussi en tenant compte du facteur humain, particulièrement visé lors de certaines attaques.

PAS SEULEMENT DE LA TECHNOLOGIE

Près de neuf violations de données sur dix sont dues à des erreurs humaines, selon une étude de l’Université de Stanford. Le meilleur moyen d’anticiper est de créer une culture de cybersécurité, où chaque employé est concerné par la protection des données de l’entreprise. Les employés sont souvent les premiers à détecter des anomalies, et à être en mesure d’éviter qu’elles prennent des proportions importantes.

LES QUESTIONS ESSENTIELLES

Le CA doit être en mesure de répondre à ces questions primordiales en termes de cybersécurité :

  • quels sont nos actifs les plus importants et comment les protégeons-nous ?
  • quelles couches de protection avons-nous en place ?
  • comment détectons-nous une violation de notre infrastructure technologique ou de nos données ?
  • quel est notre plan d’action en cas d’incident ?
  • quel est le rôle du CA en cas d’incident ?
  • quel est le plan de reprise d’activité en cas d’incident ?
  • notre effort budgétaire en matière de cybersécurité est-il suffisant?

Il appartient au CA de veiller à ce que l’organisation ait une réponse solide à chacune de ces questions. Il s’agit de sa responsabilité. Il doit éviter qu’une violation future tourne à la catastrophe.