Vous siégez au conseil d’administration d’une entreprise et vous vous posez des questions sur la sécurité des données de celle-ci? Vous êtes plutôt du côté de la direction et vous devez rendre des comptes à votre conseil d’administration en regard de la cybersécurité de votre organisation?
Pour bien commencer l’année, nous avons rencontré Josée Morin, administratrice de sociétés spécialisée en gestion de risques, cybersécurité et gouvernance des TI, et grande habituée des conseils d’administration (CA). Nous avons discuté avec elle des enjeux de cybersécurité que les membres d’un CA doivent comprendre et suivre de près.
Pouvez-vous nous dire brièvement ce que vous faites dans la vie et quel est votre rôle par rapport aux conseils d’administration?
Je suis une entrepreneure en TI dans le milieu de la santé ou santé numérique et depuis trois années, je me consacre à siéger à des conseils d’administration. Je siège actuellement aux conseils de deux entreprises, d’un fonds d’investissement et d’un organisme en santé numérique. Je suis souvent recrutée sur les conseils pour mes compétences en TI, en transformation numérique d’entreprises et en sécurité.
Pourquoi la cybersécurité est-elle un enjeu qui doit intéresser un conseil d’administration?
Les impacts que peut avoir un incident de sécurité sur une entreprise sont très importants. De nombreuses petites entreprises qui ont été la cible d’une cyberattaque réussie ont dû fermer six mois plus tard. Le rôle du conseil étant entre autres d’épauler la croissance d’une entreprise, la cybersécurité doit absolument faire partie de sa liste d’éléments à surveiller. Quand on ajoute le nombre grandissant d’attaques de toutes sortes, on se trouve devant un risque majeur pour les conseils d’administration.
Trouvez-vous qu’au Québec, les conseils d’administration parlent suffisamment des questions de cybersécurité? Quel est le niveau moyen de connaissance à ce sujet?
Je crois que les grandes entreprises qui ont le moyen d’avoir des employés dédiés, un Responsable de la sécurité de l’information (CISO) par exemple, et de l’expertise externe parlent fréquemment de cybersécurité avec leur conseil d’administration. Elles prennent des moyens pour assurer une certaine protection. Ce sont les moyennes et les petites entreprises (PME) qui le font moins, souvent parce que l’expertise n’est pas à l’interne ou au CA. On croit souvent dans ces entreprises qu’on est trop petit pour intéresser un pirate ou qu’on n’a pas de données qui ont besoin d’être protégées. C’est aussi parce que les moyennes entreprises sont très occupées à exécuter leur plan stratégique et ont beaucoup d’autres priorités que la cybersécurité.
Cependant, des attaques comme la fraude du président ou l’attaque chez Fedex en Europe, qui s’est produite à partir des systèmes d’un fournisseur, démontrent que toutes les tailles d’entreprises sont visées! Toutes les organisations devraient avoir au moins une liste de ses données clés, savoir comment les protéger, avoir une surveillance de ses réseaux et un plan de réponse à une attaque même si très sommaire.
Selon l’étude « Managing Cyber Risk: Are Companies Safeguarding their Assets? » du magazine consacré à la sécurité de la gouvernance du NYSE, moins d’un quart des membres du conseil sont « assez confiants » dans la capacité de leur direction à réagir face à une menace de cybersécurité. De votre côté, avez-vous constaté ce manque de confiance également au Québec?
J’étais à une formation en gouvernance récemment et il y a eu peu de questions lors des différentes sessions, sauf pour celle qui traitait de cybersécurité, alors que les administrateurs dans la salle n’avaient pas d’antécédents en technologie. Alors je dirais qu’une grande portion des administrateurs de sociétés sont conscients de l’enjeu de la cybersécurité. C’est un sujet qui les tracasse; ce qui est bien. Je crois qu’il est vrai que peu d’entre eux ont confiance que l’entreprise pourrait se relever facilement d’une attaque et que souvent le sujet n’a pas encore été abordé au CA. Mais c’est en train de changer. Il y a moyen maintenant de trouver de l’expertise abordable pour avoir un début de démarche en cybersécurité et au moins un plan de réponse et de relève. Je crois dans les petits pas pour faire un long chemin…
Finalement, pour justement gagner de la confiance, quelles sont les questions qu’un conseil d’administration devrait poser pour s’assurer que son entreprise gère adéquatement la sécurité?
Les questions posées par le CA doivent tenir en compte la maturité en cybersécurité de l’entreprise pour tenter de faire évoluer celle-ci vers une sécurité renforcée. J’utilise souvent le Handbook 2017 sur la surveillance des cyberrisques de la NACD (National Association of Corporate Directors) et le Framework NIST pour ajuster ma démarche (Identifiy, protect, detect, respond, recover). Il faut commencer par se demander :
- Quelles sont les données à protéger
- Comment elles sont protégées
- Comment on est capable de détecter les attaques
- Comment on est prêt à y répondre
- Si on pourra se relever sans trop de dommages.
Vous vous sentez au dépourvu devant toutes ces informations que vous devriez connaître? Groupe CyberSwat est là pour vous accompagner, que vous soyez membre d’un conseil d’administration ou partie intégrante de la direction d’une entreprise. Contactez-nous pour en savoir plus sur nos services d’accompagnement personnalisés.