Il fut un temps où les entreprises s’efforçaient de contrer les violations de la sécurité uniquement car elles redoutaient les répercussions qu’elles auraient sur leur réputation. Les équipes de direction comptaient habituellement sur leur organisation de sécurité pour éviter de faire la une. Cependant, les vecteurs d’attaque ont changé, et les entreprises reconnaissent maintenant le fait que les conséquences financières d’une intrusion ne se limitent pas seulement aux pertes de revenus potentielles découlant de l’atteinte à leur réputation, mais comprennent également une diminution du cours de leur action et de leur évaluation boursière.
Il est essentiel que les dirigeants d’entreprise saisissent bien l’importance de la cybersécurité et la traitent comme un enjeu commercial plutôt que de déléguer la protection de l’information à leur équipe informatique. Ils doivent comprendre les menaces auxquelles ils sont exposés dans le cyberespace, et cesser de se demander s’ils seront victimes d’une cyberattaque, mais plutôt quand ils la subiront.
Les brèches de cybersécurité de cette année, qui ont atteint des centaines de millions de personnes aux États-Unis seulement, ne sont qu’une autre preuve de la nécessité croissante d’intégrer la cybersécurité à toutes les activités numériques.
Les attaques – et leurs conséquences – évoluent
Les conseils d’administration s’intéressent maintenant à l’enjeu de la cybersécurité, et les membres de la haute direction sont tenus responsables de la protection des données et des actifs informationnels de l’entreprise et des clients. Par ailleurs, à l’instar de la loi Sarbanes-Oxley, qui exige que les chefs de la direction se portent garants des contrôles internes liés à la publication de l’information financière, nous sommes sur le point de constater l’apparition d’exigences portant sur l’attestation de l’efficacité des contrôles et des processus de cybersécurité.
Dans l’étude Cybersécurité et valeur de l’entreprise, l’équipe de CGI au Royaume-Uni, en collaboration avec Oxford Economics, a découvert qu’une grave atteinte type à la cybersécurité entraîne une charge financière permanente représentant 1,8 % de la valeur de l’entreprise.1 Cette étude a également révélé qu’après une attaque, le cours de l’action d’une entreprise avait chuté de sept points de pourcentage supplémentaires comparativement à la variation moyenne du cours des actions du secteur. La situation s’est ensuite aggravée lorsque le public a découvert que la brèche avait entraîné des poursuites judiciaires contre l’entreprise. Le cours de son action a diminué d’un autre pour cent.
Que peuvent faire les dirigeants d’entreprise?
Afin que la cybersécurité demeure une priorité et que les employés connaissent bien les mesures qu’ils doivent prendre pour protéger les données et les actifs informationnels, les dirigeants doivent mettre l’accent sur la sensibilisation à la sécurité de façon constante. D’ailleurs, une autre étude* menée par CGI au Royaume-Uni a démontré que les conseils d’administration prennent la cybersécurité de plus en plus au sérieux et prévoient accroître leur surveillance, leurs investissements et leur recours à des conseillers externes.2
Selon les incidents récents, il est évident que les zones de vulnérabilité aux cyberattaques évoluent et qu’une défense périphérique n’est plus suffisante. L’évaluation de la sécurité doit maintenant être intégrée au processus de développement d’applications afin de s’assurer qu’aucune vulnérabilité ne peut être exploitée.
L’une des principales mesures que les entreprises peuvent prendre consiste à élaborer une structure solide de cybergouvernance. Je vous invite à lire le billet de blogue publié récemment par ma collègue Molly O’Neill, qui compte cette mesure parmi les principaux moyens qu’adoptent les entreprises numériques afin de réussir leur transition vers une culture à l’affût des cybermenaces.
* en anglais
1 Le modèle sur lequel cette étude est fondée a été utilisé pour analyser des entreprises cotées en bourse ayant subi une atteinte à la cybersécurité. La valeur de l’entreprise a été mesurée en fonction d’un groupe témoin d’entreprises comparables.