La cybersécurité est un enjeu majeur. Par conséquent, la supervision du conseil d'administration est essentielle à une atténuation efficace. Cependant, selon une récente National Association of Corporate Directors (NACD) enquête, moins de 15 % des administrateurs se disent très satisfaits des informations sur la cybersécurité fournies par la direction. Voici quelques conseils pour améliorer les discussions du conseil sur la cybersécurité.

Ce dont votre conseil d'administration a besoin

Les conseils d'administration assurent une supervision stratégique tandis que la direction gère l'exécution, y compris la gestion des risques cyber. Quel que soit le secteur, la réglementation ou l'empreinte géographique, les conseils attendent généralement de la direction une traduction des détails techniques en termes commerciaux — mettant en évidence les risques, les opportunités et les implications stratégiques.

Voici les questions que les membres du conseil devraient poser aux CISO (et les questions auxquelles les CISO devraient pouvoir répondre clairement) :

1. Quel est notre appétit pour le risque cyber ?

2. Quels sont les indicateurs les plus importants que nous utilisons pour surveiller et évaluer le risque pour l'entreprise ?

3. Quelle est la justification commerciale de la cybersécurité ? Autrement dit, comment la cybersécurité peut-elle permettre d'autres fonctions commerciales dans l'ensemble de l'entreprise ?

4. Quels sont les niveaux de risque interne et externe ?

5. Comment évaluons-nous l'efficacité du programme de cybersécurité de notre organisation, et comment se compare-t-il à celui d'autres entreprises ? Par exemple, comment suivons-nous la sensibilisation à la cybersécurité dans l'ensemble de l'organisation au moyen d'indicateurs tels que le respect des politiques, la mise en œuvre et l'achèvement des programmes de formation ?

6. Comment évaluons-nous la position de risque cyber de nos fournisseurs, prestataires, partenaires de coentreprise et clients ?

7. Quelle part de notre budget informatique est consacrée aux activités liées à la cybersécurité ? Comment cette allocation se compare-t-elle à celle de nos concurrents ou à d'autres références externes ?

8. Combien d'incidents de données l'organisation a-t-elle subis au cours de la dernière période de référence ? En entrant dans les détails, quelles sont les tendances, les schémas et les causes profondes critiques ?

9. Quelle est l'étendue et la profondeur des activités opérationnelles de surveillance de la cybersécurité de l'entreprise ? Y a-t-il des domaines que nous ne surveillons pas, et si oui, pourquoi ?

Comment fournir des indicateurs au niveau du conseil

Une fois que vous avez identifié ce que votre conseil doit savoir sur la cybersécurité, il est temps de partager les informations essentielles et les données d'appui. Les membres du conseil recherchent une vue d'ensemble de l'état de la cybersécurité de l'organisation et de l'impact commercial des risques cyber. Au lieu de détails techniques excessifs ou d'indicateurs opérationnels, vous devez vous concentrer sur les points clés.

Voici les principes à garder à l'esprit lorsque vous préparez des rapports pour le conseil :

1. Assurez-vous que toutes les données que vous partagez sont pertinentes par rapport au contexte commercial de l'organisation et qu'elles peuvent être comprises par le public visé.

2. Soyez concis ! Évitez de fournir trop d'informations. Éliminez le jargon technique.

3. Les graphiques sont vos alliés. Réduisez le texte au minimum en incluant des graphiques et des visuels pour communiquer vos points clés.

4. Communiquez des informations sur la signification des données. Les indicateurs doivent inclure une analyse des évolutions, des tendances et des schémas au fil du temps, montrer la performance relative et indiquer l'impact.

5. N'oubliez jamais que les rapports destinés au conseil doivent permettre une discussion stratégique et un dialogue entre les administrateurs et la haute direction.

Les cybermenaces sont bien réelles, et les investisseurs, les dirigeants et les membres du conseil peuvent travailler ensemble pour les atténuer.