La cybersécurité dans la salle du conseil : l'importance d'une poignée de main chaleureuse

Une étude internationale unique sur le reporting de cybersécurité aux conseils d'administration

Face à l'augmentation des menaces cyber, un reporting solide en matière de cybersécurité auprès des conseils d'administration devient de plus en plus crucial. Un nouveau rapport international, fruit d'une collaboration entre le Center for Corporate Governance de St-Gallen en Suisse et le Centre pour la Cybersécurité Belgique, offre aux administrateurs un cadre pour mieux remplir leur rôle dans la politique de cybersécurité. "Il est essentiel de créer une poignée de main chaleureuse entre le conseil d'administration et la direction," affirme Chris Verdonck, initiateur du projet. 

Les menaces cyber s'intensifient

"La menace de la cybercriminalité augmente de manière significative. Le cyberactivisme, l'espionnage et le sabotage deviennent également des réalités de plus en plus concrètes en raison de la situation géopolitique," avertit Miguel De Bruycker, directeur général du Centre pour la Cybersécurité Belgique (CCB). 

Les entreprises belges sont certainement exposées à ces dangers. "La cybercriminalité ne tient pas compte des frontières nationales ou des secteurs," explique De Bruycker. "Quiconque peut être piraté et à qui une rançon peut être demandée est dans la ligne de mire. Nos services essentiels sont particulièrement ciblés."

Chris Verdonck

Une étude unique

Le rapport est le résultat d'une étude internationale unique qui a interrogé 67 grandes entreprises en Belgique, en Suisse et en Australie. "Sur ces 67 entreprises, 63% étaient cotées en bourse, avec une capitalisation boursière moyenne avoisinant les 20 milliards," précise Chris Verdonck, conseiller senior du projet. 

Les chercheurs se sont entretenus exclusivement avec des membres de conseils d'administration et ont analysé des dizaines de rapports de cybersécurité dits "assainis" dont les informations confidentielles avaient été supprimées.

La poignée de main comme moment crucial

"Avant de commencer le projet, j'ai eu plusieurs conversations avec des membres de conseils d'administration concernant leur manque de confort sur ce sujet lors des réunions du conseil," raconte Verdonck. "Néanmoins cette poignée de main entre le conseil et la direction est un élément crucial." 

Selon Verdonck, cette poignée de main a lieu pendant la réunion du conseil, lorsque la cybersécurité est à l'ordre du jour et qu'un rapport sur la cybersécurité est sur la table. "On peut avoir une poignée de main chaleureuse ou, au contraire, distante. Mais il faut être deux pour qu’elle soit véritablement chaleureuse. Si l’un des deux tend une main molle, on ne peut pas parler d’un véritable engagement."

Miguel De Bruycker

Du travail à accomplir

L'étude révèle que seulement 65% des personnes interrogées ont déclaré disposer des informations adéquates pour prendre des décisions correctement informées. "Et je pense que c'est même assez optimiste," remarque De Bruycker. 

"Nous constatons que les rapports sont présentés de manière très diverse," poursuit De Bruycker. "Certaines formes de reporting sont plus claires que d'autres, mais il n'y a pas réellement de ligne directrice. Parfois, c'est très technique - à notre avis trop technique pour ce niveau - et souvent, le lien avec les risques commerciaux est absent. C'est pourtant l'objectif final : que les experts en matière de cybersécurité soient capables de traduire ces informations dans un langage qui est parlé au niveau du conseil." 

" Comme membre du conseil, vous êtes confronté à un problème évident," affirme Verdonck. "Sur la base de ce que j'ai vu dans les rapports, vous obtenez le plus souvent une vision partielle, plutôt qu'une vision complète. Cette vision complète est évidemment essentielle pour qu'un conseil d'administration puisse bien remplir ses fonctions."

Trois points clés du cadre proposé

Sans entrer trop dans les détails, Verdonck présente trois points clés du cadre proposé dans le rapport: 

  1. Connaître son environnement : "Comprendre qui vous êtes et ce que vous faites. Quel est le niveau de risque de votre organisation ? Depuis combien de temps travaillez-vous sur la cybersécurité ?" 

  2. Organiser votre conseil : "Réfléchissez à la façon dont vous discutez et organisez la cybersécurité au sein du conseil d'administration." 

  3. Adapter votre reporting : "Le reporting doit correspondre à la maturité de votre organisation. Une organisation débutante a besoin d'un reporting différent d'une organisation qui travaille sur la cybersécurité depuis des années." 

Les conseils ne savent souvent pas quoi demander

"Les conseils d'administration ne savent souvent pas quelles questions poser dans ce domaine," souligne De Bruycker. "Un tel cadre peut absolument les aider, permettant aux membres du conseil de se sentir plus à l'aise avec le sujet et d'oser poser des questions." 

À ce niveau, personne n’aime reconnaître un manque de connaissance sur un sujet. "Un tel cadre offre une structure claire et renforce la confiance que nous abordons la cybersécurité de manière adéquate." 

Le rapport intitulé "Cyber Security Board Reporting - The Board's Perspective" sera disponible mi-avril via www.cybersecurityboardreporting.com. Vous pouvez déjà vous inscrire à l'avance.

Vous n'avez pas accès au contenu ci-dessous.

Pour lire le contenu ci-dessous, vous devez être membre ou connecté.