Pourquoi le CA doit participer à la cartographie des risques cyber ?

La protection informatique de l’entreprise relève du conseil d’administration autant que de la Direction des Systèmes d’Information (DSI). Le conseil se charge effectivement de la stratégie de l’entreprise, laquelle ne peut plus se passer de la prise en compte de risques cyber croissants. Pour être appréhendée correctement, la sécurité informatique fait dorénavant l’objet d’une cartographie des risques cyber dans de nombreuses structures.

Pourquoi faire participer le CA à cette cartographie ? Pourquoi sa responsabilité d’instance dirigeante est-elle intimement liée à ce document ? Comment communiquer entre services responsables de ce dossier pour assurer la bonne gouvernance de la structure ?

En quoi le conseil d’administration est-il concerné par la cartographie des risques cyber ?

Une cartographie des risques cyber sert principalement à évaluer l’exposition de la structure aux risques informatiques, et ses capacités à les juguler. Cette mesure permet au conseil d’administration de prendre des décisions éclairées dans plusieurs domaines.

En évaluant le niveau d’exposition de l’organisation, la cartographie permet d’anticiper les pertes financières éventuelles. Cette estimation aide le conseil à prendre des décisions budgétaires importantes. Elle guide aussi le choix d’une assurance cyber adaptée.

Cette cartographie sert également à imaginer un plan de prévention transversal à toute l’entreprise. Celui-ci priorise les actions correctives ou préventives à mettre en place. Ces actions doivent être proposées selon leurs impacts, leurs coûts, et leur temps de réalisation. Étant donné les enjeux financiers et de sécurité de ce plan de prévention, il est courant que le conseil d’administration participe à sa conception, ou à sa validation.

Les risques cyber recoupent en outre d’importants enjeux opérationnels pour l’entreprise. Une société victime d’une attaque de cyber extorsion prend par exemple le risque de voir ses données sensibles partagées sur la place publique. La confiance des partenaires commerciaux et des investisseurs peut souffrir durablement de ce type de risques cyber. La gestion de la sécurité informatique doit donc être au cœur des préoccupations du conseil.

La responsabilité du CA en termes de risques cyber

Les récentes évolutions réglementaires liées à la protection des données personnelles impliquent directement la responsabilité légale de l’entreprise dans la gestion des risques cyber. Le Règlement Général européen pour la Protection de Données Personnelles (RGPD) prévoit ainsi depuis 2018 des amendes en cas de divulgation des données à caractère personnel. Celles-ci peuvent s’élever jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

S’il est traditionnel d’associer la gestion du risque cyber à la DSI, il ne faut pas pour autant négliger sa nature polymorphe. Les risques informatiques peuvent émerger du côté des fournisseurs, des sous-traitants et des partenaires commerciaux. Il peut donc provenir d’un acteur extérieur à l’entreprise, sans pour autant que la responsabilité du conseil soit nuancée.

Les risques cyber s’expliquent en outre aussi bien par la malveillance des pirates informatiques que par les vulnérabilités humaines internes. Leur gestion relève donc autant de la protection du SI que des stratégies de sensibilisation du personnel. La sécurité informatique de la structure relève également de choix de gouvernance concernant les contrôles et audits de sécurité informatique.

S’auto-sensibiliser aux pratiques cyber adéquates

Les conseils d’administration restent, par ailleurs, trop peu sensibilisés aux questions de cybersécurité.

Le rapport Diligent/Forrester sur la fracture numérique chez les CA révèle par exemple que nombre d’entre eux utilisent encore leurs messageries personnelles non-sécurisées pour échanger les documents confidentiels du conseil. Beaucoup de membres du conseil se servent en outre de messageries instantanées grand public pour échanger entre eux. Ils exposent ainsi les données sensibles de l’entreprise en cas de perte ou de vol de leurs appareils personnels.

Parce que les administrateurs et administratrices traitent de stratégies croisées entre cybersécurité, conformité juridique et éthique, ils doivent incarner des comportements irréprochables en matière de cyber risques. La participation des membres du CA à la cartographie des risques peut donc illustrer leurs engagements en la matière. Elle peut par ailleurs rassurer les investisseurs et partenaires quant à leur conscience des enjeux de sécurité. Elle peut aussi servir à les sensibiliser à des pratiques moins dangereuses.

Un CA informé aux cyber-risques pour de bonnes décisions stratégiques

Sensibiliser le conseil d’administration aux risques cyber et l’aider à prendre des décisions en la matière, passe par une communication réfléchie. La DSI, ou tout autre organe responsable de cartographier les risques cyber, doit s’assurer de donner les informations pertinentes au conseil.

Ces informations doivent parvenir aux administrateurs en quantité raisonnable, dans un langage accessible. Idéalement, le discours peut s’organiser autour des enjeux qui mobilisent le CA : enjeux commerciaux, de réputation, de continuité d’activité. Le ou la personne responsable des risques cyber peut être invitée à intervenir auprès des membres du conseil pour les sensibiliser.

Organiser un exercice de gestion du risque cyber avec ce conseil d’administration peut également aider à le sensibiliser. Un récent article du Cigref conseille en outre de choisir avec le conseil les indicateurs de risques pertinents à lui faire remonter régulièrement. Il peut s’agir des incidents, des taux d’attaque ou de perte, ainsi que du taux d’exposition de l’entreprise.

Le taux d’exposition dépend généralement de deux autres indicateurs qui peuvent être communiqués au CA : le Sinistre Maximum Possible (SMP) et le Sinistre Raisonnablement Escomptable (SRE). Le SMP relève des dommages financiers les plus conséquents que peut impliquer un risque cyber. Le SRE désigne quant à lui une perte financière possible du fait de l’activité informatique normale de la structure.