Gouvernance

Formation et sensibilisation à la sécurité informatique dans le CA

Une enquête Forrester/Diligent menée en 2018 révèle que les pratiques des membres du conseil d’administration en matière de sécurité laissent encore à désirer. Leurs habitudes s’éloignent d’ailleurs des politiques de leurs entreprises en matière de cybersécurité.

Pourtant les enjeux sont colossaux. Les administrateurs et administratrices manipulent des contenus sensibles, confidentiels. La cybersécurité de leurs communications et de leurs réunions représente donc un enjeu primordial pour l’entreprise. Comment penser la formation et la sensibilisation à la sécurité informatique des instances de gouvernance ?

Formation et sensibilisation à la sécurité informatique des échanges informels du CA

L’étude citée ci-dessus révèle notamment que plus de la moitié des échanges entre administrateurs se fait via des messageries électroniques personnelles. Un vrai problème, quand on sait que ces communications concernent souvent des sujets sensibles et confidentiels. L’enquête révèle ainsi que 56% des membres du conseil s’appuient sur une messagerie personnelle sans lien avec l’entreprise pour échanger sur les questions soulevées en séance.

Ces pratiques fragilisent la cybersécurité de l’entreprise. Comme nous l’indiquions dans notre comparatif WhatsApp / Diligent Messenger sur la sécurité des échanges, les messageries non-professionnelles sont vulnérables aux attaques des cyberpirates. Ceux-ci ont considérablement gagné en compétences lors des deux derniers confinements liés au COVID. Les attaques cyber se complexifient, et les messageries personnelles classiques ne suffisent plus pour assurer la sécurité des conversations.

Passer par ce type de messagerie, c’est aussi s’exposer à ce qu’on appelle les vulnérabilités humaines. Il n’est effectivement pas rare qu’un membre du CA perde un smartphone ou une tablette sur lesquels il a enregistré des données confidentielles. La formation et la sensibilisation à la sécurité informatique consiste donc aussi à leur apprendre les bonnes pratiques en termes de :

  • mots de passe ;
  • utilisation des messageries personnelles dans le cadre du travail ;
  • modalités de partage de documents ;
  • enregistrement des données sur le cloud VS sur leurs appareils.

L’étude « Cyber Insécurité : Gérer les menaces de l’intérieur » (The Economist Intelligence Unit) relève par ailleurs que 93% des cadres pensent que la bonne information du personnel joue sur la cybersécurité des installations informatiques.

Diligent Messenger incarne un outil informatique dédié aux échanges informels entre professionnels. La solution fonctionne comme WhatsApp, si ce n’est qu’elle est bien plus sécurisée. Pas de copier-coller de discussions possibles, ni de captures d’écrans. Le logiciel permet une authentification par Touch-ID. Il aide aussi à effacer les données compromettantes à distance, en cas de perte ou de vol. Échanger avec un professionnel sur Diligent Messenger

Apprendre aux membres du CA à protéger les données sensibles

L’étude Forrester estime aussi que près de 30% des administrateurs et administratrices ont déjà perdu un appareil porteur d’informations confidentielles. La formation et la sensibilisation à la sécurité des données sensibles passe donc aussi par différentes mesures :

  • Former les membres du conseil aux solutions techniques ou logicielles qui permettent de verrouiller l’accès à leurs documents à distance ;
  • Rappeler les litiges potentiels en cas de pertes d’informations sensibles. La formation doit encadrer les questions de fraude, de corruption, de conformité légale, de réputation et de transparence.
  • Sensibiliser au principe de la gestion des droits d’accès et d’authentification à plusieurs facteurs.

Selon cette même étude, 48% des conseils d’administration ont déjà adopté un portail numérique de gestion de leurs activités. Ces logiciels restent cependant utilisés dans des cadres assez restreints, comme la messagerie électronique ou la visioconférence. Des outils comme les salles de données virtuelles restent peu utilisés, quand bien même ils feraient partie des fonctionnalités du logiciel.

Une des autres activités de sensibilisation prioritaires à envisager consiste donc à former les membres du CA à l’utilisation des logiciels qui sont déjà en leur possession. Cette formation pourrait s’imposer à tous les nouveaux administrateurs, parmi les autres formations du conseil d’administration recommandables.

Quels arguments pour sensibiliser vraiment aux cyber risques ?

Les membres du CA participent aux prises de décisions en matière de sécurité informatique. Paradoxalement, cela peut parfois les confiner dans l’idée qu’ils maîtrisent les problématiques de cybersécurité. Leurs comportements exposent cependant plus l’entreprise que ceux des autres collaborateurs.

Contextualiser et budgétiser le risque cyber pour sensibiliser

Une bonne façon de contourner ce biais cognitif se décline en trois mots : contextualisation, comparaison, coût.

Contextualisation, d’abord : déclinez un scénario plausible de cyberpiratage qui implique le comportement d’un des membres du conseil. Il peut s’agir d’une fraude au président, par exemple. Les cas de ransomwares arrivent également souvent au sein des instances de gouvernance. Mettez votre conseil en situation, Cherchez ensuite les meilleures façons de résoudre la situation, mais surtout de la prévenir.

Comparaison, ensuite. Une de vos entreprises concurrentes a peut-être déjà subi une attaque informatique compromettante. Quelles ont été les conséquences légales ? Pénales ? Financières ? Comment ont réagi les différentes parties prenantes ? Comment votre conseil réagirait en pareille situation ?

Coût, pour conclure : combien coûterait à votre structure une exposition de ses données confidentielles ? Le coût englobe les pénalités juridiques, mais aussi les pertes financières dues aux atteintes à la réputation. Quel serait, par ailleurs, le coût d’un recours à une société de consulting en cybersécurité pour récupérer des données, ou supprimer un virus ? Chiffrer le risque reste la meilleure façon d’investir dans la sensibilisation et la formation à la sécurité informatique.

Parler au conseil des enjeux qu’il maîtrise

Ces trois démarches s’inscrivent dans une autre logique plus transversale, qui consiste à simplifier le langage. La Direction des Services Informatiques (DSI) et le responsable de la sécurité des systèmes d’information (ou RSSI) doivent adapter leur vocabulaire technique.

Les conseils d’administration se montrent par exemple à l’écoute quand on parle de gestion des risques, plus que d’attaques techniques. Les axes à favoriser pour les sensibiliser et les former peuvent également être la réputation, la gouvernance, et leur responsabilité d’administrateurs et d’administrateurs.

Comment les DSI peuvent-elles encourager la digitalisation des conseils d’administration ? Tous nos conseils dans notre livre blanc sur la transformation digitale des conseils d’administration à l’usage de la DSI.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS À NE PAS MANQUER