Conseils d’administration et directeurs financiers doivent voir la cybersécurité comme une priorité
Auteur :
Mark Hughes, DXC Technology
En tant que directeur chargé du suivi des solutions de sécurité proposées à nos clients à travers le monde, je vois que la cybersécurité est un thème toujours plus présent dans les ordres du jour des conseils d’administration. À l’heure où la plupart des budgets sont réduits, les dépenses liées à la sécurité sont supposées augmenter de 8,1 % chaque année à l’échelle internationale et atteindre 174,7 milliards d’ici 2024 selon IDC.
Il y a une bonne raison à cela. Les violations de données majeures et les attaques par ransomware paralysantes peuvent avoir des conséquences semblables à celles d’une catastrophe naturelle. Souvent, elles entraînent l’arrêt de l’activité de l’entreprise et impliquent des dommages sur le plan de son image, de la fidélité de ses clients, de ses relations avec les partenaires, etc. Le coût prévu de la cybercriminalité estimé à 6 000 milliards de dollars en 2021 représente, et j’en suis étonné, « le plus grand transfert de richesse économique de l’histoire » selon Cybersecurity Ventures.
Si les administrateurs et les directeurs financiers ont appris quelque chose en 2020, c’est qu’ils doivent anticiper ce à quoi ils ne s’attendent pas. Mais pour parvenir à une efficacité véritable, les conseils d’administration et les directeurs financiers doivent bien comprendre les risques et considérer la cybersécurité comme élément fondamental de presque tout ce que fait une entreprise, à commencer par ce qui se fait en haut.
Ce n’est pas juste un problème informatique
Il est important de comprendre que la sécurité n’est plus seulement une question de modification et de protection des systèmes informatiques. Nous avons compris que la problématique est bien plus en lien avec l’exploitation même de l’entreprise, son fonctionnement.
Pour parvenir à une efficacité véritable, les conseils d’administration et les directeurs financiers doivent bien comprendre les risques et considérer la cybersécurité comme élément fondamental de presque tout ce que fait une entreprise, à commencer par ce qui se fait en haut.
En juin dernier, lorsqu’une attaque par ransomware a débouché sur le blocage des réseaux internes d’un acteur international de l’industrie, celui-ci a été obligé de fermer temporairement ses unités de production, son service client et ses services financiers.
L’autre tendance visible est l’amplification du risque, dans sa variété, pour les grandes entreprises. Divers facteurs socio-techniques, tels que réglementations, changements sociaux et politiques ou encore culturels, sont en train de modifier la nature des risques.
Des règles mal présentées dans l’entreprise peuvent induire une menace interne et la fuite de données sensibles. L’introduction d’une nouvelle règle au conseil d’administration, d’une activité de fusion-acquisition, ou la collaboration avec un fournisseur en particulier, peut par inadvertance inciter un groupe d’hacktivistes à s’attaquer au site web d’une entreprise, à pirater ses comptes sur les réseaux sociaux ou à stopper ses services avec une attaque par déni de service. Les programmes de protection de la confidentialité des données jugés laxistes peuvent entraîner l’imposition d’énormes sanctions dans certaines régions, ou plus légères dans d’autres.
Alors que la plupart des conseils d’administration comprennent l’impact que peut avoir la sécurité sur l’image de marque de l’entreprise et la confiance des clients - et alors que les directeurs financiers ne sont que trop conscients des coûts induits - les directeurs de la sécurité de l’information (DSI) restent confrontés à la tâche ardue de travailler sur des risques en continuelle mutation.
La sécurité, la priorité
Notre équipe s’emploie principalement à faire comprendre les risques concrets pour leur entreprise à ses dirigeants. Nous proposons les bonnes pratiques, il y en a plusieurs, qui permettront à votre entreprise de faire de la sécurité une priorité.
Parler risque et retour sur investissement, pas menaces et vulnérabilités. Les outils de surveillance et d’intelligence peuvent aider à se faire une bonne idée de la progression du nombre de cyberattaques, mais ils ne permettent pas de répondre à la question fondamentale « Quel est notre niveau de sécurité ? ».
Le conseil d’administration doit disposer de données pour comprendre les problématiques liées aux coûts, à la fiabilité et aux risques, mais les DSI doivent offrir une vision holistique de l’exposition au risque.
C’est au niveau de la direction que se développe la culture de sensibilisation aux questions de cybersécurité. Avec l’augmentation des attaques par hameçonnage (ou spearphishing) toujours plus sophistiquées, les équipes de direction n’ont jamais été si vulnérables. Les directeurs financiers comparent coûts liés aux suites d’une attaque et exposition potentielle ; les DSI doivent donc clairement communiquer autour du retour sur investissement : Quel est l’impact potentiel sur le cours de l’action et la valeur pour les actionnaires ? Quel est le coût potentiel d’une vulnérabilité comparé à celui d’avoir à régler le problème ?
Essayer de se protéger contre toutes les attaques possibles peut s’avérer prohibitif en termes de coût, et peut même entraver l’innovation et le développement de l’entreprise. Les décisions doivent être prises dans un cadre de collaboration, dans un équilibre entre priorités en matière de risque et contrôles efficaces.
Trouver un spécialiste de la sécurité. Récemment, les dirigeants très expérimentés ont travaillé précisément sur les moyens d’avoir des compétences diversifiées au sein du conseil d’administration. Outre une variété de parcours et de perspectives, les conseils d’administration peuvent également bénéficier de compétences intéressantes, par exemple en matière de gestion des investissements, de technologies de l’information, de ressources humaines et de gestion des risques.
Pour gérer les programmes de sécurité et repousser les hackers, il y aura toujours un arbitrage à faire entre coûts et risques. Cependant, avec tant d’enjeux pour l’entreprise, les décisions doivent être prises de manière éclairée, stratégique et collaborative.
Dans les secteurs largement ciblés - banque, commerce, santé et services de distribution d’énergie par exemple, il peut être intéressant d’avoir au conseil d’administration un spécialiste du cyber-risque. Ainsi, la problématique restera centrale. Un administrateur disposant d’une expérience dans le domaine de la sécurité ou ayant eu à gérer d’importantes violations de données peut aider ses confrères moins sensibles aux questions techniques à comprendre un risque qui évolue rapidement.
Ne pas compter seulement sur la cyber-assurance. La cyber-assurance est un outil relativement nouveau d’atténuation des effets d’une attaque qui détermine généralement qui va endosser la responsabilité d’une violation de données, notamment assumer la prise en charge des dommages et des frais de justice, et se charger des notifications aux clients, de la récupération des données et de la réparation des systèmes informatiques. Cependant, ces polices d’assurance peuvent ne pas couvrir la perte de valeur due au vol de propriété intellectuelle ou les dépenses liées à la mise à niveau des logiciels et des équipements permettant d’éviter les attaques.
Les directeurs financiers et les dirigeants chargés des problématiques liées au risque doivent étudier avec attention les bénéfices d’une cyber-assurance comparés aux avantages des options d’auto-assurance. En 2018, la ville d’Atlanta a dépensé 2,7 millions de dollars pour traiter les suites d’une cyberattaque plutôt que de payer les 50 000 dollars de rançon qui lui étaient demandés. La grande partie de la somme a été consacrée à la mise à niveau de systèmes dépassés. Avoir une cyber-assurance permet au directeur financier de décider plus facilement de ne pas payer la rançon, mais ceci n’a pas d’effet sur les dommages faits à la réputation de l’entreprise. Prévenir, réagir rapidement et disposer de systèmes résilients restent la meilleure défense.
Mettre en place des procédures de management agiles. L’apparition de nouvelles vulnérabilités est continue et les pirates changent constamment de tactiques. Pour pouvoir répondre, il faut donc des procédures de management agiles des programmes de sécurité.
Les entreprises doivent gérer leur sécurité conformément aux bonnes pratiques et disposer de plans de résilience, comme c’est le cas pour les systèmes centraux pour lesquels il est nécessaire d’avoir des plans de récupération après sinistre et des programmes de sauvegarde. Les entreprises travaillent à l’amélioration continue de leur exploitation, de leur service client et d’autres activités clés ; le conseil d’administration et le directeur financier devraient avoir la même ambition pour les systèmes de sécurité.
Pour gérer les programmes de sécurité et repousser les hackers, il y aura toujours un arbitrage à faire entre coûts et risques. Cependant, avec tant d’enjeux pour l’entreprise, les décisions doivent être prises de manière éclairée, stratégique et collaborative. Les conseils d’administration et les directeurs financiers sont essentiels à cette démarche.
Restez informé et ne manquez rien de l’actualité. Abonnez-vous pour recevoir le Security Threat Intelligence Report de DXC..
L’auteur
Mark Hughes est vice-président senior chargé des offres et des partenaires stratégiques chez DXC Technology. Il est responsable de la sécurité globale et des solutions associées, pour la cyberdéfense, l’infrastructure sécurisée, l’identité numérique et la protection des données notamment. Il a occupé le poste de PDG chez BT Security.