D’un sujet informatique à un impératif stratégique - 30 Years GUBERNA - Cybersecurity

À mesure que les attaques deviennent plus professionnelles, que la réglementation se renforce et que l’IA transforme le paysage, les conseils d’administration ne peuvent plus considérer la cybersécurité comme un simple sujet technique. C’est une question de gouvernance qui touche à la stratégie, à la réputation et à la continuité.
En s’appuyant sur les insights de nos panélistes Karolien Vanhuffel, Fabrice Clément, Vincent Pacheco, Saskia Van Uffelen, Peter Van Dyck, Alex Driesen et Chris Verdonck, voici les principaux enseignements.

1. Des menaces plus rapides, plus intelligentes et plus proches que jamais
Les cyberattaques deviennent de plus en plus professionnelles, souvent soutenues par des États ou des écosystèmes criminels. L’IA est une arme à double tranchant : les attaquants automatisent le phishing et l’ingénierie sociale, tandis que les défenseurs l’utilisent pour la détection et la gestion des anomalies. Pourtant, l’erreur humaine reste la plus grande vulnérabilité, en particulier dans les environnements de travail hybrides. Les ransomwares continuent de dominer, soulevant des dilemmes éthiques et juridiques liés au paiement des rançons.

2. Le cyber est une question de conseil d’administration, pas un problème IT
Les conseils d’administration doivent intégrer le cyberrisque dans la stratégie, l’audit et la gestion globale des risques (ERM). La complexité réglementaire (NIS2, DORA, RGPD) exige des accords clairs sur les rôles entre le conseil, le comité d’audit et des risques (ARC) et le management. La gouvernance de la chaîne d’approvisionnement est souvent négligée, alors que l’exposition aux tiers constitue un risque majeur.

3. Les personnes : le maillon le plus faible et le bouclier le plus fort
Les programmes de sensibilisation sont essentiels, mais doivent aller au-delà de la théorie et inclure des simulations pratiques. La fatigue liée à la sécurité est bien réelle ; les collaborateurs ont besoin d’un climat de sécurité psychologique pour signaler les incidents sans crainte. Le leadership donne le ton : les managers doivent montrer l’exemple en matière de comportements sécurisés et intégrer la cybersécurité dans la gestion moderne des talents.

4. Des principes à la pratique : construire la cyber-résilience

  • Intégrer la cybersécurité dans la stratégie d’entreprise et la planification des investissements.

  • Adopter une approche basée sur les risques : prioriser les actifs critiques et les risques à fort impact.

  • Se préparer aux crises avec des plans clairs de réponse aux incidents et de communication.

  • Utiliser la technologie comme accélérateur : architecture zero trust, gestion des identités, chiffrement par défaut.

  • Sécuriser la chaîne : imposer des standards aux fournisseurs et intégrer des obligations contractuelles.

5. Des structures efficaces : la clarté l’emporte sur la complexité
La double remontée d’information vers le conseil d’administration et l’ARC fonctionne : le conseil se concentre sur la stratégie et l’appétence au risque, l’ARC sur l’assurance et la profondeur technique. Le rythme est essentiel : la cybersécurité doit être un point permanent à l’ordre du jour, et non un sujet réactif. Il est recommandé qu’au moins un administrateur ou conseiller dispose d’une expertise cyber.

6. Préparation de l’ARC : la maîtrise avant la formalité
L’ARC est efficace lorsque ses membres comprennent les risques dans un langage business, et non en jargon technique. Des dossiers orientés décision et des séances de questions-réponses structurées renforcent la confiance. Le dirigeant responsable (souvent le CIO ou le CEO) porte la responsabilité finale ; le CISO traduit la complexité en clarté.

7. Des KPI qui comptent : moins, c’est mieux
Évitez les indicateurs de façade. Les conseils doivent suivre des indicateurs de résilience tels que l’évolution des scores de maturité, le temps de détection, le temps de reprise et le coût des interruptions. Incluez également des KPI liés au facteur humain (participation aux formations, tests de sensibilisation). Harmonisez les définitions au sein des groupes multi-entités afin d’éviter des consolidations trompeuses.

8. L’IA : la prochaine frontière de la gouvernance
Les conseils d’administration doivent encadrer l’IA selon quatre axes : efficacité IT, innovation métier, expérimentations en sandbox et shadow AI. Développez la culture IA et alignez la supervision sur les principes de l’AI Act européen. Traitez l’IA comme un changement culturel : formez les équipes, définissez des cas d’usage et mettez en œuvre une feuille de route.

9. Les chaînes d’approvisionnement : le cyberrisque caché
Institutionnalisez la cartographie des dépendances et un reporting régulier. Étendez la supervision aux fournisseurs de niveaux profonds et aux facteurs humains. Utilisez des heatmaps et des déclencheurs d’escalade pour une meilleure visibilité et passez d’une conformité « checklist » à une gestion des fournisseurs basée sur les risques.

10. La poignée de main chaleureuse : relier le conseil et l’exécutif
La confiance se construit grâce à deux éléments : un dossier pour le conseil sans jargon et la présentation par un dirigeant responsable crédible. Les conseils doivent poser des questions directes : « Combien de temps pouvons-nous être à l’arrêt ? Quel est le coût de l’indisponibilité ? » Les responsabilités doivent être claires, avec le CISO comme traducteur et le CIO/CEO comme propriétaire.

  • Cybersecurityy-1
  • Cybersecurtiy 2
  • Cyber 3
  • 2

Want to know more? Learn more about the  GUBERNA Sounding Board Committee for Cybersecurity.

 
Learn more
Cyber