Protection informatique : une responsabilité du Conseil d’administration

Qu'est-ce que Brand Voice ?

Le rôle central du conseil d’administration consiste à garantir la réussite de l’entreprise, et donc aussi la satisfaction des parties prenantes. Il a donc la responsabilité de la réputation de la société et de sa conformité aux réglementations.

En 2021, rien ne menace plus ces deux aspects que les cyberattaques. La protection informatique de l’entreprise devient donc une priorité stratégique pour le CA, et non plus seulement une problématique propre à la DSI. Comment en est-on arrivés là ? Comment s’y prendre pour répondre à ses nouveaux enjeux ?

Renforcer la protection informatique de l’entreprise : plus que jamais la responsabilité du CA

Définir la stratégie de l’entreprise et son mode d’organisation relève des principales missions du conseil d’administration. Parallèlement, les confinements de 2020 dus à la pandémie de coronavirus ont précipité la transformation digitale des sociétés françaises. Il devient donc impossible de penser une stratégie et une organisation sans prévoir la protection informatique qui les accompagne. La cybersécurité doit s’adapter à l’évolution des cybermenaces, aux demandes des parties prenantes, aux remontées des collaborateurs et aux nouvelles activités de l’entreprise.

C’est d’ailleurs l’une des conclusions d’une étude datée de 2020, menée par le Center for Long-Term Cybersecurity (CLTC) de l’UC Berkeley auprès d’une vingtaine de membres de conseils d’administration de multinationales américaines. Cette enquête, Considerations for effective oversight of cyber riskaffirme que le cyber risque incarne dorénavant une menace stratégique, responsabilité directe des CA.

Ce même document souligne ainsi que la protection informatique de l’entreprise ne relève plus seulement des décisions opérationnelles de la direction des systèmes d’information (DSI), mais aussi des choix politiques des dirigeants. Il invite ainsi les administrateurs et administratrices à travailler en collaboration étroite avec les RSSI, le responsable de la sécurité des systèmes d’information.

Une nécessité d’autant plus criante que la plupart des membres de CA interrogés admettent une difficulté à penser la protection informatique de leurs entreprises. Les administrateurs se disent rattrapés par des cybermenaces croissantes et évolutives. Leurs modes de gouvernance actuels ne sont pas assez adaptés aux spécificités de la cybersécurité.

Pourquoi 2021 doit être l’année de la cybersécurité pour les entreprises ?

Si 2021 s’impose comme l’année de la cybersécurité informatique, c’est parce que 2020 a vu se multiplier les cybermenaces. Confinés, les hackers potentiels ont eu plus de temps pour développer leurs techniques. Les collaborateurs, de leur côté, ont davantage exposé la sécurité informatique de l’entreprise du fait du télétravail. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a ainsi recensé 200 attaques par rançongiciels en 2020, soit quatre fois plus qu’en 2019.

Emmanuel Macron a donc annoncé un plan du gouvernement contre les cyberattaques. Il y rappelle la nécessité pour les conseils d’administration de repenser leur stratégie de risk-compliance. Les hôpitaux, les banques, les assurances et l’industrie sont particulièrement concernés.

Les CA font donc face à l’urgence de se familiariser avec la diversité des cyberattaques existantes : extorsion de données, chantages de type ransomwares, vol d’informations avec les attaques Man In The Middle, arnaque au président, arrêt de l’activité avec les dénis de service (DoS). Il en va de la réputation de la société, de sa valeur financière, mais aussi de sa conformité aux réglementations nationales en matière de protection des données d’entreprise.

Rappelons que la moitié des PME qui subissent une cyberattaque dépose le bilan l’année suivante. Les grands groupes, de leur côté, perdent entre 200 et 400 millions de dollars, en plus de licencier des membres de leurs directions générales. Ces chiffres sont détaillés par un article Bilan sur la responsabilité des conseils d’administration en termes de cybersécurité.

Comment penser une stratégie de protection informatique de l’entreprise ?

Les conseils d’administration ont la responsabilité de comprendre les risques liés au fonctionnement spécifique de leur société. Il existe différentes méthodes pour identifier ces cybermenaces et y trouver des solutions préventives ou correctives. En France, les CA utilisent notamment les cartographies de risques, la méthode HAZOP (HAZard and OPerability review), l’AMDEC (Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité) ou l’EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).

L’ensemble de ces méthodes de réflexion stratégiques ont pour point commun de croiser des systèmes à des causes internes ou externes de risques potentiels. Elles impliquent aussi la rencontre de groupes de travail diversifiés, autour de l’identification des menaces à tous les niveaux hiérarchiques de l’entreprise. C’est le caractère exhaustif de ces démarches d’analyse du risque qui permettent aux conseils d’administration d’adopter les meilleures pratiques de résilience informatique.

Lors de ces plans stratégiques sur la protection informatique de l’entreprise, le conseil d’administration doit se poser 5 questions indispensables :

  • Quel niveau de risque informatique l’entreprise est-elle prête à prendre pour atteindre ses objectifs ?
  • Quelles sont les craintes internes et externes concernant la sécurité informatique de la société ?
  • Y a-t-il des précédents d’incidents informatiques et comment ont-ils été traités ?
  • Les employés sont-ils formés aux vulnérabilités humaines liées aux pratiques informatiques ?
  • Les cyber risques que rencontrent la société relèvent-ils du piratage ? D’employés potentiellement malveillants ? D’une concurrence peu scrupuleuse ?

Finalement, si le manque de protection informatique de votre cloud inquiète vos administrateurs, Il existe des outils informatiques dédiés au stockage et aux échanges de données confidentielles. Ils fonctionnent autour de technologies de cryptage et de contrôles d’accès granulaires. Séparés des réseaux de communication internes de l’entreprise, ces services peuvent être idéales pour répondre à la gestion de la crise post cyber attaque, si vous le souhaitez. Découvrez plus sur les solutions de gouvernance moderne de Diligent lors d’une courte démo gratuite.