Transformer le conseil d’administration à l’ère du numérique

lundi, 02.09.2019

Marie de Fréminville*

Marie de Fréminville

Les sociétés suisses ne sont pas à l’abri de sanctions si elles ne sont pas conformes au RGPD.

L’ère numérique a introduit des bouleversements dans l’entreprise et au sein de son écosystème. Nous sommes arrivés à un stade de non-retour, qui offre d’importantes opportunités, mais qui est également une source de fragilité et de risques majeurs, notamment parce que les acteurs de la menace cyber se professionnalisent et disposent de moyens importants pour frauder, espionner, saboter. Le risque cyber fait partie intégrante de l’entreprise Il ne s’agit pas seulement d’un risque technique! Les personnes sont le maillon faible (et le maillon fort!) de toute la chaîne de sécurité. 

Les risques pour l’entreprise sont systémiques: les actionnaires sont exposés financièrement et les administrateurs sont exposés juridiquement, s’ils ne s’informent pas sur la qualité de la sécurité des données et de la protection du système d’information et s’ils ne s’assurent pas de la mise en place d’une organisation, de procédures et d’outils pour une sécurité de bon niveau: sécurité physique et sécurité informatique. 

La négligence d’un conseil d’administration, en charge de définir la stratégie et de veiller à la pérennité de l’entreprise, lui serait reprochée, si aucune action n’était engagée dans le domaine de la cyber sécurité de l’entreprise.

Les administrateurs ne sont pas des experts informatiques et n’ont pas vocation à le devenir! Au-delà de la stratégie numérique et de la transformation du business modèle, il faut néanmoins comprendre les menaces, les conséquences potentielles, les rôles et responsabilités, les méthodes pour protéger l’entreprise, et veiller à la conformité aux nouvelles réglementations: British Airways vient d’être sanctionné par 183 millions de livres de l’organisme britannique charge? de la protection des donne?es personnelles ICO, apre?s un vol de donne?es financières de centaines de milliers de clients en 2018, et les sociétés suisses ne sont pas à l’abri de sanctions si elles ne sont pas conformes au RGPD.

Différentes méthodes d’analyse des risques existent: l’important est de s’approprier une méthode, l’adapter à l’entreprise, faire participer les différentes fonctions ou opérations de l’entreprise. Le but est d’en faire un outil d’échanges d’informations, d’identification des risques majeurs et de prise de décision pour remédier à ces risques et clarifier les responsabilités (qui est en charge de quoi et pour quand).

Une cyber sécurité efficace commence par une prise de conscience des risques de la part des membres du conseil d’administration et des hauts dirigeants qui doivent reconnaître que l’entreprise peut faire l’objet d’une attaque à tout moment. La cartographie des risques est donc le point de départ et pourra déboucher sur un transfert des risques à l’assurance. 

Il est nécessaire par conséquent de réinventer l’organe de gouvernance désigné par les actionnaires: le conseil d’administration doit se doter des compétences et comités adaptés à son secteur d’activité, sa stratégie et ses risques, vérifier que le cyber risque figure dans l’agenda du Directeur Général, s’informer (être diligent) et challenger, auditer régulièrement les dispositifs: organisation, processus, outils et équipes, avec l’aide de prestataires de confiance et de long terme, inclure dans le rapport annuel des informations sur l’analyse des risques cyber et les mesures prises pour maîtriser ces risques.

* Starboard Advisory






 
 

AGEFI




...