Qui dit risques business dit responsabilité du conseil d’administration. Didier Wellens, Senior Consultant, Approach, propose de nous inspirer des cyber savvy-boards américains. Explications.

« Dans ma pratique, je ne m’adresse pas uniquement aux CEO, mais aux boards, conseil d’administration, conseil de surveillance, et conseil de direction, selon la dernière version du code belge de gouvernance d’entreprise. Les risques cyber, de par la gravité de leurs conséquences potentielles, sont des risques business ; ils dépassent donc la seule responsabilité du CEO pour concerner le conseil d’administration. »

Le ton est donné. La cybersécurité pose de nouveaux défis à la gouvernance d’entreprise, estime Didier Wellens, Senior Consultant, Approach, qui accompagne aujourd’hui de nombreuses entreprises dans leur démarche de cybersécurité sous l’angle de la gouvernance. La démarche est complexe. D’abord, par la nature même de la cybersécurité. « Les outils traditionnels des boards sont adéquats ; en revanche, le sujet de la cybersécurité n’arrive pas sur la table du conseil d’administration !»

Arrêter de tout miser sur le tout-techno !

« Qu’on ne se méprenne pas, c’est bien une problématique d’entreprise et non une problématique technologique. Les administrateurs doivent comprendre et aborder les questions de la cybersécurité en tant que sujet de gestion des risques à l’échelle de l’entreprise… et pas uniquement en tant que sujet IT. »

C’est clairement la première difficulté, estime Didier Wellens. De fait, il est toujours aussi surprenant de constater combien d’entreprises associent encore la sécurité des informations ou la cybersécurité à l’IT. Certes, la plupart des signalements d’incidents de sécurité proviennent de l’informatique, mais on ne peut pas s’y limiter car les impacts se font sentir à l’échelle de toute l’organisation. Les compétences requises pour gérer les risques et traiter les problèmes doivent donc se situer au niveau global de l’organisation. Le conseil d’administration doit comprendre que tout miser sur la technologie est une grave erreur. C’est d’ailleurs la cause sous-jacente d’un grand nombre de violations majeures.

L’explication tient à la nature même des risques. Autrefois, de l’avis général, on pouvait s’abriter du danger en se retranchant derrière des murs. Dans le cyberespace, les murs prennent la forme de pare-feu, de clés de chiffrement et de sécurité périmétrique. « Mais aujourd’hui, nous savons que ces dispositifs ne suffisent plus ! Un conseil d’administration doit accepter le fait que les attaques puissent provenir du cyberespace, et pas seulement de la concurrence. Il convient donc de définir sa propension au risque et de prévoir comment identifier de possibles attaques, comment y répondre et comment remédier aux dégâts potentiels. »

Pour le conseil d’administration, le sujet tient en une série de questions concètes. Quel type de données avons-nous et dans quelle mesure doivent-elles être protégées ? Quelles sont les exigences légales et réglementaires applicables ? Quels sont les risques et quelle est la probabilité qu’ils se produisent ? Comment pouvons-nous prévenir ces risques et comment nous en protéger ? Comment identifier rapidement les cyber-attaques ayant eu lieu ? Comment, enfin, remédier aux dégâts de manière ciblée et intégrale ? Libre à lui de mandater ou non la direction pour qu’elle prenne les mesures appropriées.

A quand des Cyber Savvy Directors en Europe ?

L’approche du sujet reste délicate. Dans nos contrées en particulier. En effet, rares sont les entreprises dont le conseil d’administration comprend au moins un membre possédant une expertise en cybersécurité, alors que 35 % des plus grandes entreprises américaines ont franchi l’étape… « Pour accomplir sa mission, le conseil peut inviter à la réflexion des personnes qui ne sont pas administrateurs de la société. Cela évite de nommer des experts au C.A. Nommer un expert par type de risque n’est tout simplement pas gérable… »

Les Américains parlent de Cyber Savvy Directors, considérant par là l’étendue du phénomène digital.  En partie, la gestion efficace de la cybersécurité commence au sommet, le conseil d’administration reconnaissant ce qu’il doit gérer et comment cela sera fait, y compris les ressources supplémentaires dont il peut avoir besoin. Bien que le conseil d’administration puisse avoir la responsabilité ultime de la guerre contre les cybermenaces, chacun, à tous les niveaux de l’organisation, doit comprendre son rôle sur les lignes de front de cette guerre en cours, car les menaces peuvent provenir de n’importe où. 

Dans son Top Security and Risk Trends for 2021, Gartner encourage la création de conseils cyber-savvy. En clair, un comité dédié qui se concentre sur la discussion des questions de cybersécurité. Ce comité est souvent dirigé par un membre du conseil d’administration ayant une expérience en matière de sécurité ou un consultant tiers. En fait, Gartner prédit que d’ici 2025, 40 % des C.A. auront un comité dédié à la cybersécurité supervisé par un membre qualifié du conseil d’administration, contre moins de 10 % aujourd’hui. Un tel comité peut motiver l’ensemble de la chaîne au sein d’une organisation à considérer la cybersécurité comme la responsabilité de chacun, fournissant une vision à suivre pour chacun.

La pression monte sur les conseils d’administration

Si les conseils d’administration disposent déjà d’un vrai pouvoir de surveillance, ils ne l’exercent pas en matière de cybersécurité, préférant déléguer le traitement de cette question an dehors de leur cercle, observe Didier Wellens. « Je ne pense pas que ce soit le rôle du C.A. de conseiller l’organisation sur les ‘couches supplémentaires de protection nécessaires’. C’est une question trop technique. En revanche, ils doivent être explicites sur leurs attentes face au risque digital… »

Mais comment accélérer ce mouvement ? Une option, identique à la nouvelle réglementation californienne qui impose une représentation féminine au sein des conseils d’administration, pourrait être une réglementation répondant au problème posé par la cybersécurité, en exigeant que les entreprises recrutent des spécialistes de ce domaine au sein de leurs conseils. Y arriverons-nous ?

La pression monte sur les conseils d’administration de grandes groupes mondiaux confrontés à l’augmentation de la menace cyber. Il y a cinq ans encore, le cyber-risque n’était pas toujours pensé comme une priorité de suivi par les administrateurs. Désormais, la grande majorité l’appréhende comme un enjeu clé, le risque cyber étant considéré comme l’un des plus élevés qui pèse sur l’activité et le modèle économique des organisations.

Aux Etats-Unis, deux recommandations ont vu le jour. Un : nommer un Cyber Savvy Directors ». Deux : instaurer un « technology and cybersecurity committee », pour préparer les travaux du conseil d’administration en la matière. « Aux Etats-Unis, une entreprise qui mettrait ces deux recommandations en usage pourrait s’en prévaloir et voir sa valeur appréciée par les analystes financiers…. C’est une logique très anglo-saxonne qui compte sur le marché pour réguler, constate Didier Wellens. Les Américains régulent par le marché, les Européens régulent par des directives ! »

Dans l’esprit de la Directive NIS2

La terminologie utilisée pour nommer cette approche est le « cyber risk oversight ». Finalement, elle relève de bonnes habitudes des conseils d’administration soucieux de la cybersécurité. « Je crois à la vertu de l’exemple qui vient d’en haut. ‘Tone at the top’, comme disent les Anglo-saxons ! »

De toute évidence, la cybersécurité n’est plus une problématique informatique, mais bien un impératif stratégique. Elle doit s’adapter en permanence à l’innovation de l’entreprise, aux nouvelles attaques, aux besoins des employés et aux exigences des clients. Pour bien faire, elle doit être indépendante du département informatique ; le conseil d’administration doit directement et régulièrement s’impliquer dans les stratégies et décisions concernant la cyber-sécurité.

La Directive NIS2 indique clairement l’évolution dans son article 17. D’abord, en précisant l’importance du suivi des mesures de gestion des risques pour la par les organes de gestion ; ensuite par évaluation régulière des formations spécifiques afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les risques de cybersécurité.

Plus loin que le simple Powerpoint !

Il ne faut pas perdre de vue que la première contrainte des boards est celle du temps, rappelle Didier Wellens. En moyenne, un conseil d’administration se réunit cinq demi-journées par an. Il faut donc les approcher de manière synthétique et peu chronophage… En même temps, pour que l’équipe cyber d’une entreprise puisse être efficace, le conseil d’administration doit être clair sur son appétit du risque et le niveau de risque maximum que l’entreprise est prête à prendre en vue d’atteindre ses objectifs stratégiques. Des renseignements exhaustifs concernant les craintes (employé malveillant, espionnage gouvernemental, etc.) et la tolérance au risque (travail depuis la maison, portail web pour les clients, etc.) permettront aux responsables de la cyber-sécurité d’effectuer un travail efficace aligné avec les attentes de la direction.

Il est important de relever qu’habituellement les indicateurs utilisés par les équipes cyber pour estimer la résilience et la posture de cyber-sécurité de l’organisation ne sont pas directement transférables à une approche business. Afficher sur un PowerPoint la liste et le nombre d’attaques bloquées présente bien, mais n’apporte en pratique qu’une très petite valeur à la conversation.

Risques et erreur humaine !

« Ce qui marche le mieux, c’est d’introduire une sélection réduite d’indicateurs particulièrement compréhensibles et pertinents, et d’aider à les apprécier, estime Didier Wellens. L’exemple que j’utilise toujours est celui du ‘phishing click rate’. Une campagne de phishing en interne constitue une bonne base pour préparer les collaborateurs à un large éventail de menaces. »

De fait, 90 % des cyberattaques trouvent leur origine dans une erreur humaine. Logiciels malveillants, virus, chevaux de Troie… Tout commence par un clic sur un mauvais lien. Les simulations d’hameçonnage contribuent à réduire considérablement ce taux d’erreur en fournissant une base solide aux collaborateurs. « En les exposant à diverses formes de phishing, dans un environnement sûr et contrôlé, ils apprendront à reconnaître les dangers qui pourraient survenir dans le monde réel. »

Les missions du Cyber Savvy Director selon Gartner

Stratégie de cybersécurité. Une vision stratégique et un plan tactique et opérationnel pour progresser peuvent protéger de manière proactive les actifs de l’entreprise et s’adapter aux cybermenaces émergentes et à l’évolution des exigences réglementaires.

Examen de la politique. Les politiques et pratiques de l’entreprise en matière de cybersécurité, ainsi que les rôles et les responsabilités, doivent être évalués pour s’assurer qu’ils sont à jour et adéquats pour protéger l’organisation. Parallèlement à l’examen des politiques, le conseil d’administration devrait revoir le budget alloué à la cybersécurité et à la confidentialité pour s’assurer que ces initiatives sont correctement financées.

Mener par l’exemple. Les politiques de cybersécurité doivent être appliquées et soutenues par la direction de l’entreprise qui doit avoir la capacité de communiquer un plan à l’échelle de l’entreprise pour gérer le cyber-risque, engageant tous les employés.

Continuité de l’activité. Le conseil d’administration devrait superviser l’élaboration d’un plan complet de réponse aux incidents qui garantira la résilience et la continuité de l’entreprise même lors d’une cyberattaque. Le plan doit être largement compris et foré.

Surveillance et évaluation continues. Le conseil d’administration doit surveiller et réviser périodiquement les contrôles et les capacités de cybersécurité de l’organisation, en s’adaptant aux nouvelles vulnérabilités et menaces externes.

Sensibilisation à la cybersécurité. Le conseil d’administration doit s’assurer que l’entreprise met en œuvre un programme complet de formation à la cybersécurité pour favoriser une culture où tous les employés assument la responsabilité de la cybersécurité.