Le défi de la cybersécurité pour les boards

vendredi, 18.05.2018

Marie de Freminville*

La stratégie numérique et la cybersécurité font maintenant partie intégrante du business. Le risque cyber n’est plus un risque technique, concernant uniquement les directeurs informatiques et les directeurs de sécurité informatique, mais un risque d’entreprise, qui concerne l’ensemble des parties prenantes: actionnaires, administrateurs, management, salariés, clients, fournisseurs, partenaires...

En raison d’un risque significatif de perte de valeur, les actionnaires, investisseurs institutionnels, hedge funds ou actionnaires activistes, chercheront à savoir quels dispositifs les entreprises ont mis en place.

Des agences de notation ont été développées aux Etats-Unis, et apparaissent en Europe. Elles ont pour objectif de mettre en évidence les faits et les évènements liés à la cybersécurité des actifs des organisations, et les comparer aux meilleures pratiques et standards en cybersécurité. Il s’agit d’un outil pour les actionnaires.

Ces notations sont un point de vigilance pour les conseils d’administration, qui doivent garantir aux parties prenantes que l’entreprise est gérée dans le souci de sa pérennité et de sa performance durable. Il serait préférable d’anticiper ces notations, avant qu’elles deviennent publiques.

La difficulté pour le conseil d’administration et les dirigeants provient notamment d’un manque de vocabulaire commun et compréhensible par tous sur les enjeux de cybersécurité, ainsi que des données objectives pour évaluer et gérer la performance cyber, se comparer et décider.

Par ailleurs, les cyberrisques sont complexes et difficiles à quantifier, notamment à cause du manque de données historiques sur les sinistres.

Il est donc nécessaire de définir une stratégie numérique, une gouvernance interne et une cartographie des risques. C’est la condition de la résilience de l’entreprise et demain de sa valorisation. Cette résilience relève de la responsabilité des administrateurs et dirigeants. Dans ce contexte, les préoccupations du directeur financier sont très larges. Les conséquences financières de la cybercriminalité pour les entreprises concernent les actifs financiers, la propriété intellectuelle, la marque et sa présence sur Internet, la réputation, la continuité d’exploitation, le vol et le traitement illégal de données personnelles, la divulgation d’informations confidentielles, la fraude, le paiement de rançons, l’intégrité des données, les coûts d’investigation en cas d’attaque et de litiges initiés par des clients, salariés, actionnaires ou partenaires et coûts de défense. Citons enfin le cas particulier des opérations de fusion - acquisition qui doivent faire l’objet de «due diligence» cyberspécifiques.

L’assurance de ces risques n’est pas toujours mise en œuvre. La valeur des données volées est compliquée à évaluer, et la police d’assurance n’empêchera pas les attaques mais interviendra pour traiter les conséquences, notamment financières, des cyber attaques. Il est donc recommandé de vérifier si le contrat couvre les événements cyber, le système d’information, et le coût de la perte d’exploitation, l’audit pour comprendre les faits, la reconstitution de ce qui a été détruit, le dommage à des tiers, le risque d’image.

* Associée Starboard Advisory






 
 

AGEFI



...