Conseil d’administration – comment bien comprendre les enjeux de cybersécurité

josée morin conseil d'administration enjeux de cybersécurité sécurité informatique
josée morin conseil d'administration enjeux de cybersécurité sécurité informatique

Vous siégez au conseil d’administration d’une entreprise et vous vous posez des questions sur la sécurité des données de celle-ci? Vous êtes plutôt du côté de la direction et vous devez rendre des comptes à votre conseil d’administration en regard de la cybersécurité de votre organisation?

Pour bien commencer l’année, nous avons rencontré Josée Morin, administratrice de sociétés spécialisée en gestion de risques, cybersécurité et gouvernance des TI, et grande habituée des conseils d’administration (CA). Nous avons discuté avec elle des enjeux de cybersécurité que les membres d’un CA doivent comprendre et suivre de près.

 

Pouvez-vous nous dire brièvement ce que vous faites dans la vie et quel est votre rôle par rapport aux conseils d’administration?

Je suis une entrepreneure en TI dans le milieu de la santé ou santé numérique et depuis trois années, je me consacre à siéger à des conseils d’administration. Je siège actuellement aux conseils de deux entreprises, d’un fonds d’investissement et d’un organisme en santé numérique.  Je suis souvent recrutée sur les conseils pour mes compétences en TI, en transformation numérique d’entreprises et en sécurité.

Josée Morin

Pourquoi la cybersécurité est-elle un enjeu qui doit intéresser un conseil d’administration?

Les impacts que peut avoir un incident de sécurité sur une entreprise sont très importants. De nombreuses petites entreprises qui ont été la cible d’une cyberattaque réussie ont dû fermer six mois plus tard. Le rôle du conseil étant entre autres d’épauler la croissance d’une entreprise, la cybersécurité doit absolument faire partie de sa liste d’éléments à surveiller. Quand on ajoute le nombre grandissant d’attaques de toutes sortes, on se trouve devant un risque majeur pour les conseils d’administration.

 

Trouvez-vous qu’au Québec, les conseils d’administration parlent suffisamment des questions de cybersécurité? Quel est le niveau moyen de connaissance à ce sujet?

Je crois que les grandes entreprises qui ont le moyen d’avoir des employés dédiés, un Responsable de la sécurité de l’information (CISO) par exemple, et de l’expertise externe parlent fréquemment de cybersécurité avec leur conseil d’administration. Elles prennent des moyens pour assurer une certaine protection. Ce sont les moyennes et les petites entreprises (PME) qui le font moins, souvent parce que l’expertise n’est pas à l’interne ou au CA. On croit souvent dans ces entreprises qu’on est trop petit pour intéresser un pirate ou qu’on n’a pas de données qui ont besoin d’être protégées. C’est aussi parce que les moyennes entreprises sont très occupées à exécuter leur plan stratégique et ont beaucoup d’autres priorités que la cybersécurité.

Cependant, des attaques comme la fraude du président ou l’attaque chez Fedex en Europe, qui s’est produite à partir des systèmes d’un fournisseur, démontrent que toutes les tailles d’entreprises sont visées! Toutes les organisations devraient avoir au moins une liste de ses données clés, savoir comment les protéger, avoir une surveillance de ses réseaux et un plan de réponse à une attaque même si très sommaire.

 

Selon l’étude « Managing Cyber Risk: Are Companies Safeguarding their Assets? » du magazine consacré à la sécurité de la gouvernance du NYSE, moins d’un quart des membres du conseil sont « assez confiants » dans la capacité de leur direction à réagir face à une menace de cybersécurité. De votre côté, avez-vous constaté ce manque de confiance également au Québec?

J’étais à une formation en gouvernance récemment et il y a eu peu de questions lors des différentes sessions, sauf pour celle qui traitait de cybersécurité, alors que les administrateurs dans la salle n’avaient pas d’antécédents en technologie. Alors je dirais qu’une grande portion des administrateurs de sociétés sont conscients de l’enjeu de la cybersécurité. C’est un sujet qui les tracasse; ce qui est bien. Je crois qu’il est vrai que peu d’entre eux ont confiance que l’entreprise pourrait se relever facilement d’une attaque et que souvent le sujet n’a pas encore été abordé au CA. Mais c’est en train de changer. Il y a moyen maintenant de trouver de l’expertise abordable pour avoir un début de démarche en cybersécurité et au moins un plan de réponse et de relève. Je crois dans les petits pas pour faire un long chemin…

 

Finalement, pour justement gagner de la confiance, quelles sont les questions qu’un conseil d’administration devrait poser pour s’assurer que son entreprise gère adéquatement la sécurité?

Les questions posées par le CA doivent tenir en compte la maturité en cybersécurité de l’entreprise pour tenter de faire évoluer celle-ci vers une sécurité renforcée. J’utilise souvent le Handbook 2017 sur la surveillance des cyberrisques de la NACD (National Association of Corporate Directors) et le Framework NIST pour ajuster ma démarche (Identifiy, protect, detect, respond, recover). Il faut commencer par se demander :

  • Quelles sont les données à protéger
  • Comment elles sont protégées
  • Comment on est capable de détecter les attaques
  • Comment on est prêt à y répondre
  • Si on pourra se relever sans trop de dommages.

 

Vous vous sentez au dépourvu devant toutes ces informations que vous devriez connaître? Groupe CyberSwat est là pour vous accompagner, que vous soyez membre d’un conseil d’administration ou partie intégrante de la direction d’une entreprise. Contactez-nous pour en savoir plus sur nos services d’accompagnement personnalisés.

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.