Il apparaît de plus en plus clairement que la cybersécurité est un facteur clé pour le rendement, la réputation et la valorisation d’une entreprise. Ce point est soulevé dans le rapport The Cyber-Value Connection* publié par CGI au Royaume-Uni, qui quantifie la relation entre une atteinte grave à la cybersécurité et les dommages causés à la valeur d’une entreprise.

En raison de la publicité négative entourant les failles, les cyberrisques font de plus en plus partie des préoccupations des investisseurs et des organismes de réglementation. La cybersécurité est donc un enjeu majeur pour les conseils d’administration et les chefs de la direction. Cependant, peu d’entre eux possèdent l’expertise nécessaire à l’élaboration de plans de protection pour leur organisation. (Apprenez-en davantage dans l’étude publiée par CGI en 2016 : Cyber security in the boardroom: UK plc at risk*.)

Mais cette situation est amenée à changer. Les membres du conseil seront confrontés à des pressions croissantes les obligeant à prendre le cyberrisque en considération, et cette nouvelle donne aura une incidence sur la façon dont leur performance personnelle est évaluée. Les attentes pèseront lourdement sur les chefs de la direction qui, dans le cas de cyberincident, devront répondre aux questions des médias, des clients, des employés et des investisseurs. Il est probable que de plus en plus de dirigeants seront forcés de démissionner à la suite d’atteintes à la cybersécurité.

L’importance d’une solide gouvernance de la cybersécurité

D’abord et avant tout, les entreprises ont besoin d’une structure solide de gouvernance de la cybersécurité. Les membres du conseil d’administration peuvent franchir la première étape en questionnant leur organisation au sujet des enjeux de cybersécurité. Les hauts dirigeants doivent évaluer leur niveau de connaissance, connaître le degré de fiabilité des activités et savoir lesquelles font l’objet d’un plan de sécurité. En obtenant des réponses à ces questions, ils peuvent doter leur organisation de l’expertise, du personnel et de la gouvernance dont elle a besoin pour anticiper et gérer les atteintes de façon efficace.

Voici quelques questions qu’un chef de la direction pourrait poser aux membres de son organisation. Il ne s’agit pas d’une liste de vérification technique. Elles visent plutôt à évaluer le degré de confiance qui révélera l’état réel de préparation.

Cyber Value

Gouvernance et planification

Connaissance de la situation

Contexte commercial

  1. Qui est responsable de la cybersécurité?
  2. Pouvez-vous me montrer notre plan actuel d’intervention en cas de cyberincident?

 

 

 

 

 

 

 

  1. Qui peut m’informer au sujet de notre profil en matière de cyberrisques?
  2. À combien d’attaques avons-nous été confrontés la semaine dernière?
  3. Qu’avons-nous appris de notre dernier cyberincident?
  4. Quels tests indépendants avons-nous menés?

 

 

 

 

  1. Est-ce que la cybersécurité constitue un risque commercial pour notre entreprise?
  2. Combien nous en coûterait-il si nos systèmes informatiques étaient hors fonction pour une semaine?
  3. Quelle est l’information la plus importante détenue par notre entreprise?
  4. Combien dépensons-nous en cybersécurité chaque année?
  5. Quel est notre niveau de préparation au Règlement général sur la protection des données (RGPD) de l’Union européenne?

La portée du cyberrisque peut être intimidante, mais ces menaces peuvent être atténuées de la même manière que tout autre risque grâce à un leadership solide, à une saine gestion ainsi qu’à une préparation et une planification efficaces. L’approche doit partir du sommet, et le chef de la direction est responsable d’enclencher le processus. Pour en apprendre davantage sur les bonnes questions à poser, consultez notre rapport sur la cybersécurité et la valeur de l’entreprise*.

*en anglais

À propos de l’auteur

CGI’s Cybersecurity Practice

Pratique de cybersécurité de CGI

Chez CGI, la sécurité fait partie de tout ce que nous faisons. Notre offre complète de services comprend les services-conseils et la formation, l’intégration et la mise en œuvre ainsi que la gestion déléguée et les services de cyberassurance. Nos centres de gestion de ...