Le Conseil d’Administration est en charge de s’assurer de la création de valeur pour les parties prenantes de l’Entreprise tout en optimisant les risques et les ressources. Le Conseil d’Administration, organe de Gouvernance de l’entreprise est donc directement concerné par les cyber-risques.
« La SEC (organisme fédéral américain en charge de réguler et de contrôler les marchés financiers), la FTC (agence américaine chargée de contrôler les pratiques commerciales) ainsi que d’autres organismes de réglementation (fédéraux, d’état, mondiaux) ont renforcé leurs évaluations des Entreprises en matière d’efforts réalisés pour sécuriser les données, ainsi que concernant les informations et la communication sur les risques en matière de cybersécurité et de violations des données. » comme l’indique KPMG dans son rapport On the 2015 Board Agenda.
Réagissant au grand nombre et à l’ampleur des vols de données qui n’ont fait qu’augmenter durant la dernière décennie, les agences gouvernementales commencent tout juste à durcir le ton et à envoyer des signaux clairs que la sécurité constitue désormais un sujet prioritaire pour les Entreprises.
Le commissaire Luis A. Aguilar de la SEC (Securities and Exchange Commission), parlant au New York Stock Exchange (NYSE) le 10 Juin 2014, a clairement indiqué la position de la commission. « La surveillance des cyber-risques par le Conseil d’Administration est essentielle pour assurer que les entreprises prennent des mesures adéquates pour prévenir les cyber-attaques et se préparer à faire face aux préjudices qui peuvent en résulter », a-t-il dit. Il a également émis un avertissement clair sur le fait que « les Conseils d’Administration qui choisissent d’ignorer ou de minimiser l’importance de leur responsabilité de surveillance de la cyber-sécurité, le font à leurs risques et périls ».
Depuis lors, le commissaire Aguilar est de nouveau monté au créneau pour lancer un nouvel avertissement sur les cyber-risques. « Cela ne devrait être une surprise pour personne que la cybersécurité soit devenue un point focal des efforts d’application de la SEC durant ces dernières années. Il est d’ailleurs de notoriété publique que la Division d’Application de la SEC investigue actuellement plusieurs cas de violation de données, » a-t-il dit lors du Sommet SINET innovation le 25 juin 2015. « En outre, la SEC a examiné de façon proactive comment elle peut, en utilisant son pouvoir actuel, obliger à l’application de mesures supplémentaires en matière de cybersécurité, et comment cette autorité pourrait devoir être étendue pour répondre aux menaces émergentes de cybersécurité ».
Cette nouvelle orientation des agences gouvernementales n’est cependant pas limitée aux États-Unis. L’Autorité Technique Nationale du gouvernement britannique pour la sûreté de l’information a ainsi déclaré que « la gestion proactive du cyber-risque au niveau du Conseil d’Administration est essentielle. » A cette fin, le gouvernement britannique a publié un document qui décrit les responsabilités et questions clés de cyber sécurité pour le Conseil d’Administration et le Management. Des ressources supplémentaires pour les conseils d’Administration incluent notamment un «Manuel de surveillance des Cyber-Risques», publié aux USA par l’Association Nationale des Administrateurs de Sociétés (NCAD).
Une réalité nouvelle pour le Conseil d’Administration
La nouvelle réalité à laquelle fait face chaque Conseil d’Administration est bien résumée dans Cybersecurity Docket : «Chaque Conseil d’Administration doit maintenant savoir avec certitude que sa société sera victime d’une cybe-rattaque, et pire encore, que c’est le Conseil qui aura la charge de nettoyer le gâchis et de surveiller les retombées » .
Comme dans tous les autres autres domaines de la conformité, les Administrateurs peuvent être tenus pour responsables pour ne pas avoir fait leur devoir afin de prévenir les dommages à la société. Dans l’exercice de leur rôle de surveillance, les Administrateurs doivent rester informés en permanence sur les mesures de cybersécurité de leur société. Ils doivent évaluer les risques et déterminer ce qui doit être fait pour les atténuer.
L’absence de surveillance adéquate des cyber-risques constitue une menace. «Les Administrateurs qui ne parviennent pas à prendre des mesures appropriées – à la fois avant et après un incident de sécurité de l’information – courent le risque que leur Entreprise soit soumise à l’application de mesures gouvernementales (lois ou réglementations), et qu’eux-mêmes soient personnellement sujets à des poursuites de la part des actionnaires », a expliqué le cabinet d’avocats Fredrikson & Byron.
KPMG, dans sa publication de Février 2015 sur les défis et priorités en matière de Gouvernance pour 2015 désigne la cybersécurité comme « LE problème du 21e siècle. » Au-delà du risque de conformité, le rapport souligne l’importance « des poursuites, des dommages à la réputation et de la perte de clients» comme conséquences potentielles.
Pourquoi les Conseils d’Administration peinent-ils à prendre en compte ce type de risques?
Selon le rapport d’Ernst & Young publié fin 2014 et intitulé « Cyber program management« , il y a plusieurs raisons pour lesquelles ils sont si réticents à s’engager sur la cybersécurité. Parmi ces raisons figurent :
- le fait que l’internet et la connexion de l’Entreprise constituent juste l’un des nombreux sujets à l’ordre du jour d’un Conseil d’Administration,
- la culture de silo au niveau de l’informatique qui a relégué la responsabilité de protection des données et des systèmes uniquement au niveau du département IT,
- la difficulté pour le Conseil d’Administration d’évaluer correctement les risques de cyberattaques et le programme de gestion des risques associé mis en place par la direction,
- et enfin l’approche de consolidation des défenses (contrôles préventifs de sécurité) tout en ignorant les capacités de détection et de réponse aux incidents.
Cependant, comme le commissaire Aguilar l’a déclaré à la Bourse de New York, les temps ont changé, et «s’assurer de l’adéquation des mesures de cybersécurité de l’entreprise aux risques doit être une préoccupation essentielle d’un Conseil d’Administration dans le cadre de ses responsabilités de surveillance en matière de risques. » Cela devrait figurer comme un slogan en lettres capitales sur le mur de la salle du conseil : les administrateurs ne peuvent plus balayer d’un revers de main les Cyber-Risques. C’est leur responsabilité de surveiller la gestion de ces risques qui était autrefois déléguée au domaine informatique.
Comment doivent-ils s’y prendre pour assurer cette responsabilité?
Le Conseil d’Administration de chaque Enterprise doit désormais prendre le temps nécessaire sur son agenda pour surveiller les cyber-risques . Selon les termes du document « Cyber program management » d’E&Y, les Conseils d’Administration sont maintenant invités à discuter de la cybersécurité sur une base trimestrielle, voire même plus fréquemment.
Comment les administrateurs doivent-ils d’y prendre pour surveiller les cyber-risques? Le Commissaire Aguilar, de la SEC, a fourni des conseils dans son discours au NYSE. « Les Conseils d’Administration sont chargés de s’assurer que la Société a mis en place des programmes de gestion des risques appropriés et de surveiller la façon dont le management met en œuvre ces programmes, » a-t-il déclaré. C’est clairement la responsabilité du Conseil d’Administration de veiller à ce que la direction ait mis en place des protocoles de gestion des risques efficaces.
Quels conseils pouvons-nous donner aux administrateurs?
Un Conseil d’Administration doit veiller à la gestion des cyber-risques dans le cadre de son programme de gestion des risques à l’échelle de l’entreprise. Il doit également chercher à mieux comprendre les risques informatiques et ceux liés à l’utilisation d’internet, évaluer les pratiques actuelles en matière de cybersécurité et planifier ainsi que préparer les personnels de l’Entreprise, grâce à des tests réguliers, pour une cyber-attaque. En résumé, la responsabilité deux Conseil d’Administration va au delà de la cyber-sécurité. Il doit répondre de la cyber-résilience de la Société devant les parties prenantes.
Les administrateurs devraient se poser trois questions importantes :
- Comprenons-nous bien la nature des cyber-menace s’appliquant à notre Société?
- Est-ce que les processus et la structure du Conseil d’Administration permettent un dialogue de qualité sur les questions de cyber-résilience?
- Que faisons-nous pour nous maintenir au courant des évolutions constantes des cyber-menaces?
Nous vous proposons quelques pratiques clés pour susciter intérêt et l’attention du Conseil d’Administration sur les cyber-risques :
- Demander désormais régulièrement des informations sur les cyber-risques, et pas seulement à la Direction Générale ou au DSI,
- Cherchent à mieux comprendre la nature des cyber-risques et leur impact sur l’organisation,
- Remettre en permanence en question la gestion de la cyber-sécurité et la cyber-résilience de l’organisation.
Par quoi commencer?
Il existe désormais des référentiels de bonnes pratiques et des normes dans les domaines de la sécurité de l’information (ISO 27001, ISO 27002) et de la cyber-résilience (RESILIA). Il en va de même pour la Gouvernance du Système d’Information qui est clairement, comme nous l’avons vu précédemment, à la charge du Conseil d’Administration, avec COBIT® et ISO 38500.
Une première étape, afin de sensibiliser les Administrateurs sur ces responsabilités nouvelles pour eux, consisterait à organiser une séance de sensibilisation sur les responsabilités du CA dans l’Entreprise du 21ème siècle au travers de programmes tels que :
COBIT® 5 pour les Conseil d’Administration et les Exécutifs (2 formats : session de 4 heures ou d’une journée). Cette formation couvre à la fois les responsabilités des Administrateurs et des membres du Comité de Direction.
RESILIA : Sensibilisation (2 formats : session de 4 heures ou d’une journée). Cette formation, plus orientée sur la stratégie de cyber-résilience et sa mise en oeuvre, s’adresse aux Administrateurs mais aussi, et surtout, aux membres du Comité de Direction.
La seconde étape consiste bien évidemment à élaborer une stratégie de cyber-résilience en lançant un programme adéquat et à rédiger des politiques de sécurité, de gestion des risques, des gestion des ressources humaines, etc. adaptées à cette stratégie. AB Consulting, seul organisme accrédité en Afrique sur l’ensemble des domaines concernés par ISACA, AXELOS, APMG, EXIN, PECB, vous propose toute une game de services d’évaluation / audit d’aptitude des processus de l’entreprise mais aussi d’évaluation de la maturité de votre Organisation, ainsi que d’accompagnement à la mise en oeuvre et de l’amélioration de la gouvernance du SI et la réalisation du programme de cyber-résilience, grâce à ses experts du domaine.
Nous vous proposons également nos formations accréditées et certifiantes telles que :
ISO 27001 Practitioner Bootcamp (Foundation et Practitioner sur 5 jours – Certification APMG) destiné aux personnels en charge de l’implémentation d’un Système de Management de la Sécurité de l’Information dans votre Organisation
ISO 27001 Lead Implementer (5 jours – Certification PECB) destiné aux responsables du projet d’implémentation du SMSI
RESILIA Practitioner Bootcamp (Foundation + Practitioner sur 5 jours – Certification AXELOS®) destiné aux personnels en charge d’implémenter la cyber-résilience du système d’information
COBIT Implementation Bootcamp (Foundation + Implementation sur 5 jours – Certification APMG/ISACA) pour les personnes participant à l’amélioration ou l’implémentation de la Gouvernance du SI.
ISO 38500 Corporate IT Governance Manager (3 jours – Certification PECB)
Nous proposons également de nombreuses autres formations sur ce domaine, notamment destinées aux personnels des entités métiers des entreprise ainsi qu’aux auditeurs et contrôleurs.
Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir remplir le formulaire de contact :