Cinq étapes pour combler le fossé de la cybersécurité entre l’informatique et le conseil d’administration

Imaginez que 24 heures par jour, une bande de voyous lancent des pierres et d’autres projectiles sur les murs extérieurs du siège de votre entreprise et s’évertuent à installer la plus grande pagaille possible dans votre société. Le conseil d’administration resterait-il les bras croisés, indifférent aux conséquences de cette agression ? Il s’avère que ces voyous s’attaquent plus que probablement à votre entreprise à toute heure du jour et de la nuit, mais que vous ne les voyez pas. Et s’ils n’ont pas encore commis leur méfait, le jour viendra où ils traverseront le mur pour pénétrer dans votre propriété. Ce sont des pirates. Et bon nombre de conseils d’administration réagissent aujourd’hui à leur présence par une passivité choquante.

La cybersécurité n’est pas qu’un problème technique à résoudre. Les enjeux sont trop importants. Votre site Web véhicule des messages de marque et de publicité essentiels pour les consommateurs et donne probablement à ceux-ci la possibilité d’acheter votre produit. L’outil technologique garantit l’efficacité des activités et de la communication internes à la société. La trésorerie transite par des systèmes transactionnels installés dans la partie accessible à la clientèle de l’entreprise, tandis que les rapprochements de données financières se font en aval. Si un pirate endommage l’une de ces fonctions ou s’enfuit avec votre propriété intellectuelle ou, pire encore, avec des données de clients ou des espèces, vous comprendrez rapidement les conséquences non technologiques d’une sécurité informatique insuffisante.

Il n’est pas nécessaire que les membres des conseils d’administration deviennent des experts techniques ; cela peut être laissé au service informatique. Mais il leur appartient de gérer le risque et la répartition des ressources. Les politiques, processus et protocoles de cybersécurité doivent être initiés par le conseil d’administration et gérés comme une priorité organisationnelle.

Voici cinq recommandations qui permettront aux membres des conseils de s’engager sur la voie de la sécurité :

1. Intégrer la sécurité informatique dans les missions du conseil d’administration.

Pour commencer, demandez au service informatique ou au directeur des systèmes d’information qu’il présente en interne les mesures de sécurité déjà en place, les politiques et procédures associées et des exemples d’attaques survenues au sein de vos systèmes. (Les agressions graves n’ont rien de nouveau, mais vous seriez étonné de leur déferlement et de l’augmentation de leur niveau de sophistication.) Invitez également des conseillers externes au conseil d’administration qui pourront vous aider à évaluer votre politique de cybersécurité.

2. Changer les mentalités en matière de sécurité.

Lorsque vous évoquez l’éventualité d’une attaque, la question n’est pas de savoir si elle peut réussir, mais bien quand les pirates parviendront à leurs fins. La réponse est tout aussi importante que la prévention. La cybersécurité est souvent représentée par les douves d’un château. Si des barbares les détruisent, c’est toute la forteresse qui disparaît. Mais ce n’est plus vraiment le cas aujourd’hui. Une intrusion numérique n’est pas catastrophique si des contrôles permettent d’identifier une brèche ouverte et d’endiguer les conséquences de l’attaque. Si vous pouvez déclarer que les données des clients n’ont pas été affectées et que les dommages ont pu être limités grâce à une préparation optimale, votre entreprise en sortira grandie, car elle est honnête par rapport à l’incident survenu et qu’elle s’est préparée efficacement pour limiter les dégâts.

3. Préparer les protocoles d’après attaque.

La préparation dont nous venons de parler vise entre autres à planifier les modalités de la réponse à donner. Qui parlera aux médias ? Aux parties intéressées ? Aux actionnaires ? Que diront-ils ? Des décisions doivent être prises au sein du conseil d’administration. Elles seront ensuite communiquées et répétées afin que chacun sache ce qu’il a à faire lorsqu’un désastre survient.

4. Sécurité bien ordonnée commence par soi-même.

La plupart des attaques réussies sont la conséquence de risques pris en interne. Le vice-président exécutif qui oublie son smartphone au restaurant. L’administrateur qui laisse tomber une clé USB remplie de numéros de cartes de crédit ou d’informations identifiables de comptes client. Le chef de secteur d’un magasin qui ouvre un courriel indésirable. Le conseil d’administration doit initier un changement culturel à cet égard et concevoir des processus et procédures relayant le message selon lequel la cybersécurité est d’une importance cruciale. Avez-vous déjà envisagé d’adopter vous-même un comportement adéquat ? Quel exemple le conseil d’administration et l’équipe de direction donnent-ils au reste de l’organisation ?

5. Répartir les ressources de façon appropriée.

Le budget alloué aujourd’hui à l’informatique ne couvrira pas les améliorations nécessaires en termes de personnel, de planification stratégique et tactique et de déploiement de l’équipement. S’il appartient au conseil d’administration d’élever la sécurité au rang de priorité organisationnelle, il doit également répartir les ressources de manière adéquate.

Au final, la cybersécurité est une question de risque, mais également une préoccupation commerciale et, plus important encore, l’affaire de la direction. La bonne nouvelle, c’est que les entreprises sont de plus en plus nombreuses à être conscientes de la menace croissante. La mauvaise en revanche, c’est qu’un trop grand nombre de sociétés ne prennent pas les mesures nécessaires pour protéger leurs activités, en particulier dans la salle de conseil.