Par Norman Marks, CPA, CRMA
J’aime dire aux praticiens du risque que lorsqu’ils rendent compte à la direction, ils doivent le faire :
Dites-leur ce qu’ils ont besoin de savoir, pas ce que vous voulez dire !
La différence est énorme !
De nombreuses personnes commettent cette erreur et submergent le conseil d’administration et la direction générale d’informations techniques, au lieu de leur fournir les informations commerciales dont les dirigeants ont besoin.
Ce que les dirigeants ont besoin de savoir varie, mais cela se résume généralement à une chose : ils ont besoin d’informations pour prendre les bonnes décisions stratégiques et tactiques et pour prendre les risques nécessaires à leur réussite. (Pour moi, la réussite est la réalisation des objectifs de l’entreprise. C’est ainsi que le conseil d’administration évalue généralement les performances du PDG et des autres cadres supérieurs).
Dans l’article ” Making Business Sense of Technology Risk“, je me réfère à une étude récente d’Osterman Research. Dans la section “Comment les conseils d’administration perçoivent-ils leurs rapports sur la cybersécurité”, ils concluent :
- 85 % des membres du conseil d’administration estiment que les responsables de l’informatique et de la sécurité doivent améliorer la manière dont ils rendent compte au conseil d’administration.
- 59 % affirment qu’un ou plusieurs responsables de la sécurité informatique perdront leur emploi parce qu’ils n’ont pas réussi à fournir des informations utiles et exploitables.
- 54% sont d’accord ou tout à fait d’accord pour dire que les rapports sont trop techniques.
- Seuls 33 % des responsables des technologies de l’information et de la sécurité estiment que le conseil d’administration comprend les informations qui lui sont fournies en matière de cybersécurité.
C’est impressionnant. Les membres du conseil d’administration affirment que les cyber-rapports qu’ils reçoivent ne les aident pas à gérer l’entreprise. Est-il surprenant que le conseil ne fournisse pas aux professionnels de l’InfoSec le soutien (temps et ressources) qu’ils recherchent ?
Les conseils d’administration et les dirigeants reçoivent généralement des rapports comprenant tout ou partie des éléments suivants :
- Une évaluation selon laquelle le risque cybernétique est élevé, moyen ou faible. L’évaluation peut prendre la forme d’une carte thermique et peut faire partie d’un rapport global sur les risques, généralement une liste de risques (classés à nouveau comme élevés, moyens ou faibles).
- une liste de “biens d’information” classés en fonction des risques (comme le suggèrent les principaux cadres cybernétiques)
- L’évaluation par la direction – par le responsable de la sécurité de l’information (RSSI), s’il y en a un, ou par le responsable de la gestion des risques – de la question de savoir si le risque cybernétique est conforme à l’appétence de l’organisation pour le risque.
- Évaluations de l’adéquation des capacités de défense, de détection et de réponse aux risques
- Informations sur les actions prévues pour remédier aux faiblesses identifiées
- Demandes de ressources supplémentaires
Mais ces informations aident-elles la direction générale et le conseil d’administration à prendre les décisions stratégiques et tactiques nécessaires à la réussite de l’entreprise ?
Un rapport récent de McKinsey & Co, intitulé Cyber Risk Measurement and the Holistic Cybersecurity Approach, a révélé que
- Les conseils d’administration et les comités sont submergés de rapports, y compris des dizaines d’indicateurs clés de performance et d’indicateurs clés de risque (KRI). Cependant, les rapports sont souvent mal structurés, avec des données incohérentes et trop de détails.
- La plupart des rapports n’indiquent pas les implications des niveaux de risque pour les processus opérationnels. Les membres du conseil d’administration trouvent ces rapports rébarbatifs, mal rédigés et surchargés d’acronymes et d’abréviations techniques. Ils ont donc du mal à se faire une idée de la situation globale de l’organisation en matière de risques.
- Lors d’un récent événement sur la cybersécurité, un cadre supérieur a déclaré : “J’aimerais avoir un traducteur de poche, comme celui qu’on utilise dans Star Trek, pour traduire en anglais compréhensible ce que me disent les DSI [chief information officers] et les RSSI [chief information security officers].”
Les RSSI doivent trouver un moyen de faire savoir à la direction si l’éventualité d’une cyber-attaque grave – qui empêchera ou du moins entravera considérablement la réalisation des objectifs de l’entreprise – est au moins raisonnablement probable. Dans l’idéal, ils renvoient à des objectifs spécifiques et aident les membres du conseil d’administration et de l’équipe de direction à savoir dans quelle mesure ils sont exposés à des risques et susceptibles d’échouer. Ils doivent collaborer avec l’ORC afin que les dirigeants puissent avoir une vue d’ensemble : tous les éléments susceptibles de se produire, y compris, mais sans s’y limiter, la cybercriminalité, qui pourraient empêcher la réussite de l’entreprise.
Lorsque j’étais cadre dans l’informatique, mon équipe était chargée d’élaborer des plans de reprise après sinistre et des plans de reprise d’activité. Nous avons effectué une analyse d’impact sur les activités (BIA) : En cas de panne, comment les services fournis par l’entreprise seraient-ils affectés ? Pendant combien de temps l’entreprise peut-elle survivre à une panne sans conséquences graves ? Quelle est la probabilité d’une perte de service grave ? Quelles sont les ressources qu’il est judicieux d’investir pour ramener l’impact et/ou la probabilité à des niveaux acceptables ?
Nous devons faire la même évaluation des incidences sur l’environnement pour le cyberespace.
Au lieu de cela, nous sommes influencés par les rapports publics sur les violations massives. Pourtant, selon le dernier rapport de l’Institut Ponemon sur le coût d’une violation de données, le coût moyen d’une violation de données n’est que de 3,9 millions de dollars. L’étude Rand’s Examining the Costs and Causes of Cyber Incidents (Examen des coûts et des causes des incidents cybernétiques) a révélé ce qui suit :
“Les cyberincidents ne coûtent en moyenne aux entreprises que 0,4 % de leur chiffre d’affaires annuel. À titre de comparaison, les taux globaux de corruption, d’inexactitudes financières et de fraude à la facturation représentent 5 % des recettes annuelles, suivis par la démarque inconnue (1,3 %), puis par la fraude en ligne (0,9 %).”
Chaque organisation doit réaliser une AIPD qui tienne compte de la nature de ses activités et de la manière dont une violation pourrait l’affecter. Fournir aux dirigeants les informations dont ils ont besoin pour prendre des décisions intelligentes et éclairées afin de déterminer si le niveau de risque est acceptable et, dans le cas contraire, quel montant investir dans une combinaison de défense, de détection et de réponse.
Les dirigeants doivent prendre des décisions et ont besoin d’informations :
- Quelle est la probabilité d’une violation ou d’une combinaison de violations qui affecterait l’entreprise si gravement que nous n’atteindrions pas nos objectifs (revenus, parts de marché, bénéfices, etc.) ?
- Quels sont les objectifs que nous ne parviendrions pas à atteindre ?
- Pouvons-nous ramener le risque à un niveau acceptable ? Dans l’affirmative, quelles sont les options possibles, quelle serait l’ampleur du risque atténué, pendant combien de temps le risque serait réduit et quel serait le coût de ces options ?
- Pouvons-nous nous le permettre ? D’où vient l’argent ?
- Est-il judicieux d’investir dans la cybernétique au détriment d’une nouvelle campagne de marketing, du développement d’un produit ou d’une nouvelle technologie ?
- Devrions-nous différer, voire annuler, les projets à forte intensité technologique qui augmenteront le risque cybernétique, tels que l’automatisation avancée ?
- Disposons-nous de l’équipe de direction adéquate pour faire face à la cybercriminalité ?
Les PDG doivent travailler avec le CRO, le CISO et les CIO pour s’assurer que des informations exploitables sont fournies au conseil d’administration et aux cadres.
Dites-leur ce qu’ils doivent savoir pour pouvoir assumer leurs responsabilités en matière de leadership et de gouvernance. Comprenez les décisions qu’ils doivent prendre, les informations dont ils ont besoin – et donnez-les leur.
Pour en savoir plus sur la façon de communiquer les risques cybernétiques aux dirigeants, veuillez visionner notre webinaire à la demande avec Norman Marks, disponible dès maintenant dans la bibliothèque de ressources Riskonnect.