Skip To Main Content

Comment les conseils d’administration s’assurent-ils qu’une organisation est prête à faire face aux cybermenaces?

Temps de lecture 

Date de publication févr. 04, 2025 

Pendant trop longtemps, la cybersécurité a été reléguée aux équipes techniques, discutée uniquement dans le contexte des pare-feu, des correctifs et des audits de conformité. Cette approche n’est plus suffisante. Les conseils d’administration doivent intégrer la cybersécurité dans la stratégie de l’entreprise et l’aborder avec la même rigueur que les risques financiers ou opérationnels.

 

Aujourd’hui, un officier principal de sécurité de l’information (OPSI) doit être en mesure d’aligner les stratégies de cybersécurité sur les objectifs plus larges de l’entreprise. Plus important encore, il doit être un leader capable de coordonner l’ensemble de l’organisation à fournir un effort vers le changement et d’influencer ses pairs de la direction pour obtenir leur adhésion.

 

Le conseil d’administration sert de contrôle externe essentiel pour garantir que l’OPSI bénéficie du soutien et de l’influence dont il a besoin, tout en ayant un impact sur l’ensemble de l’organisation. Lors de l’évaluation de l’efficacité d’un OPSI, le conseil d’administration doit tenir compte de certains éléments pour s’assurer que l’organisation est prête à gérer les cyberrisques :

 

  1. Anticipation des menaces stratégiques : L’OPSI et son équipe sont-ils tournés vers l’avenir, c’est-à-dire sont-ils en mesure d’identifier les nouvelles menaces et de mettre en œuvre des politiques préventives pour protéger l’organisation?
  2. Allocation des ressources : L’OPSI a-t-il obtenu les ressources nécessaires (temps, logiciels et talents) pour créer une infrastructure de sécurité résiliente qui s’aligne sur les objectifs plus larges de l’organisation?
  3. Formation et sensibilisation des employés : L’OPSI a-t-il préparé les employés à tous les niveaux à gérer les cybermenaces, en veillant à ce qu’ils comprennent les meilleures pratiques et leur rôle dans la prévention des violations de données?
  4. Leadership en matière de gestion de crise : L’équipe de l’OPSI dispose-t-elle des protocoles dont elle a besoin pour diriger une réponse rapide et décisive face aux menaces, ce qui lui permet de coordonner l’ensemble des services afin de minimiser les dommages et de rétablir les opérations de manière efficace?
  5. Suivi et rapports sur les mesures : L’OPSI dispose-t-il de capacités de suivi et de production de rapports appropriées sur les indicateurs de cybersécurité? Quelles sont les lacunes qui pourraient rendre l’organisation vulnérable?

 

Les conseils d’administration qui prennent des mesures proactives en matière de cybersécurité réduisent non seulement les risques, mais positionnent également leur organisation comme étant digne de confiance et résiliente, ce qui peut constituer un avantage concurrentiel sur le marché numérique d’aujourd’hui.

 

Évaluer l’état de préparation de l’organisation

 

Pour superviser efficacement la cybersécurité, les conseils d’administration n’ont pas besoin d’être des experts techniques. Il leur suffit de poser les bonnes questions pour susciter des conversations productives, clarifier les priorités et assurer l’alignement des efforts de cybersécurité sur les objectifs opérationnels plus larges.

 

Voici cinq questions essentielles que chaque conseil d’administration devrait poser à l’OPSI, ainsi que les points importants qu’il faudrait retrouver dans ses réponses :

 

Question 1 : Quels sont les principaux risques de cybersécurité auxquels notre organisation est actuellement confrontée et comment les atténuons-nous?

 

La compréhension des menaces spécifiques auxquelles l’organisation est confrontée permet au conseil d’administration d’évaluer si les dirigeants sont suffisamment préparés pour y faire face. Les cyberrisques varient en fonction du secteur d’activité, de la zone géographique et du modèle d’entreprise, c’est pourquoi il est essentiel d’adopter une approche personnalisée. Points importants :

 

  • Identification claire des risques actuels, tels que les rançongiciels, l’hameçonnage, les vulnérabilités de la chaîne d’approvisionnement ou les menaces internes.
  • Preuve des mesures proactives prises par l’équipe de cybersécurité pour atténuer ces risques, telles que l’amélioration des systèmes de détection, la mise à jour des protocoles ou les audits de tiers.
  • Présentation des menaces émergentes et des plans pour y faire face.

 

Question 2 : Investissons-nous suffisamment dans la cybersécurité? Comment nos dépenses se comparent-elles à celles du secteur?

 

Les budgets consacrés à la cybersécurité doivent refléter le profil de risque de l’organisation, les normes du secteur et l’exposition potentielle aux menaces. Le sous-investissement peut souvent entraîner des lacunes dans la protection, tandis que le surinvestissement dans les mauvais domaines peut conduire à un gaspillage des ressources. Points importants :

 

  • Comparaison des dépenses de l’organisation par rapport à des données de référence du secteur.
  • Une ventilation claire de la manière dont le budget de la cybersécurité est alloué, y compris les investissements dans la technologie, les talents et la formation.
  • Justification des augmentations ou diminutions significatives des dépenses liées à l’évolution de la menace ou de la stratégie de l’organisation.

 

Question 3 : Quelle est la fréquence des formations à la cybersécurité et quel pourcentage de notre personnel les a suivies?

 

L’erreur humaine reste l’une des principales causes des atteintes à la cybersécurité. Une formation régulière à la cybersécurité permet de s’assurer que les employés comprennent leur rôle dans la reconnaissance des menaces et la protection de l’organisation. Points importants :

 

  • Mesures spécifiques sur les taux d’achèvement de la formation dans les différents services et niveaux.
  • Détails sur le contenu et l’efficacité des programmes de formation, tels que les tests de simulation d’hameçonnage ou les modules interactifs.
  • Des plans pour améliorer la participation et l’engagement, en particulier pour les rôles à haut risque tels que les cadres et les employés de première ligne.

 

Question 4 : Quel est notre plan d’intervention en cas d’incident et à quelle fréquence le testons-nous et le mettons-nous à jour?

 

Un plan d’intervention en cas d’incident (PII) bien documenté et régulièrement testé est essentiel pour minimiser les dommages et assurer un rétablissement rapide lors d’une cyberattaque. Sans cela, les organisations courent le risque d’être confrontées au chaos et à un temps d’arrêt prolongé. Points importants :

 

  • Vue d’ensemble du PII, y compris les rôles, les responsabilités et les protocoles de communication.
  • Fréquence et résultats des tests récents, tels que les exercices sur table ou les simulations à grande échelle.
  • Mises à jour du plan sur la base des enseignements tirés d’incidents ou de tests antérieurs.

 

Question 5 : Comment mesurer et rendre compte de l’efficacité de nos stratégies de cybersécurité et de nos efforts de mise en conformité?

 

Des mesures et des rapports réguliers aident les conseils d’administration à évaluer les progrès, à identifier les domaines à améliorer et à garantir la responsabilité. Sans indicateurs clairs, il est impossible de savoir si les investissements dans la cybersécurité produisent les résultats escomptés. Points importants :

 

  • Indicateurs clés de rendement (ICR) utilisés pour suivre l’efficacité de la cybersécurité, tels que le nombre d’incidents détectés, le temps de réponse et les scores de conformité.
  • Informations provenant d’audits ou de certifications de tiers qui fournissent un point de vue externe sur la position de l’organisation en matière de sécurité.
  • Plans d’amélioration ou d’extension des mesures pour couvrir de nouveaux domaines de risque.

 

Favoriser une culture de la responsabilité

 

Les conseils d’administration les plus efficaces considèrent la cybersécurité comme une priorité constante. Ils se tiennent informés de l’évolution des menaces et font appel à des experts externes, tels que des consultants ou des auditeurs, pour valider les évaluations et les stratégies internes en matière de cybersécurité.

 

En définitive, les conseils d’administration qui accordent la priorité à la cybersécurité ne se contentent pas de protéger leur organisation contre les menaces, ils renforcent également la confiance des clients, des partenaires et des investisseurs. À une époque où la résilience numérique se traduit directement par le succès des entreprises, il n’y a pas de meilleur moment pour mettre l’accent sur cette conversation.

 

 

À propos de l’auteur

 

Tim Hewat est directeur de recherche de cadres, Amérique du Nord, LHH Knightsbridge. Avec son équipe, il aide ses clients à trouver et à faire évoluer les meilleurs talents dont ils ont besoin pour libérer tout leur potentiel. Communiquez avec Tim Hewat à l’adresse tim.hewat@lhhknightsbridge.com pour en savoir plus.