Le nombre total de comptes piratés a atteint de nouveaux records début 2019, lorsque la première collection a fait la une des journaux. Cette fuite massive a montré à quel point la cybersécurité est encore peu développée, surtout si l'on considère le fait que les organisations migrent de plus en plus vers le cloud et ne le sécurisent pas encore correctement.
Il en va de même pour l’IoT, qui n’est pas vraiment au centre des préoccupations d’un grand nombre d’entreprises. Seules 57 % des entreprises chiffrent effectivement les données qu’elles contiennent dans leurs appareils IoT.
Ce chiffre est bien maigre si l’on tient compte du fait que près de 80 % des organisations ont été victimes d’un incident de cybersécurité. La plupart de ces incidents étaient suffisamment graves pour être signalés au conseil d’administration. Cela ne peut que signifier que les conseils d’administration de la plupart des entreprises sont bien conscients des menaces de cybersécurité auxquelles ils sont confrontés.
Il est donc clair que les conseils d'administration doivent faire de la sécurité de l'IoT et de la cybersécurité en général une priorité. La cybersécurité n'est plus un problème informatique comme c'était le cas auparavant. C'est un problème majeur qui affecte la réputation de la marque de l'entreprise et ses résultats financiers. Alors, que font les conseils d'administration à ce sujet ?
Que fait le Conseil en matière de cybersécurité ?
La réponse est simple : pas grand-chose. Cependant, un nombre considérable d'entreprises comptent désormais au moins un membre du conseil d'administration qui est un expert en cybersécurité. Compte tenu de l'importance cruciale de la cybersécurité, il est tout à fait logique d'avoir un expert au sein du conseil d'administration.
Malgré cette tendance à la hausse, seuls 42 % des membres des conseils d’administration reconnaissent que les menaces de cybersécurité sont les plus importantes auxquelles leur entreprise est actuellement confrontée. Malheureusement, l’IoT ne représente à leurs yeux qu’une petite partie du problème global de cybersécurité. Néanmoins, la tendance générale est positive pour l’instant, et nous pouvons donc nous attendre à ce que les membres des conseils d’administration prennent ce problème plus au sérieux dans un avenir proche.
Comment pouvons-nous atténuer les risques auxquels est confrontée la gouvernance de l’IoT ?
Il est clair que tout cela demande encore beaucoup de travail. Tout d’abord, les entreprises doivent reconnaître la nécessité de créer des comités de cybersécurité distincts au niveau du conseil d’administration, qui traiteront de toutes les menaces de cybersécurité et mettront en œuvre des solutions qui garantiront la sécurité de l’IoT. À l’heure actuelle, seulement 10 % des organisations disposent de ce type de comité.
En raison du grand nombre de menaces de sécurité auxquelles sont confrontés les appareils IoT et le cyberespace, ainsi que de la diversité de leurs impacts, il ne suffit pas qu'un seul membre du conseil d'administration spécialisé dans la cybersécurité prenne des décisions. Tous les membres du conseil d'administration doivent être impliqués. Le conseil d'administration doit avoir une véritable gouvernance sur la sécurité de l'entreprise, et pas seulement un droit de regard sur la question, comme le font les membres réguliers des conseils d'administration.
Cela peut se faire en leur donnant un aperçu de la manière dont les données sensibles sont traitées. De cette façon, ils seront en mesure de conseiller sur la marche à suivre en matière de sécurité.
Les cybermenaces devenant de plus en plus complexes, il devient crucial de placer la gouvernance de la cybersécurité au plus haut niveau de l’entreprise. C’est la seule façon de garantir qu’elle puisse évaluer correctement les risques, recommander et créer des mesures de sécurité et appliquer les changements.
Enfin, il est fortement recommandé d’utiliser des questionnaires d’entreprise et des outils adaptés permettant une estimation rapide des risques de sécurité permettant de guider efficacement le Comité de Direction dans la prise de décision.