Le concept de cybersécurité n’est pas nouveau, mais la dépendance croissante des entreprises aux systèmes en réseau et à l’Internet est un phénomène relativement récent. Nous devons également prendre en considération l’évolution rapide des menaces de cybersécurité et les enjeux pour les organisations évoluant dans le monde numérique d’aujourd’hui. Des incidents très médiatisés et l’intervention croissante des gouvernements sensibilisent les dirigeants d’entreprise à l’étendue et aux répercussions potentielles des atteintes à la cybersécurité.
À l’échelle mondiale, les membres des conseils d’administration s’efforcent de comprendre les enjeux de cybersécurité pour éviter d’autres atteintes majeures à la sécurité. Une nouvelle étude menée par CGI au Royaume-Uni et le Centre for Economics and Business Research* (Cebr) sur l’attitude des hauts dirigeants en matière de cybersécurité révèle que les conseils d’administration prennent la cybersécurité plus au sérieux et envisagent d’augmenter la surveillance, les investissements et le recours aux services-conseils externes.
Cette recherche de premier plan a sondé 150 hauts dirigeants et membres de conseils d’administration des plus importantes entreprises britanniques (comptant plus de 1 000 employés) des secteurs du commerce de détail, des services bancaires, de l’assurance, des services publics et des télécommunications. Les organisations interrogées estiment que le montant total moyen qu’elles auraient à débourser sur une période d’un an advenant la perte ou la corruption de leurs données les plus importantes serait de 1,2 million £.
Autres conclusions tirées du sondage
- Plus du tiers des hauts dirigeants interrogés croient qu’une atteinte à la cybersécurité touchera leur organisation au cours des 12 prochains mois.
- 81 % des dirigeants des principaux secteurs envisagent d’accroître la surveillance de la cybersécurité au sein de leur entreprise.
- Moins de la moitié des dirigeants d’entreprises britanniques font confiance aux conseils qu’ils reçoivent actuellement sur la sécurité des TI.
- 68 % des répondants prévoient se fier davantage à des conseillers externes en cybersécurité.
- Presque 30 % des dirigeants des principaux secteurs que sont les télécommunications, les services publics, les finances et le commerce de détail considèrent toujours la cybersécurité comme un enjeu informatique et, en moyenne, seulement 35 % des cadres croient que les membres de leur conseil d’administration possèdent une expertise personnelle approfondie en cybersécurité.
Il ressort également de l’analyse du Cebr que les secteurs des télécommunications et des services publics en particulier doivent redoubler d’efforts. Les initiatives récentes de gouvernements au Royaume-Uni, aux États-Unis et en Europe pour augmenter la protection des infrastructures nationales essentielles abondent en ce sens.
L’étude menée par CGI au Royaume-Uni propose sept étapes pour améliorer la gouvernance de la cybersécurité. Celles-ci peuvent s’appliquer aux organisations de l’ensemble de l’Europe et à l’échelle mondiale.
- Nommez un cadre supérieur possédant l’autorité et le savoir-faire nécessaires pour aborder les risques à titre de responsable de la cybersécurité.
- Intégrez la cybersécurité à l’ordre du jour de toutes les réunions du conseil, y compris, au minimum, des rapports sur les risques d’entreprise, la nature des données sensibles et le progrès des mesures d’atténuation.
- Traitez la cybersécurité comme un risque touchant l’ensemble de l’organisation et proposez des mesures de surveillance comme vous le feriez pour tout risque d’entreprise important. Encouragez les discussions sur l’appétit pour le risque, l’évitement et l’atténuation du risque ainsi que l’assurance de la cybersécurité.
- Assurez-vous que votre entreprise comprend l’évolution rapide du paysage juridique en ce qui a trait aux cyberrisques, y compris la législation européenne émergente, notamment le règlement général sur la protection des données et la directive sur la sécurité des réseaux et de l’information (SRI).
- Ayez recours à l’expertise de spécialistes pour guider et informer le conseil d’administration, qu’il s’agisse d’experts internes ou de conseillers externes.
- Mettez un programme de travail en place pour gérer les cyberrisques en fonction d’échéanciers et de budgets réalistes.
- Exigez une sécurité accrue de vos fournisseurs en TI, y compris en ce qui a trait aux produits, aux systèmes et aux services.
CGI encourage la discussion sur la façon dont les conseils d’administration peuvent prendre des mesures positives pour améliorer la gouvernance afin de réduire l’exposition de leur organisation aux cyberrisques. Je vous invite à consulter le résumé graphique* des principales conclusions du sondage ou à télécharger une copie du rapport complet* en format PDF.
*en anglais