Supervision et gestion des risques de cybersécurité pour les conseils d'administration/décideurs

· Cas d’usage

Les menaces de cybersécurité liées à l'IoT étant de plus en plus graves et fréquentes, les conseils d'administration de chaque organisation doivent s'impliquer davantage dans la surveillance et la gestion des risques. Les conseils d'administration qui ne prennent pas cette obligation au sérieux peuvent être tenus responsables de toute violation de données et subir des conséquences de plusieurs ordres.

Plus précisément, les administrateurs pourraient être évincés par des campagnes d’investisseurs activistes ou devenir la cible d’ actions dérivées des actionnaires . Examinons de plus près ce que l’on attend du conseil d’administration en matière de gestion et de surveillance des risques de cybersécurité :

Fonctions et obligations des membres du conseil d'administration

Même si les responsabilités et obligations exactes du conseil d’administration dépendent des lois de l’État dans lequel l’organisation opère, les principes de base restent les mêmes. L’une des obligations essentielles des administrateurs est de s’acquitter de leurs fonctions en toute bonne foi, avec soin et loyauté envers l’organisation. Éviter le gaspillage d’argent est un autre devoir important des administrateurs.

Les administrateurs bénéficient de la règle de l'appréciation commerciale devant les tribunaux, qui suppose qu'ils ont effectivement agi de bonne foi et pris soin de l'organisation, à moins que le plaignant ne prouve le contraire. Il s'agit d'un obstacle important pour les plaignants dans la plupart des cas, mais il est impératif que les administrateurs protègent leur responsabilité en s'assurant que toutes les éventualités en cas de violation de la cybersécurité sont couvertes.

Responsabilité des administrateurs

Les administrateurs ne sont pas censés gérer eux-mêmes les risques liés à la cybersécurité, mais doivent plutôt s'assurer que la direction le fait en supervisant leurs processus. Bien qu'ils soient protégés par la règle de l'appréciation commerciale en général, les administrateurs peuvent toujours être tenus personnellement responsables d'un manquement à la surveillance en cas d'échec complet et systémique dans la gestion des risques liés à la cybersécurité. La responsabilité personnelle signifie des litiges : les administrateurs peuvent être poursuivis par les actionnaires car ils manqueraient à leurs obligations fiduciaires envers l'organisation.

Supervision de la gestion de la cybersécurité

Les administrateurs ont plusieurs options à leur disposition pour se protéger contre d’éventuels litiges en supervisant correctement la gestion des risques liés à la cybersécurité. La première étape consiste à prendre un moment lors des réunions régulières du conseil d’administration pour discuter de la cybersécurité et encourager la direction à faire des présentations sur le sujet. De nombreux administrateurs choisissent de mettre en œuvre un plan de cybersécurité pour se prémunir contre les risques, et ils veillent à surveiller l’efficacité du programme, afin de l’ajuster et de le peaufiner.

Une autre bonne pratique consiste à nommer un responsable de la sécurité des systèmes d'information (RSSI). Il s'agit de la personne chargée d'aider le conseil d'administration à comprendre comment les risques de cybersécurité peuvent affecter l'organisation dans son ensemble. Un RSSI peut également rendre compte régulièrement au conseil d'administration de l'état de la cybersécurité dans l'organisation et s'assurer que toutes les mesures nécessaires sont prises pour prévenir les violations. Tous ces efforts doivent être documentés dans les rapports de l'organisation.

Principaux points à retenir

La cybersécurité est rapidement devenue l'un des principaux piliers des organisations prospères, mais assurer la protection contre les cybercriminels reste une tâche semée d'embûches. Pour le conseil d'administration d'une organisation, il est essentiel d'exercer une surveillance sur la gestion des risques liés à la cybersécurité afin d'éviter toute responsabilité et tout litige pouvant avoir de graves conséquences.

Très peu d’experts en cybersécurité savent communiquer avec les conseils d’administration et les décideurs.
La présentation d’une analyse de rentabilisation implique non seulement des aspects économiques, mais également la nécessité d’une terminologie cohérente, de mesures et d’un contexte dans lequel prendre des décisions éclairées. L’entreprise est informée par notre compréhension de la technologie, mais doit être formulée dans un langage et des concepts commerciaux afin qu’elle puisse être facilement comparée aux choix non liés à la sécurité.

Pour pouvoir présenter une analyse de rentabilisation convaincante, nous avons besoin d’outils de communication intelligents permettant de collecter des données sur les risques et les coûts des incidents de sécurité de manière efficace. Ces outils sont là pour aider les parties prenantes à construire des modèles, à décider du budget et à faire des projections.

S'abonner
Billet précédentBillet suivant
Photo de profil
Annuler
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer