Un défi pour le conseil d’administration : Gérer le cyberrisque avec une vision stratégique

10 500 milliards de dollars¹. Selon une étude, ce chiffre astronomique est une estimation du coût des dommages subis par les entreprises du fait de la cybercriminalité en 2025.

Favorisées par les progrès technologiques et des cybercriminels de plus en plus sophistiqués, les cybermenaces évoluent à un rythme effréné. Quel que soit le secteur d’activité ou la zone géographique, les cybermenaces constituent un défi permanent qui a des conséquences concrètes, notamment des pertes financières et des atteintes à la réputation pour les entreprises qui en sont victimes.

Malheureusement, les organisations abordent souvent la cybersécurité de manière réactive. Les entreprises qui ont été confrontées au coût d’une attaque (estimé à 9,36 millions de dollars par violation de données²) sont les plus susceptibles de réaliser des investissements importants dans la prévention. En revanche, les entreprises qui choisissent de ne pas investir dans des programmes de cybersécurité avant un incident sont souvent trop enclines à ne dépenser le budget qu’une fois la violation survenue.

La cybersécurité exige un changement de mentalité important et, comme tout changement majeur, celui-ci commence au sommet de la hiérarchie. Bien que l’équipe dirigeante soit ultimement responsable de la cybersécurité, les dirigeants sous-estiment souvent la probabilité des cyberrisques ou privilégient les priorités commerciales à court terme. Dans ces situations, le conseil d’administration joue un rôle crucial : celui de créer l’urgence de traiter ces risques.

Lorsque les conseils d’administration accordent la priorité à la cybersécurité, ils envoient un message fort à l’ensemble de l’organisation. Un conseil d’administration engagé donne le ton en matière de responsabilité et favorise une gestion proactive des risques, ce qui permet aux entreprises de mieux anticiper et d’atténuer les menaces.

Cependant, il s’avère que de nombreux conseils d’administration n’envisagent pas la cybersécurité de la bonne manière.

Plus qu’une solution technique

La cybersécurité ne se résume pas aux pare-feu, au chiffrement et aux logiciels antivirus. Si les organisations se concentrent souvent sur l’acquisition de technologies de pointe pour lutter contre les cybermenaces, elles négligent souvent l’élément humain. En effet, les études montrent que 75 % des cyberattaques se produisent sans logiciels malveillants³ et que la majorité des incidents sont dus à une forme d’erreur humaine.

La technologie n’est efficace que dans la mesure où les personnes qui la gèrent le sont également. Les menaces évoluent; il est donc essentiel pour les entreprises de disposer d’un dirigeant compétent en matière de cybersécurité et capable d’évoluer en même temps qu’elles.

Créer une fonction de cybersécurité robuste

Pour lutter contre la cybercriminalité, de nombreuses organisations ont mis en place de solides fonctions de cybersécurité dirigées par un officier principal de la sécurité de l’information (OPSI). Depuis la création de ces équipes, les responsabilités se sont considérablement élargies, avec une participation accrue à l’élaboration des politiques et à la gestion des risques.

Aujourd’hui, un OPSI doit être capable d’aligner les stratégies de cybersécurité sur les objectifs plus larges de l’entreprise, tout en stimulant un changement organisationnel et en influençant la prise de décision de la direction. Pour réussir, l’OPSI doit être habilité à diriger la cyberrésilience de l’organisation.

La cybersécurité est une activité à forte intensité de ressources, et les conseils d’administration jouent un rôle crucial en veillant à ce que les investissements nécessaires soient réalisés pour maintenir une stratégie de sécurité solide. Les conseils d’administration qui souhaitent faire de la cybersécurité une priorité devraient envisager ces tactiques :

• Inclure les mises à jour de l’OPSI comme un point récurrent de l’ordre du jour du conseil d’administration. L’OPSI peut ainsi informer régulièrement le conseil d’administration de la stratégie de cybersécurité et faire part de ses préoccupations éventuelles. Cela permettra au conseil d’administration d’être mieux informé sur la manière dont l’OPSI et son équipe assurent la cybersécurité et sur la manière dont le conseil d’administration peut soutenir ces efforts.
• Suivre l’évolution des initiatives en matière de cybersécurité. En se mettant d’accord sur des indicateurs clés de résultats (ICR) et en les contrôlant régulièrement, les conseils d’administration sont mieux à même de contrôler l’efficacité des initiatives en matière de cybersécurité et de prendre des décisions éclairées quant à l’affectation des ressources.
• Collaborer avec les OPSI pour évaluer leurs besoins en matière de talents et de ressources. Les conseils d’administration devraient collaborer avec les OPSI pour s’assurer qu’ils disposent de la bonne combinaison d’expertise technique et de capacités stratégiques. Il est important de comprendre que cela ne se limite pas à la cybersécurité actuelle, mais qu’il s’agit également de prévoir les besoins futurs de l’entreprise.
• Découvrir les risques par le biais de scénarios et de simulations. Les membres des conseils d’administration estiment souvent qu’ils n’ont pas l’expertise technique nécessaire pour donner des conseils en matière de cybersécurité. En participant à des simulations de cyberincidents, les conseils d’administration peuvent mieux comprendre leur rôle dans les situations de crise et identifier les lacunes potentielles du plan de réponse aux cybermenaces de l’organisation.
• Examiner les autres priorités sous l’angle de la cybersécurité. En examinant les autres priorités de l’entreprise lors de ses réunions régulières, le conseil d’administration doit tenir compte de l’impact potentiel de ces décisions du point de vue de la cybersécurité. Il s’agit notamment de décisions concernant de nouveaux investissements dans la technologie, de nouveaux partenariats et d’autres changements importants dans l’infrastructure.

Créer une culture de cybervigilance

Au bout du compte, la force d’une organisation en matière de cybersécurité dépend de sa culture. Les conseils d’administration ont une occasion unique de façonner la culture de l’organisation en encourageant la prise de conscience, la responsabilisation et un état d’esprit proactif chez les employés.

À une époque où les cybermenaces se multiplient, l’engagement du conseil d’administration en matière de cybersécurité n’est plus une option, c’est une nécessité. En reconnaissant l’importance stratégique du rôle de l’OPSI, en investissant dans les talents et les ressources et en encourageant une culture de la vigilance, les conseils d’administration peuvent transformer leurs organisations en entreprises résilientes et conscientes des cyberrisques.

Bien que les enjeux de la cybersécurité soient élevés, les organisations peuvent, grâce à un leadership et à une vision appropriés, naviguer en toute confiance dans le paysage complexe de la cybersécurité et assurer leur succès à long terme dans le monde numérique.

¹ Cybersecurity Ventures 2023 Official Cybercrime Report

² IBM Cost of a Data Breach Report 2024

³ Crowdstrike 2024 Global Threat Report

À propos de l’auteur

Tim Hewat est directeur de recherche de cadres, Amérique du Nord, LHH Knightsbridge. Avec son équipe, il aide ses clients à trouver et à faire évoluer les meilleurs talents dont ils ont besoin pour libérer tout leur potentiel. Communiquez avec Tim Hewat à l’adresse tim.hewat@lhhknightsbridge.com pour en savoir plus.