Une nouvelle décision de la Securities and Exchange Commission (SEC) des États-Unis, connue sous le nom de Gestion des risques de cybersécurité, stratégie, gouvernance et divulgation des incidents, est entrée en vigueur l’automne dernier. La décision oblige les entreprises publiques à divulguer si leurs conseils d’administration comptent des membres possédant une expertise en cybersécurité. Plus précisément, les personnes inscrites sont tenues de divulguer si l’ensemble du conseil d’administration, un membre spécifique du conseil d’administration ou un comité du conseil d’administration est responsable de la surveillance des cyber-risques ; les processus par lesquels le conseil est informé des risques cyber et la fréquence de ses discussions sur ce sujet ; et si et comment le conseil d’administration ou le comité du conseil d’administration concerné prend en compte les cyber-risques dans le cadre de sa stratégie commerciale, de sa gestion des risques et de sa surveillance financière.
« En termes simples, les conseils d’administration sont responsables des rapports de gestion, de gouvernance et d’information », explique Keri Pearlson, directeur exécutif de la cybersécurité au MIT Sloan Research Consortium (CAMS). « Bien qu’il reste encore beaucoup d’interprétation à faire, nous en sommes sûrs. »
La probabilité croissante d’événements de piratage informatique et le coût exponentiel pour les entreprises sont également bien compris. Malgré les récents efforts déployés par les entreprises et les gouvernements du monde entier pour renforcer la cybersécurité, les violations de données continuent d’augmenter d’année en année. Les données montrent un Augmentation de 20 % des violations de données de 2022 à 2023. Compte tenu de la prolifération rapide du travail numérique et de la numérisation en général, cela ne devrait pas surprendre. Comme l’a noté la SEC dans un fiche descriptive accompagnant les récentes décisions, « les risques de cybersécurité ont augmenté parallèlement à la numérisation des opérations des déclarants, à la croissance du travail à distance, à la capacité des criminels à monétiser les incidents de cybersécurité, à l’utilisation de paiements numériques et au recours croissant à des fournisseurs de services tiers pour services de technologie de l’information, y compris la technologie du cloud computing.
Cyber-résilience : réagir et se rétablir
Les recherches en cours de Pearlson portent sur les questions d’organisation, de stratégie, de gestion et de leadership en matière de cybersécurité. Elle se concentre actuellement sur le rôle du conseil d’administration en matière de cybersécurité. En janvier 2023 Examen de la gestion des prêts du MIT article, « Un plan d’action pour la cyber-résilience » Pearlson et ses co-auteurs suggèrent que les membres du conseil d’administration doivent supposer que les cyberattaques sont probables et exercer leur rôle de surveillance pour s’assurer que les dirigeants et les gestionnaires ont fait les préparatifs appropriés pour réagir et se rétablir.
« Après tout, si nous supposons que chaque organisation court un risque probable d’être victime d’une violation ou d’une attaque, et qu’il n’est pas possible d’être protégée à 100 % contre chaque attaque, l’approche la plus rationnelle est de s’assurer que l’organisation peut se rétablir avec peu ou pas de dommages. opérations, aux résultats financiers et à la réputation de l’organisation », déclare Pearlson. Pour atténuer correctement les cyber-risques, les dirigeants d’entreprise doivent mettre en place des plans solides pour réagir et se rétablir rapidement afin que l’entreprise puisse continuer à fonctionner. Ils doivent être cyber-résilients.
Pearlson compare la cyber-résilience aux pratiques de résilience Covid. «Nous avons fait des choses comme rester à la maison, porter des masques et nous faire vacciner à la fois pour réduire les risques de contracter Covid, mais aussi pour réduire les conséquences de tomber malade.»
En d’autres termes, l’approche actuelle axée sur la protection que la plupart des entreprises adoptent en matière de cybersécurité n’est pas suffisante. La protection nous aide uniquement à atténuer les problèmes dont nous avons connaissance. Mais les cybercriminels sont innovants et nous ne savons pas ce que nous ignorons. Ils semblent trouver continuellement de nouvelles façons de pénétrer dans nos systèmes. Pearlson parle de la nécessité d’être résilient et de la manière dont ce genre de réflexion vient d’en haut. « Même si les conseils d’administration reçoivent depuis longtemps des rapports sur la cybersécurité, ceux-ci sont généralement publiés une fois par an et ne se concentrent pas sur les données dont les conseils d’administration ont besoin pour garantir la résilience de leurs entreprises », explique Pearlson.
Dans leur mai 2023 revue de Harvard business article, « Les conseils d’administration ont de mauvaises conversations sur la cybersécurité», Pearlson et sa co-auteure Lucia Milică commentent l’inadéquation des présentations typiques sur la cybersécurité lors des réunions du conseil d’administration, qui couvrent généralement les menaces et les actions ou technologies que l’entreprise met en œuvre pour s’en protéger. « Pour nous, ce n’est pas la bonne perspective en matière de surveillance par le conseil d’administration. Nous savons que nous ne pouvons pas être complètement protégés, quel que soit le montant que nous investissons dans les technologies ou les programmes visant à stopper les cyberattaques. S’il est essentiel de consacrer des ressources à la protection de nos actifs, limiter les discussions à la protection nous prépare au désastre.
La conversation doit plutôt se concentrer sur la résilience. Par exemple, au lieu d’entrer dans les détails lors d’une réunion du conseil d’administration sur la manière dont une organisation est configurée pour répondre à un incident, les membres doivent se concentrer sur ce que pourrait être le risque le plus important et sur la manière dont l’organisation est prête à se remettre rapidement des dommages si cette situation se produisait. arriver.
Évaluer les risques à l’aide d’une approche Balanced Scorecard
À cette fin, Pearlson a développé le Tableau de bord équilibré au niveau du conseil d’administration pour la cyber-résilience (BSCR), conçu pour aider les conseils d’administration et la direction à avoir des discussions plus productives et à comprendre les plus grands risques de l’organisation en matière de cyber-résilience. Inspiré du Balanced Scorecard de Kaplan et Norton, un outil bien connu pour mesurer la performance organisationnelle, le BSCR de Pearlson cartographie ces principaux domaines de risque en quatre quadrants : performance, technologie, activités organisationnelles (telles que les personnes et les exigences de conformité) et chaîne d’approvisionnement. Chaque quadrant comprend trois composants :
- Un indicateur de progrès quantitatif (feu rouge-jaune-vert) basé sur le cadre existant de l’organisation pour les contrôles de cybersécurité tels que les objectifs de performance de cybersécurité (CPG) CISA, NIST SP 800-53, ISO 27001, les contrôles CIS ou d’autres évaluations de contrôles ;
- Le plus grand facteur de risque pour la résilience organisationnelle selon les dirigeants de niveau C ; et
- Un plan d’action qualitatif, dans lequel les dirigeants de niveau C partagent leur plan pour faire face à ce risque.
Le tableau de bord permet d’orienter les rapports et les conversations du conseil d’administration sur les domaines prioritaires autour desquels l’organisation devrait se préoccuper en cas de cyberattaque, en particulier la technologie, l’aspect financier de l’entreprise, l’aspect organisationnel et la chaîne d’approvisionnement. Même si certaines entreprises peuvent exiger d’autres quadrants, l’idée est que chacun de ces domaines d’intervention doit comporter des mesures quantitatives. En examinant ces indicateurs ensemble dans un cadre unique, les dirigeants peuvent tirer des conclusions qui autrement pourraient passer inaperçues.
« Avoir des contrôles n’a rien de nouveau, en particulier pour les sociétés cotées en bourse qui disposent d’un programme pour mesurer et gérer leurs investissements en cybersécurité », explique Pearlson. « Il existe cependant un risque qualitatif qui, souvent, n’apparaît pas dans ces mesures. Alors qu’un contrôle classique permet de mesurer le nombre de personnes qui ont échoué à l’exercice de phishing, ce qui constitue un élément important de la cybersécurité, le tableau de bord encourage également les entreprises à comprendre ce qui est à risque et ce qui est fait pour y remédier. Vous pouvez en savoir plus sur la carte de score dans ce récent revue de Harvard business article.
Fournir aux conseils d’administration les informations dont ils ont besoin
La grande majorité des dirigeants comprennent qu’ils courent le risque d’une attaque – ils ne savent tout simplement pas comment en parler ni quoi faire. Bien qu’il soit plus facile pour les cyber-responsables de rendre compte des indicateurs technologiques ou organisationnels, ces informations n’aident pas le conseil d’administration dans sa tâche consistant à assurer la cyber-résilience. « Ce sont des informations erronées, du moins au début, pour les conversations avec le conseil d’administration », explique Pearlson.
Tout au long des recherches de Pearlson, les responsables de la cybersécurité, les administrateurs et d’autres experts en la matière ont exprimé leur intérêt pour les informations clés sur les actifs du système, les capacités proactives et la rapidité avec laquelle ils pourraient récupérer. Certains souhaitaient mieux comprendre quels types de données leur entreprise conservait, où elles étaient conservées, la probabilité d’une compromission et l’impact que cette compromission aurait sur les opérations commerciales. Plus de la moitié des participants souhaitaient connaître la valeur financière impliquée par les violations ou les cyberattaques contre leur organisation.
Le BSCR de Pearlson permet de placer ces risques dans le contexte de domaines ou de processus spécifiques qui sont au cœur de l’entreprise et d’aborder les nuances, telles que : s’agit-il d’un risque immédiat ou d’un risque à long terme ? Un compromis dans ce domaine aurait-il un impact minime ou un impact énorme ?
« Un tableau de bord équilibré pour la cyber-résilience est le point de départ des discussions sur la manière dont l’entreprise poursuivra ses activités lorsqu’un événement se produit », explique Pearlson. « Il ne suffit pas aujourd’hui d’investir uniquement dans la protection. Nous devons nous concentrer sur la résilience des entreprises face aux cybervulnérabilités et menaces. Pour ce faire, nous avons besoin d’une évaluation équilibrée et qualitative de la part des dirigeants opérationnels qui savent.
Pearlson enseigne dans deux cours MIT Sloan Executive Education qui aident les individus et leurs organisations à être plus résilients. Conçu pour les non-professionnels du cyber, Leadership en matière de cybersécurité pour les cadres non techniques aide les participants à acquérir des connaissances sur la discussion. Gouvernance de la cybersécurité pour le conseil d’administration aide les membres du conseil d’administration, les dirigeants de la haute direction et d’autres cadres supérieurs à rassembler rapidement des termes et des perspectives essentiels pour la stratégie de cybersécurité et la gestion des risques afin de mieux s’acquitter de leurs responsabilités de surveillance et de leadership.
