Gouvernance et cybersécurité : les priorités pour le CA en 2023

La question du rôle du conseil d’administration dans la sécurisation des données informatiques se pose de plus en plus. Les cyberattaques s’intensifient depuis 2020. Le Forum économique mondial a d’ailleurs fait de la cybersécurité un des cinq principaux risques mondiaux. Les rançongiciels, particulièrement, menacent les entreprises dans des proportions jamais vues auparavant. Les pertes financières essuyées s’élèvent à des millions d’euros par entreprise. À celles-ci s’ajoutent un risque grave pour la réputation de la société. Une situation qui pousse les investisseurs à être plus exigeants en matière de cybersécurité.

Gouvernance et cybersécurité : un couple destiné au mariage

La “gouvernance de la cybersécurité” désigne le rôle que doivent jouer les dirigeants de l’entreprise dans le choix des stratégies de sécurisation informatique. Certains emploient le terme “cybergouvernance”. En anglais, on parle aussi de cybersecurity governance.

Il s’agit, en résumé, des décisions que prennent le conseil d’administration et la direction générale pour assurer la sécurité du système informatique et des données.

Quand la cybersécurité gagne les sphères de pouvoir

Si la cybersécurité s’invite de plus en plus au programme des séances du conseil, ça n’a pas toujours été le cas. Il y a quelques années encore, le CA se contentait de valider ou d’invalider les propositions de la Direction des Systèmes d’Informations (DSI). La Politique de Sécurité du Système d’Information (PSSI) rassemble dorénavant d’autres acteurs.

Cette politique a en effet quitté les sphères de l’opérationnel. Elle relève dorénavant de la gestion de responsables des risques comme le Chief Risk Officer, ou du Responsable de la sécurité des systèmes d’information (RSSI). Ces spécialistes interagissent régulièrement avec le conseil d’administration. Certains en sont même membres. La protection informatique fait désormais partie des responsabilités du CA.

Un thème transversal, lourd d’enjeux pour le conseil

Et pour cause, depuis l’année 2020 et les différents confinements liés au COVID, les menaces cyber se sont multipliées. Les entreprises ont assisté à une professionnalisation des cyberattaques. Parallèlement, les sommes volées ou rançonnés ont augmenté. De fait, plus les entreprises acceptent de se soumettre à des demandes de rançons exorbitantes, plus les pirates font grimper les enchères. Le vol de sommes d’envergure leur permet parallèlement de se former. Ils gagnent ainsi en expertise. C’est un cercle vicieux.

Autant dire que le rôle du conseil d’administration dans la gouvernance de la cybersécurité va aller en s’affirmant. Les politiques de sécurisation des SI doivent désormais s’exercer de façon transversale. Elles concernent les éléments suivants :

• définition d’une politique budgétaire suffisante sur le volet cybersécurité ;
• choix de nouvelles embauches d’experts cyber ;
• formation des ressources humaines ;
• conformité juridique aux réglementations françaises et européennes ;
• audit des risques cyber.

Quelles priorités pour la gouvernance cyber en 2023 ?

Les investisseurs, mais aussi les gouvernements de l’Union européenne et des États-Unis, réclament davantage d’efforts cyber sécuritaires de la part des entreprises.

Sécuriser le conseil d’administration

Parce que les membres du conseil d’administration manipulent des données stratégiques, leurs comportements doivent être irréprochables. La formation aux vulnérabilités humaines qui permettent aux cyber pirates d’exploiter vos failles est donc prioritaire.

Il faut également que les administrateurs et administratrices soient à la hauteur de leurs rôles de représentants de la société. Ils doivent donc incarner les bonnes pratiques en matière de protection des données sensibles.

Il convient aussi de privilégier une composition du CA qui valorise les profils cyber. La DSI conseille le board en matière de stratégie cyber. Il faut aussi, cependant, que le Chief Information Security Officer (CISO) puisse participer aux séances. Le RSSI doit en outre jouer un rôle d’alerte du conseil. Enfin, au moins un des membres du board doit être assez spécialisé en cybersécurité pour suivre l’émergence et l’évolution des risques informatiques.

Soigner sa communication externe

Les gouvernements et les actionnaires font pression pour que les entreprises gagnent en transparence dans leur cybergouvernance. Ils attendent que l’alliance entre gouvernance et cybersécurité donne lieu à des rapports réguliers et complets. Le CA doit montrer qu’il priorise la cybersécurité dans ses objectifs stratégiques.

Pour faciliter le travail des investisseurs, et donc gagner des points, les entreprises ont par ailleurs tout intérêt à émettre des rapports accessibles. Ces reportings doivent guider la prise de décision, et donc être comparables entre eux.

Attribuer les responsabilités en matière de cybersécurité

Associer gouvernance et cybersécurité, c’est aussi s’assurer que les responsabilités en la matière sont claires. La logistique cybersécuritaire de l’entreprise gagne en efficacité si vous nommez un responsable de la sécurité numérique. Cette personne doit être à cheval entre la direction générale, le board, les systèmes d’information et la gestion des risques. Elle ou il prend la décision d’alerter le conseil en cas de risque.

Cette personne, parce que vous l’avez désignée explicitement, doit être identifiée comme légitime à exercer une autorité en matière de cybersécurité. Elle doit disposer de moyens financiers, et donc d’un budget annuel. C’est aussi elle qui prend la charge du reporting auprès de la DG : incidents, bilan de risques, objectifs, budgets requis.

Cette personne peut animer l’ensemble des acteurs et actrices de la cybersécurité d’entreprise. Elle vérifie ainsi l’alignement de la stratégie d’entreprise avec les politiques suivies par la direction, mais aussi la DSI, le RSSI, la DRH ou la direction juridique. C’est ce ou cette responsable qui porte la conduite du changement en matière de sécurité numérique.