Les cyberintrusions continuent de faire les manchettes, et leurs répercussions se font de plus en plus sentir dans tous les secteurs d’activité. Alors que les organisations gèrent ces risques en constante évolution, les dirigeants, les administrateurs et les comités du conseil d’administration subissent une pression grandissante de la part des actionnaires et font l’objet d’une surveillance accrue par les organismes de réglementation pour la mise en place de cyberstratégies efficaces.
Même si les membres du conseil d’administration ont l’occasion de défendre les intérêts de leur organisation en priorisant une cyberdéfense solide et structurée, ils ne savent pas toujours par où commencer. Comprendre le profil de risque de leur organisation, connaître leur rôle quant au soutien et à la responsabilisation de la direction et savoir quelles sont leurs responsabilités : tout cela représente une tâche colossale. Afin d’aider les administrateurs à améliorer leur efficacité à cet égard, KPMG a conçu un cadre simple découlant d’une vaste étude menée à l’échelle mondiale : le cadre Understand-Guide-Act (comprendre, guider, agir).
Le cadre Understand-Guide-Act est le premier outil destiné à fournir des indications concrètes aux administrateurs et aux conseils pour les aider à comprendre et à assumer leurs responsabilités en matière de cybersécurité. Les principes énoncés dans ce cadre sont adaptables et fonctionnent indépendamment du secteur d’activité, et ils permettent une prise de décision éclairée et fondée sur la connaissance des risques, tout en s’appuyant sur les piliers de la bonne gouvernance que le conseil d’administration connaît bien.
Avant tout, il faut bien comprendre les risques.
Il n'existe pas deux cyberstratégies identiques. Même s'il est possible d'observer des similitudes au sein d'un secteur, chaque organisation suit une approche définie en fonction de ses priorités, de sa propension à prendre des risques et de l'ensemble de risques auxquels elle est exposée. Il est de la responsabilité du conseil d'administration d'étudier attentivement les facteurs internes, externes et réglementaires ayant une incidence sur leur organisation afin d'approfondir leur compréhension du profil de risque global. En consultant les leaders en technologie, en cybersécurité et en gestion de risques de leur organisation, les administrateurs peuvent améliorer et mettre en contexte leur compréhension au moyen de divers outils. Voici quelques exemples :
En s'assurant de bien comprendre le contexte des cybermenaces, le profil de risque, les exigences réglementaires et la mise en œuvre du programme de l'organisation, les administrateurs peuvent soutenir les efforts de la haute direction en matière de cybersécurité. Le cadre Understand-Guide- Act décrit les cinq domaines où le soutien du conseil d'administration est le plus précieux.
Comme pour d'autres aspects de l'entreprise, il incombe au conseil d'administration d'exercer une surveillance responsable et d'assurer la gouvernance des activités de cybersécurité. Le cadre Understand-Guide-Act décrit cinq aspects à l'égard desquels le conseil d'administration peut prendre des mesures concrètes pour assurer une bonne cybergouvernance d'entreprise.
Les administrateurs seront de plus en plus appelés à comprendre et à assumer leurs responsabilités en matière de cybersécurité. Alors que les cyberincidents majeurs continuent d'être fortement médiatisés et que la législation évolue constamment partout dans le monde, les actionnaires et les organismes de réglementation s'en remettent au conseil d'administration pour que leur organisation bénéficie d'un niveau élevé de compréhension et de surveillance de la cybersécurité.
En se dotant des bons outils et en obtenant des conseils avisés, le conseil d'administration peut prendre des mesures concrètes pour mettre de l'avant les priorités de l'organisation et protéger l'entreprise.