Les menaces de cybersécurité liées à l'IoT étant de plus en plus graves et fréquentes, les conseils d'administration de chaque organisation doivent s'impliquer davantage dans la surveillance et la gestion des risques. Les conseils d'administration qui ne prennent pas cette obligation au sérieux peuvent être tenus responsables de toute violation de données et subir des conséquences de plusieurs ordres.
Plus précisément, les administrateurs pourraient être évincés par des campagnes d’investisseurs activistes ou devenir la cible d’ actions dérivées des actionnaires . Examinons de plus près ce que l’on attend du conseil d’administration en matière de gestion et de surveillance des risques de cybersécurité :
Fonctions et obligations des membres du conseil d'administration
Même si les responsabilités et obligations exactes du conseil d’administration dépendent des lois de l’État dans lequel l’organisation opère, les principes de base restent les mêmes. L’une des obligations essentielles des administrateurs est de s’acquitter de leurs fonctions en toute bonne foi, avec soin et loyauté envers l’organisation. Éviter le gaspillage d’argent est un autre devoir important des administrateurs.
Les administrateurs bénéficient de la règle de l'appréciation commerciale devant les tribunaux, qui suppose qu'ils ont effectivement agi de bonne foi et pris soin de l'organisation, à moins que le plaignant ne prouve le contraire. Il s'agit d'un obstacle important pour les plaignants dans la plupart des cas, mais il est impératif que les administrateurs protègent leur responsabilité en s'assurant que toutes les éventualités en cas de violation de la cybersécurité sont couvertes.
Responsabilité des administrateurs
Les administrateurs ne sont pas censés gérer eux-mêmes les risques liés à la cybersécurité, mais doivent plutôt s'assurer que la direction le fait en supervisant leurs processus. Bien qu'ils soient protégés par la règle de l'appréciation commerciale en général, les administrateurs peuvent toujours être tenus personnellement responsables d'un manquement à la surveillance en cas d'échec complet et systémique dans la gestion des risques liés à la cybersécurité. La responsabilité personnelle signifie des litiges : les administrateurs peuvent être poursuivis par les actionnaires car ils manqueraient à leurs obligations fiduciaires envers l'organisation.
Supervision de la gestion de la cybersécurité
Les administrateurs ont plusieurs options à leur disposition pour se protéger contre d’éventuels litiges en supervisant correctement la gestion des risques liés à la cybersécurité. La première étape consiste à prendre un moment lors des réunions régulières du conseil d’administration pour discuter de la cybersécurité et encourager la direction à faire des présentations sur le sujet. De nombreux administrateurs choisissent de mettre en œuvre un plan de cybersécurité pour se prémunir contre les risques, et ils veillent à surveiller l’efficacité du programme, afin de l’ajuster et de le peaufiner.
Une autre bonne pratique consiste à nommer un responsable de la sécurité des systèmes d'information (RSSI). Il s'agit de la personne chargée d'aider le conseil d'administration à comprendre comment les risques de cybersécurité peuvent affecter l'organisation dans son ensemble. Un RSSI peut également rendre compte régulièrement au conseil d'administration de l'état de la cybersécurité dans l'organisation et s'assurer que toutes les mesures nécessaires sont prises pour prévenir les violations. Tous ces efforts doivent être documentés dans les rapports de l'organisation.
Principaux points à retenir
La cybersécurité est rapidement devenue l'un des principaux piliers des organisations prospères, mais assurer la protection contre les cybercriminels reste une tâche semée d'embûches. Pour le conseil d'administration d'une organisation, il est essentiel d'exercer une surveillance sur la gestion des risques liés à la cybersécurité afin d'éviter toute responsabilité et tout litige pouvant avoir de graves conséquences.
Très peu d’experts en cybersécurité savent communiquer avec les conseils d’administration et les décideurs.
La présentation d’une analyse de rentabilisation implique non seulement des aspects économiques, mais également la nécessité d’une terminologie cohérente, de mesures et d’un contexte dans lequel prendre des décisions éclairées. L’entreprise est informée par notre compréhension de la technologie, mais doit être formulée dans un langage et des concepts commerciaux afin qu’elle puisse être facilement comparée aux choix non liés à la sécurité.