Les risques de cybersécurité ne cessent d’augmenter au sein des entreprises vu que (i) le télétravail et l'utilisation des technologies en nuage offrent aux employés un accès élargi aux données de l'entreprise, (ii) l'externalisation nécessite l'échange d'informations et (iii) le cyberespionnage et le vol de données ne sont pas rares lors des fusions et acquisitions. La survie même d'une entreprise (grandes entreprises comme PME) étant de plus en plus déterminée par sa résilience face à de telles vulnérabilités, l’organe d'administration doit jouer un rôle fondamental dans la gestion des risques de cybersécurité. Avec l'avènement de la dixième édition du European CyberSecMonth (Cybermois européen), ce sujet mérite encore plus d’attention.
Enjeux pour l’organe d'administration
Une entreprise peut être exposée à différents types de risques en matière de cybersécurité.
Tout d'abord, il y a le risque d'une attaque contre les systèmes informatiques ou d'une violation des données qui pourrait entraîner des sanctions administratives, voire pénales.
Deuxièmement, il existe un risque d'interruption de la production, des ventes et des activités quotidiennes, ce qui entraîne une baisse du chiffre d'affaires et une diminution des bénéfices.
Enfin, la résilience de l'entreprise peut être remise en cause avec toutes les conséquences qui en découlent: une faille dans la cybersécurité nuit à la réputation, mais également remet en cause la compétence de l’organe d'administration.
Des actionnaires ont en effet déjà exigé la révocation d'administrateurs ou engagé des poursuites judiciaires à leur égard pour des cyberattaques.
Étant donné qu'une cyberattaque ou fuite de données peut affecter tout département d'une entreprise, la cybersécurité ne peut certainement pas être réduite à une question d’informatique. Comme tout autre risque affectant l'entreprise, la cybersécurité nécessite une stratégie claire de la part du de l’organe d'administration.
Rôle de l’organe d'administration
L’organe d'administration n'a pas à comprendre tous les aspects techniques, mais il est bien responsable de la gouvernance des risques de cybersécurité. Être conscient des risques n'est pas suffisant; chaque organe d'administration a besoin d'une politique de cybersécurité afin de créer un environnement sécurisé de données.
Souvent, le sujet de cybersécurité n'est abordé qu’au moment où l'entreprise est devenue la victime d'une cyberattaque ou d'une fuite de données.
Les entreprises doivent en effet être en mesure de gérer les conséquences d'une attaque, mais encore plus important est l'aspect de la prévention des risques.
Il incombe tout d'abord aux administrateurs de sensibiliser leur personnel aux risques liés à la cybersécurité.
Deuxièmement, il faut déterminer le niveau de risque que l'entreprise est prête à prendre en vue de ses objectifs stratégiques. Pour ce faire, les administrateurs doivent classer les risques en fonction de leur ampleur ou de leur impact, puis déterminer quels seront les risques à prioriser.
Troisièmement, il faut une décision de l’organe d’administration sur un budget approprié pour les mesures techniques et organisationnelles et, le cas échéant, sur la conclusion d'une assurance cyber.
Conclusion
En bref, il est clair que la cybersécurité n’est pas seulement une question pour le département IT et que l’organe d'administration ne peut plus nier son rôle dans la gestion des risques de cybersécurité dans l’entreprise.
De plus en plus, le rôle clé que joue l’organe d'administration en matière de cybersécurité est également inscrit dans la législation, la réglementation ou les normes. Par exemple, en vertu du principe de responsabilité reconnu par le RGPD, l’organe d’administration est responsable de la conformité générale avec la législation sur la protection des données. L'article 38 (3) du RGPD stipule également que "le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant". Le futur Règlement sur la résilience opérationnelle numérique du secteur financier (y compris les banques et les (ré)assureurs) attribue la responsabilité de la gestion des risques liés aux TIC au plus haut niveau de direction de l'organisation. Finalement, les normes relatives à la sécurité des TIC, telles que la norme ISO 27001, confient également à l’organe d'administration la responsabilité générale par rapport à la sécurité informatique.
Si vous êtes un membre de l’organe d'administration, nous vous recommander d'ajouter le sujet de ‘cybersécurité’ à l'ordre du jour de votre prochaine réunion. Ce sera l'occasion de vérifier où en est votre entreprise ou organisation dans sa stratégie de cybersécurité et de déterminer si un plan d'action est nécessaire.