Les cyberintrusions continuent de faire les manchettes, et leurs répercussions se font de plus en plus sentir dans tous les secteurs d’activité. Alors que les organisations gèrent ces risques en constante évolution, les dirigeants, les administrateurs et les comités du conseil d’administration subissent une pression grandissante de la part des actionnaires et font l’objet d’une surveillance accrue par les organismes de réglementation pour la mise en place de cyberstratégies efficaces.

Même si les membres du conseil d’administration ont l’occasion de défendre les intérêts de leur organisation en priorisant une cyberdéfense solide et structurée, ils ne savent pas toujours par où commencer. Comprendre le profil de risque de leur organisation, connaître leur rôle quant au soutien et à la responsabilisation de la direction et savoir quelles sont leurs responsabilités : tout cela représente une tâche colossale. Afin d’aider les administrateurs à améliorer leur efficacité à cet égard, KPMG a conçu un cadre simple découlant d’une vaste étude menée à l’échelle mondiale : le cadre Understand-Guide-Act (comprendre, guider, agir).

Le cadre Understand-Guide-Act est le premier outil destiné à fournir des indications concrètes aux administrateurs et aux conseils pour les aider à comprendre et à assumer leurs responsabilités en matière de cybersécurité. Les principes énoncés dans ce cadre sont adaptables et fonctionnent indépendamment du secteur d’activité, et ils permettent une prise de décision éclairée et fondée sur la connaissance des risques, tout en s’appuyant sur les piliers de la bonne gouvernance que le conseil d’administration connaît bien.

Avant tout, il faut bien comprendre les risques.

Il n'existe pas deux cyberstratégies identiques. Même s'il est possible d'observer des similitudes au sein d'un secteur, chaque organisation suit une approche définie en fonction de ses priorités, de sa propension à prendre des risques et de l'ensemble de risques auxquels elle est exposée. Il est de la responsabilité du conseil d'administration d'étudier attentivement les facteurs internes, externes et réglementaires ayant une incidence sur leur organisation afin d'approfondir leur compréhension du profil de risque global. En consultant les leaders en technologie, en cybersécurité et en gestion de risques de leur organisation, les administrateurs peuvent améliorer et mettre en contexte leur compréhension au moyen de divers outils. Voici quelques exemples :

• Rapports sur les risques. En produisant régulièrement et en temps opportun des rapports concrets et adaptés au contexte, les leaders en sécurité peuvent offrir aux administrateurs un aperçu clair de leur profil de risque et des aspects à cibler. La production de rapports efficaces sur les risques apporte une perspective sur la façon dont le programme de sécurité de l'organisation se protège contre les principaux risques, tout en permettant d'élaborer en continu une stratégie de sécurité pertinente. Plutôt que de présenter uniquement des mesures de performance, les rapports sur les risques établissent un lien entre les initiatives et les capacités en matière de sécurité et les risques d'entreprise qui s'y rattachent, mettant ainsi en évidence les motifs qui justifient les investissements dans la sécurité.
• Identification des données critiques. Afin d'investir de manière responsable dans des mesures de sécurité efficaces, il est important que les organisations identifient les renseignements et les systèmes qui sont cruciaux pour leurs activités. Le fait de répertorier et de prioriser ces biens représente une étape essentielle pour la conception et la mise en œuvre d'une stratégie de sécurité appropriée. L'identification des données critiques permettra aux administrateurs d'avoir des discussions d'affaires éclairantes au sujet des priorités et des domaines de risque avec les leaders en cybersécurité, en gestion de risques et en technologie.
• Préparation en cas d'incident. Les administrateurs subissent de plus en plus de pression pour que leur organisation ait un plan d'intervention solide et global en cas de cyberincident, et pour que ce plan soit mis en pratique. Bien que la conception et la mise en œuvre puissent revenir à la haute direction, il incombe au conseil d'administration de superviser le plan d'intervention en cas d'incident et de comprendre le rôle que joue la haute direction dans sa mise en œuvre.
• Conformité à la réglementation. Comme dans le cas de nombreux aspects de l'entreprise, le conseil d'administration a la responsabilité de comprendre les exigences réglementaires des différents territoires qui s'appliquent à leur organisation en matière de cybersécurité et de confidentialité. Puisque ces exigences changent et évoluent, les administrateurs peuvent avoir intérêt à se tourner vers la haute direction, le conseiller juridique interne ou des conseillers externes pour offrir leur point de vue sur la façon de respecter les exigences et démontrer leur conformité.

• Visibilité de l'audit. En discutant régulièrement des questions de cybersécurité avec les équipes d'audit internes et externes, les administrateurs sont plus à même de comprendre la façon dont fonctionnent les contrôles et les capacités de sécurité de l'organisation. Le conseil d'administration ou les comités d'audit devraient comprendre la portée élargie et l'échéancier du plan de cybersécurité de l'audit, en plus de recevoir régulièrement des mises à jour sur l'importance relative des questions en suspens.

En s'assurant de bien comprendre le contexte des cybermenaces, le profil de risque, les exigences réglementaires et la mise en œuvre du programme de l'organisation, les administrateurs peuvent soutenir les efforts de la haute direction en matière de cybersécurité. Le cadre Understand-Guide- Act décrit les cinq domaines où le soutien du conseil d'administration est le plus précieux.

• Gestion des risques. Le conseil d'administration et son comité de gestion des risques sont en mesure de fournir des directives à la haute direction pour leur permettre d'élaborer un programme de gestion des cyberrisques qui cadre avec la gestion des risques d'entreprise (« GRE ») et qui est conçu pour protéger les actifs les plus importants de l'organisation.
• Élaboration de la stratégie. Le conseil d'administration est en mesure de fournir des directives à la haute direction pour permettre la création et l'exécution d'une stratégie de cybersécurité qui correspond à la stratégie élargie de l'entreprise. En travaillant avec les équipes de direction, les administrateurs peuvent soutenir l'élaboration d'une cyberstratégie durable qui soit soutenue par une quantité suffisante de fonds et de ressources.
• Propension à prendre des risques. Afin de permettre une distribution adéquate des ressources aux aspects prioritaires, le conseil d'administration peut aider les équipes de direction à élaborer des prises de position clairement établies quant à la propension à prendre des risques. Ces prises de position, qui cadrent avec la GRE, peuvent aider à guider la priorisation des efforts en matière de sécurité.
• Mise en correspondance de la reddition de. Afin d'établir clairement les rôles et les responsabilités, le conseil d'administration doit donner des directives à la haute direction pour qu'elle identifie les différents niveaux de reddition de comptes en matière de cybersécurité au sein de l'organisation, en plus de mettre sur pied un forum ou un comité pour la surveillance des activités de cybersécurité par le conseil d'administration.
• Création de partenariats. Le conseil d'administration devrait donner des directives à la haute direction afin d'établir des relations stratégiques avec des partenaires provenant du gouvernement, des organismes de réglementation, des organismes d'application de la loi et du secteur privé dans le but d'établir une collaboration proactive en ce qui a trait aux questions de sécurité.

Comme pour d'autres aspects de l'entreprise, il incombe au conseil d'administration d'exercer une surveillance responsable et d'assurer la gouvernance des activités de cybersécurité. Le cadre Understand-Guide-Act décrit cinq aspects à l'égard desquels le conseil d'administration peut prendre des mesures concrètes pour assurer une bonne cybergouvernance d'entreprise.

• Culture d'entreprise orientée vers la sécurité. Le conseil d'administration doit promouvoir une culture de sensibilisation à la cybersécurité dans toute l'organisation en faisant en sorte que les considérations relatives à la sécurité soient intégrées aux activités quotidiennes à l'échelle de l'entreprise.
• Surveillance et rétroaction. Le conseil d'administration et ses comités ont l'occasion de démontrer qu'ils ont fait preuve de diligence raisonnable en analysant et en surveillant les mises à jour en matière de gestion des cyberrisques que leur fournit la haute direction.
• Répartition du temps. Afin de promouvoir un déploiement efficace d'une stratégie et d'un programme robustes en matière de cybersécurité, le conseil d'administration doit s'assurer que les questions de cybersécurité soient adéquatement prises en compte lors des réunions des comités et du conseil d'administration. De plus, il est avantageux de créer des occasions pour que les administrateurs interagissent avec les leaders en matière de sécurité à l'extérieur de ces réunions officielles.
• Renforcement du pouvoir de la haute direction. Alors que les leaders en cybersécurité et en gestion des risques élaborent une stratégie pour protéger l'entreprise, le conseil d'administration doit s'assurer qu'ils soient bien outillés pour le faire.
• Développement d'une expertise. En prenant des mesures concrètes, y compris en corrigeant les lacunes sur le plan de la composition du conseil d'administration, de l'expertise individuelle des administrateurs, de l'accès aux conseillers stratégiques et de la cyberformation à l'interne, le conseil d'administration et ses administrateurs ont l'occasion d'être mieux sensibilisés à la cybersécurité, tant de façon générale que pour l'organisation en particulier.

Les administrateurs seront de plus en plus appelés à comprendre et à assumer leurs responsabilités en matière de cybersécurité. Alors que les cyberincidents majeurs continuent d'être fortement médiatisés et que la législation évolue constamment partout dans le monde, les actionnaires et les organismes de réglementation s'en remettent au conseil d'administration pour que leur organisation bénéficie d'un niveau élevé de compréhension et de surveillance de la cybersécurité.

En se dotant des bons outils et en obtenant des conseils avisés, le conseil d'administration peut prendre des mesures concrètes pour mettre de l'avant les priorités de l'organisation et protéger l'entreprise.