Une nouvelle étude de McAfee révèle que la cybercriminalité a causé des pertes de plus de 1 000 milliards de dollars à l’échelle mondiale en 2019, une augmentation de 50 % par rapport à 2018. Et depuis le début de la pandémie seulement, les incidents de cybercriminalité ont bondi de 300 %.
Pourtant, lorsqu’on pose la question à des conseils d’administration, seul un membre sur cinq considère la cybersécurité comme un enjeu majeur.
Pour sensibiliser votre conseil d’administration aux menaces à la cybersécurité et l’inciter à faire de la cybersécurité une priorité, lisez ce qui suit.
Si les cyberattaques se révèlent souvent extrêment coûteuses (voir l’encadré Personne n’est à l’abri !), elles comportent aussi des coûts cachés, comme « les occasions d’affaires perdues, le temps et l’argent consacrés à la prise de décision en matière de cybersécurité, les conséquences des périodes d’inactivité, la perte de productivité et l’atteinte à l’image de marque ». Tous ces coûts peuvent être évités si votre conseil d’administration place la cybersécurité au sommet de ses priorités. Mais encore faut-il qu’il sache en quoi consistent les principales menaces.
Les fraudeurs obtiennent des données confidentielles des employés en établissant un faux lien de confiance avec eux. Ils peuvent se faire passer pour un collègue qui a besoin d’information sensible ou pour un technicien qui leur demande d’installer un logiciel.
Les arnaqueurs parviennent à verrouiller l’appareil d’un employé ou d’en crypter les données. Ils exigent une
rançon en échange des données, à défaut de quoi, celles-ci seront détruites ou rendues publiques.
En 2019, les noms, adresses et données démographiques de 80 millions de ménages américains ont été révélés, de même que des milliers de mots de passe Facebook. Ces fuites de données confidentielles ne sont pas l’œuvre d’un habile pirate informatique. C’est souvent le résultat d’une erreur humaine, comme celle d’un administrateur de base de données qui, par mégarde, laisse vos informations dans un serveur en nuage sans protection, ou des agissements d’un employé malveillant. Souvenez-vous qu’en juin 2019, un employé de Desjardins avait volé les données personnelles de 2,9 millions de membres.
Alors que les outils de collaboration infonuagiques gagnent en popularité, il est impératif de gérer les risques informatiques qui y sont associés. Une simple erreur de configuration peut mener à des brèches de sécurité importantes. Gartner prédit que, d’ici 2025, 99 % des failles de sécurité infonuagiques seront la faute des utilisateurs d’outils en nuage.
Il s’agit d’une cyberattaque provenant simultanément de multiples ordinateurs. Les arnaqueurs profitent des limites d’un réseau pour submerger de requêtes le système informatique d’une organisation. Résultat : le système, y compris le site Web, devient inopérant, et plus personne n’y a accès. Vous offrez des services ou vendez des produits en ligne ? Vous êtes une cible potentielle.
Le conseil d’administration doit aussi être conscient des perturbations importantes que peut causer une cyberattaque sur les plans opérationnel, financier et commercial. Quel serait l’impact d’un arrêt prolongé ou d’un ralentissement des opérations ? Quel serait le coût associé au vol de votre propriété intellectuelle ou à l’atteinte à votre réputation ? Combien devriez-vous investir pour relancer vos activités ou regagner la confiance d’une clientèle dont les données ont été divulguées ? Comment réglerez-vous les litiges qui ne manqueront pas de survenir ?
La meilleure façon de faire face à une crise, c’est de s’y préparer. La saine gestion des risques informatiques incombe au conseil d’administration, et sa première responsabilité est de veiller à ce que l’entreprise possède une stratégie de cybersécurité qui minimise les vulnérabilités et un plan d’intervention robuste en cas de cyberattaque. Il doit aussi s’assurer que ce plan respecte toutes les règles canadiennes relatives aux atteintes à la vie privée et peut être déployé de manière rapide et efficace.
Saviez-vous que votre entreprise est tenue de signaler et de documenter tout incident lié à la cybersécurité ? Pour en savoir plus sur le projet de loi no 64, lisez cet article.
D’autre part, le conseil d’administration doit voir à ce que des personnes clés soient responsables de la mise en œuvre du plan et de sa diffusion dans toute l’organisation.
Car la plus grande menace à la cybersécurité n’est pas nécessairement la prouesse des arnaqueurs. Dans les menaces mentionnées plus haut, c’est souvent le facteur humain qui est à l’origine des problèmes : naïveté des utilisateurs de systèmes, sous-estimation des risques informatiques, manque d’experts en TI, méconnaissance des outils en nuage, absence de politique gouvernant l’utilisation des technologies, négligence quant aux mises à niveau, etc.
Il importe donc de sensibiliser vos troupes à la cybersécurité et de tester vos procédures auprès des employés. Une formation des employés aux meilleures pratiques en matière de cybersécurité s’impose puisque ceux-ci sont votre première ligne de défense.
Le Centre canadien pour la cybersécurité a produit un guide des Contrôles de cybersécurité de base pour les petites et moyennes organisations. Consultez-le ; il s’agit d’un bon point de départ.
Chez PIXCELL, nous croyons fermement que le comité de risque de chaque conseil d’administration devrait compter au moins une personne qui comprend les enjeux en cybersécurité afin de bien guider l’entreprise. Car dans le contexte actuel où une cyberattaque est plus probable que jamais, les membres du conseil doivent y être préparés et placer la cybersécurité au rang des priorités organisationnelles.
Obtenez un avantage concurrentiel en vous entourant de l’élite en matière de sécurité TI. Votre conseiller stratégique PIXCELL à Montréal peut vous aider à recruter un membre du conseil d’administration possédant de bonnes connaissances en cybersécurité, un responsable de la sécurité de l’information (CISO) ou tout autre cadre en cybersécurité.
CFR Global Executive Search est une alliance de sociétés indépendantes de recherche de cadres qui combinent leurs efforts pour créer l’un des réseaux de recrutement les plus dynamiques au monde, aidant ainsi ses membres à servir leurs clients à l’échelle internationale.
Les secteurs manufacturier et de l’ingénierie sont confrontés à des obstacles sans précédent pour trouver les meilleurs éléments, ce qui entraîne des défis de taille dans le recrutement de dirigeants.
À l’heure actuelle, 91 % des entreprises mettent en œuvre une initiative numérique quelconque. Selon une étude de Gartner, 87 % des hauts dirigeants affirment que la numérisation fait partie de leurs priorités absolues. Le leadership en transformation numérique est essentiel pour mener à bien ces efforts.