Obtenir l’engagement du conseil d’administration en matière de cybersécurité : conseils à l’attention des DSI

Obtenir l’engagement du conseil d’administration en matière de cybersécurité devrait être de plus en plus facile. Presque toutes les entreprises sont désormais axées sur le numérique ou prennent ce chemin. Les risques de perturbations de la cyber-infrastructure et des données qu’elle contient deviennent chaque jour plus clairs. Les cyberattaques contre les organisations et les industries font souvent la une des journaux. Le paysage réglementaire sanctionne de plus en plus les violations, accidentelles ou malveillantes, qui exposent des données personnelles.

Cette évolution s’est produite en parallèle avec une transition rapide, induite par la pandémie, vers une main-d’œuvre géographiquement répartie. Comme les travailleurs se sont connectés via des réseaux domestiques à l’aide de leurs appareils personnels, les cyberattaques se sont intensifiées et le modèle traditionnel de cybersécurité basé sur le périmètre a disparu.

Les directeurs des systèmes informatiques (DSI), qui se chargeaient de défendre ces frontières numériques en changement permanent, comprennent parfaitement l’étendue et l’ampleur des risques auxquels l’entreprise est confrontée, et les conséquences de l’absence de stratégie de cybersécurité robuste. Cependant, il reste un défi à relever : comment obtenir l’engagement du conseil d’administration.

DSI et conseil d’administration : divisés par une langue commune

Dans un récent webinaire TEISS qui a suscité une discussion animée, le panel a débattu du problème d’implication du conseil d’administration envers la cybersécurité. Jon Herd, vice-président de la sécurité de l’information de la société d’infrastructure de paiement Paddle, a décrit un scénario qui pourrait être familier à de nombreux DSI lors de sa présentation au conseil d’administration. Il explique :

« Je suis entré en étant sûr des réactions du conseil d’administration à mon discours, mais ça.. ça ne s’est pas produit ! Le résultat n’a pas été celui auquel je m’attendais et je me suis dit : « Pourquoi n’ont-ils pas compris ce que je disais ? Pourquoi ont-ils compris mon appel plein d’enthousiasme comme étant un exposé complètement chaotique ? »

Cette barrière de communication entre les professionnels de la cybersécurité et le conseil d’administration est sans aucun doute due en partie à la crainte, à l’incertitude et aux doutes que les non-spécialistes de l’informatique ressentent lorsqu’ils sont confrontés à l’ampleur des menaces numériques. Alors que les attaques de ransomware font souvent les gros titres et que les vulnérabilités de la chaîne logistique commencent à gonfler les colonnes, les membres du conseil d’administration se sont familiarisés avec les récits de « chaos », mais ils le sont moins quant à la force qu’une solide cybersécurité offre à l’entreprise. Le DSI doit donc présenter la stratégie de cybersécurité en des termes que le conseil d’administration puisse comprendre.

Lier la stratégie de cybersécurité à la stratégie d’entreprise

Le panel TEISS a déconseillé d’expliquer les fonctionnalités et les capacités de la technologie dans laquelle les DSI souhaitent investir et de se concentrer plutôt sur ce qu’elles permettent à l’entreprise d’obtenir.

Cette approche reflète plus clairement l’objectif principal du conseil d’administration, qui est de créer de la valeur pour les parties prenantes. En tant que professionnels de la technologie, il est essentiel de comprendre l’objectif et la stratégie de l’entreprise de la même manière que le conseil d’administration et de répondre à la question : « Comment m’assurer que ce que je fais contribue au succès de l’entreprise. »

Cette perspective devrait façonner la façon dont l’information est présentée au conseil d’administration pour faire en sorte qu’il obtienne des données utiles l’aidant à prendre les décisions relatives à l’entreprise. Les DSI doivent réfléchir à l’impact de la stratégie de cybersécurité sur toutes les parties prenantes qui intéressent le conseil d’administration : investisseurs, clients, employés, régulateurs.

En outre, il convient d’expliquer non seulement ce qu’un investissement en cybersécurité évite, comme les temps d’arrêt, les pertes financières et les risques de conformité, mais aussi ce qu’il permet : la continuité des activités, la confiance des clients, une meilleure expérience employé et une complexité réduite. Ceci est particulièrement pertinent lorsque les entreprises mettent à jour leur technologie de cybersécurité avec l’adoption de solutions plus modernes, plus conviviales et moins intrusives. Si l’accès aux identités peut désormais être géré en toute sécurité avec moins de difficultés pour les utilisateurs, par exemple, cette fonctionnalité suppose un avantage immédiat en termes de productivité.

Il est important d’illustrer le message « personnes, processus, technologie ». Si les communications au conseil d’administration sont formulées en termes de produits technologiques les plus récents et les plus performants, ses membres auront du mal à faire le lien avec ce que cela signifie dans le quotidien de l’entreprise et des personnes qui la composent. C’est mieux compris pour d’autres risques, tels que la santé et la sécurité, et il devrait en aller de même pour les technologies de la sécurité.

Jon Herd a choisi la voie directe pour mieux comprendre le mode de pensée des conseils d’administration : « Je suis une formation, un cours de directeur non exécutif, non pas parce que je veux le devenir […]. Je voulais comprendre quels sont leurs objectifs, quelles sont leurs obligations, afin de mieux connaître leurs attentes et d’apprendre à y répondre efficacement. »

Situer la cyberinsécurité des données et de la confidentialité dans le contexte de l’entreprise

L’un des principaux rôles du conseil d’administration est la supervision stratégique des risques. Aujourd’hui, le risque lié aux données et à la confidentialité relève sans aucun doute de ces rôles. Dans certaines juridictions, il est obligatoire que les conseils d’administration surveillent la cybersécurité.

Cependant, il est important de reconnaître que les conseils d’administration ont de nombreux types de risques et problèmes métier différents à gérer, et que la cyberinsécurité n’est qu’un élément.

Henry Jiang, DSI de Diligent, estime que cela peut être transformé en élément positif, surtout si les données sur la cybersécurité peuvent être fournies dans un format familier et digeste : « Le bon modèle consiste à intégrer la cybersécurité dans le langage du conseil. Résumez-la aux risques liés aux personnes, aux processus et à la technologie, qu’ils comprennent, et présentez-la de manière claire en y revenant continuellement. Il existe des plates-formes technologiques qui peuvent le faire. Les conseils d’administration comprennent déjà d’autres types de risques tels que le risque de crédit, le risque réglementaire et la conformité juridique. Pourquoi ne pas présenter la cybersécurité dans ce cadre ? »

Lorsqu’ils présentent la cybersécurité, les directeurs des systèmes d’information doivent utiliser le même langage que celui de la fonction Risque commercial, explique Jon Herd : « Dans le domaine des technologies, nous avons tendance à inventer un nouveau langage », précise-t-il, mais cela peut être contre-productif. « Le risque est un langage déjà bien compris et la cybersécurité est une nouveauté dans ce domaine […] nous devons parler au directeur de la gestion des risques ou au directeur financier, et lui demander : « quel cadre et quel langage devons-nous employer pour que vous nous compreniez ? »

La fréquence à laquelle les conseils d’administration doivent recevoir des rapports sur la cyberinsécurité a augmenté, en raison de la vitesse à laquelle elle évolue. La pandémie a contribué à inaugurer une période où les conseils d’administration se réunissent plus régulièrement en raison du rythme incroyable des changements et de l’appréhension que des facteurs externes, tels que les cybermenaces, peuvent changer du jour au lendemain. Cela favorise également une meilleure compréhension de la part des membres du conseil d’administration lorsque des incidents se produisent.

Actualiser les connaissances du conseil d’administration sur la cybersécurité et implication des DSI dans le conseil

Dans l’environnement actuel, les DSI doivent se situer au « point d’inflexion entre la technologie et les risques », explique Chris Dunning-Walton, fondateur et docteur en médecine d’InfoSec People. Cependant, les conseils d’administration ne peuvent pas s’attendre à claquer des doigts et à voir soudainement apparaître un DSI qui communique stratégiquement.

Chris est convaincu que le conseil d’administration doit à un moment donné rencontrer l’entreprise. Et, dans un domaine aussi important que la cybersécurité, il constate que des directeurs non exécutifs ayant été directeurs mondiaux de systèmes d’informations ont été nommés à des conseils d’administration, apportant ainsi un point de vue issu de leur expérience et agissant comme une sorte de traducteur.

« Pour moi, il s’agit d’une solution à court terme », poursuit Chris, « et la solution à long terme consiste en fait à élargir et à développer les compétences de ce cyber-responsable au sein de votre organisation, à lui faire suivre une formation et à développer des compétences de leadership afin qu’il puisse entrer dans cette salle du conseil et présenter la cybersécurité non seulement comme un risque atténué, mais aussi comme un facilitateur des activités. »

Utiliser le storytelling pour communiquer l’évolution des risques et les récompenses futures

Les DSI peuvent avoir du mal à trouver l’équilibre entre la communication des principaux risques et la présentation d’une vision plus stratégique à long terme.

Henry Jiang conseille aux DSI : « Ne vous contentez pas d’entrer dans le conseil d’administration pour les effrayer. Vous devez faire passer un message fort sur les domaines dans lesquels vous avez besoin d’aide, que ce soit l’organisationnel, les finances ou autres. Ou peut-être que tout va tellement bien que vous n’avez pas besoin de son soutien. Dans ce cas, informez-les simplement de votre performance.

Chris Dunning-Walton acquiesce et ajoute : « Le rôle du DSI n’est pas seulement d’obtenir le plus d’argent possible […] il s’agit d’équilibrer les besoins de l’entreprise par rapport au risque externe […] pas seulement d’essayer d’obtenir le plus gros chèque possible. »

En parlant d’expérience, Jon Herd suggère : « Ne communiquez pas seulement les plus gros risques ou ceux qui font les gros titres du moment. Racontez une histoire de la même manière que les services Ventes et Finances le font, en expliquant  »c’est là que nous étions, voici ce qui se passe, et c’est là que nous allons ». C’est une histoire, ce n’est pas ponctuel. »

Selon Jon, cette approche gagne en implication : elle est logique et elle a du sens pour le conseil d’administration dans le contexte de la stratégie globale de l’entreprise. Construire une histoire qui définit le contexte de la cybersécurité par rapport à l’entreprise et la cartographier dans le compte de résultat, dans les coûts, les risques et les récompenses, signifie que les membres du conseil d’administration peuvent voir la logique d’insertion de la cybersécurité dans la mission et l’objectif de l’entreprise.

Découvrez d’autres conseils du panel pour amener le conseil d’administration à participer à la cybersécurité en regardant le webinaire à la demande.