La sécurité numérique constitue un enjeu stratégique majeur pour les entreprises et les conseils d’administration, avec en toile de fond les enjeux de cycle de vie des données, de leur origination à leur destruction en intégrant les aspects de coût, qualification, fiabilisation, utilisation, traitement et stockage.
Étroitement liée à la stratégie des entreprises, la sécurité numérique entre dans le champ des missions de l’administrateur et devra s’inscrire, de plus en plus, à l’agenda des conseils d’administration.
Le club des présidents de comité d’audit de l’Institut français des administrateurs (IFA) s’est saisi de ce sujet pour publier un guide de bonnes pratiques à l’attention des conseils d’administration.
La sécurité numérique, un domaine en globale et rapide évolution.
La spécialisation et l’industrialisation des cyberattaques et l’organisation des pirates informatiques accroissent le niveau de dommage pour les entreprises ciblées. CyberSecurity Ventures estime le coût de la cybercriminalité à
8 000 Mrds$ pour la seule année 2023.
Face à ces risques croissants, les initiatives gouvernementales et règlementaires se multiplient. On compte en 2022 près de 600 conventions internationales, 90 directives européennes et 17 codes français en la matière.
Autant d’enjeux qui conduisent les entreprises à considérer la sécurité numérique comme une priorité stratégique, et à intégrer le risque cyber à la cartographie des risques de l’entreprise.
Face au risque cyber, assurer la « résilience » de l’entreprise
Le guide IFA dresse un état des lieux du contexte global et des risques liés aux dysfonctionnements de la sécurité numérique au sein de l’entreprise. L’ouvrage y présente le cadre réglementaire et législatif qui s’opère en matière de sécurité numérique, à l’échelle nationale, européenne et internationale.
Cette parution définit par ailleurs les enjeux liés à la sécurité numérique pour les conseils d’administration. Ces enjeux portent sur la structuration du conseil, l’organisation de ses travaux, la responsabilité individuelle et collective de ses membres ainsi que sur la formation des administrateurs.
Cet ouvrage dégage enfin plusieurs recommandations pour aider les conseils d’administration à épauler la direction face à une crise cyber, en séquençant les bonnes pratiques selon les différents temps de la cyberattaque.
Impliquer le conseil d’administration permet de mieux se prémunir du risque cyber
Pour les auteurs, afin de parvenir à une stratégie efficace, le conseil d’administration doit clairement exprimer et formaliser son implication sur les sujets de sécurité numérique dans un dialogue avec la direction générale. Il doit également s’assurer de l’implication et de la solidité de la direction dans la mise en place et le déploiement du plan cyber.
Parmi les bonnes pratiques identifiées par les auteurs, le guide insiste notamment sur :
- La revue par le conseil de la gouvernance de la donnée, composante essentielle du risque cyber et véritable enjeu stratégique de l’entreprise.
- La formation minimale des administrateurs pour que le risque cyber puisse être revu et suivi au bon niveau.
- Le pilotage efficient de la cybersécurité, intrinsèquement lié à la maîtrise de la gouvernance de la donnée, qui permet l’appréhension des risques de façon exhaustive. Pour les auteurs, il est nécessaire avant toute utilisation de l’intelligence artificielle.
Selon Sophie Stabile et Helman le Pas de Sécheval, co-présidents du club des présidents de comité d’audit à l’IFA : « Les conseils d’administration jouent un rôle central dans la perception des enjeux de sécurité numérique par les entreprises. Cette mission est souvent confiée au comité d’audit, qui appréhende la cartographie des risques de l’entreprise. Dans ce contexte, il nous semblait important que l’IFA se saisisse de ce sujet ».
Marie-Noëlle Brisson, Nathalie Kestener et Anne-Hélène Monsellato, rapporteurs du guide Sécurité numérique et gouvernance, poursuivent : « Les discussions du conseil d’administration sur la sécurité numérique ne se limitent pas à une approche technique. Il y a dans les échanges des administrateurs sur la sécurité l’enjeu d’ouvrir l’organisation à une véritable stratégie digitale et de la donnée ».