Bien présenter les risques et la sécurité à votre conseil d’administration

C’est le grand jour. Vous devez faire un bilan de la sécurité de votre entreprise devant le conseil d’administration. Votre présentation est critique : la sécurité de votre entreprise, sa réputation et sa santé financière dépendent de vous. Les membres du conseil doivent comprendre les risques encourus par l’entreprise, et comment vous envisagez d’y faire face. Cependant, leur temps et leur niveau d’attention sont limités. Soyez bref, faites-leur bien comprendre l’importance du sujet.

Suivez ces six étapes pour atteindre vos objectifs.

1. Les cybermenaces sont réelles, tenez-vous-en aux faits

Ils ont entendu les chiffres. Environ 575 milliards de dollars sont perdus chaque année au profit des cybercriminels. Les données compromises peuvent coûter plus de 400 millions de dollars. Pourtant, ce type de données reste souvent ignoré. Les membres du conseil demeurent souvent passifs. Ils doivent toutefois bien comprendre les risques généraux liés au commerce en ligne, qui sont endémiques, comparés aux menaces réelles qui pèsent sur votre secteur d’activité, et votre entreprise en particulier. Si le plus grand risque encouru par votre société est lié à un manque de contrôles ou à des processus inadéquats, ils doivent être au courant. Plus important encore, ils doivent savoir ce que vous faites à ce sujet. Ne vous présentez pas devant le conseil d’administration avec des problèmes pour lesquels vous n’avez pas trouvé de solutions.

Si vous n’obtenez pas le soutien dont vous avez besoin pour défendre votre entreprise contre les menaces existantes, pensez à votre propre réputation et plan de carrière.

Racontez une histoire intéressante concernant une violation de la sécurité, de préférence au sein de votre secteur. Citez des exemples propres à votre entreprise. Identifiez les éléments d’informations critiques (propriété intellectuelle, données sensibles des clients), puis décrivez les conséquences et les coûts s’ils venaient à être compromis.

2. Fournissez des statistiques convaincantes

Si votre sécurité présente des failles que vous ne parvenez pas à résoudre, faute d’avoir les ressources nécessaires, montrez-leur que votre organisation fait continuellement l’objet d’attaques et que vos réseaux sont mis à l’épreuve en permanence. Expliquez bien que, tôt ou tard, les « méchants » vont réussir. Éduquez-les. Surprenez-les.

 

  • 73 % des entreprises ont subi au moins une violation de sécurité l’an passé.
  • Environ un tiers des employés visés par des techniques d’hameçonnage ouvriront des e-mails frauduleux.
  • Plus de 1 sur 10 mordra à l’hameçon. Il suffit d’une seule personne !
  • Il faudra moins de deux minutes aux hackers pour compromettre vos systèmes.
  • Il peut s’écouler plus de quatre mois avant de découvrir que des hackers se sont infiltrés au sein de votre organisation.
  • Les applications Web sont le point d’entrée n° 1 des violations.

 

3. Obtenez leur soutien pour mettre en place une culture de la sécurité

Les erreurs humaines représentent 58 % des failles de sécurité. Une entreprise n’est vraiment sécurisée que si tous ses employés sont informés des menaces et contribuent à réduire les risques. Tout commence par des activités de formation rigoureuses et répétées , et éventuellement par l’adoption d’une norme telle que l’ ISO 27001.

4. Persuadez-les qu’une aide est nécessaire pour intervenir en cas d’incident

Incitez le conseil à faire face à la réalité : aujourd’hui, toutes les entreprises sont réellement susceptibles de subir une violation de sécurité. L’importance des dommages dépendra de la rapidité et de l’efficacité de votre réponse, alors pourquoi ne pas être préparé ? La plupart des entreprises n’ont pas les compétences nécessaires pour répondre efficacement aux incidents (IR). Vous avez besoin d’une assistance technique, criminalistique, juridique et relationnelle pour surmonter le traumatisme. Votre meilleure chance : utiliser les services d’une société indépendante possédant des compétences spécialisées. Une bonne entreprise sachant répondre aux incidents.

5. Abordez les cyberassurances

Une cyberassurance doit faire partie intégrante de votre stratégie de sécurité. Pourtant, seulement 19 % des entreprises en ont souscrit une. La plupart sont d’ailleurs très nettement sous-assurées, couvertes à seulement 12 % du coût total d’une violation standard. La cyberassurance est le contrat d’assurance qui connaît la plus forte croissance dans le monde. Elle représente 2,5 milliards de dollars aujourd’hui en primes annuelles, un chiffre qui devrait augmenter de 300 % d’ici 2020 selon les estimations. Faites l’addition pour le conseil. Calculez combien votre entreprise serait capable d’absorber en cas de violation sans subir une catastrophe financière. Choisissez un niveau de risque que vous jugez acceptable, et assurez le reste.

73%

C’est le pourcentage d’entreprises ayant subi au moins une violation de sécurité l’an passé.

6. Incitez-les à soutenir les efforts dont le budget n’a pas encore été approuvé

Vous avez fait vos recherches et déjà obtenu des fonds pour certains de vos efforts. Si vous avez connaissance de zones à risque à corriger, mais que vous ne disposez pas du budget nécessaire, les membres du conseil doivent en être informés, et accepter les risques ou promouvoir une solution. Pour qu’une action soit réalisée, il n’y a pas de meilleur moyen que d’affirmer qu’il s’agit d’une « décision du conseil d’administration ».

En conclusion

Au cours de cet exercice, n’hésitez pas à vous montrer quelque peu égocentrique. Si vous n’obtenez pas le soutien dont vous avez besoin pour défendre votre entreprise contre les menaces critiques, pensez à votre propre réputation et plan de carrière. Si votre conseil d’administration ne mesure pas l’ampleur des risques, il est peut-être temps pour vous d’examiner vos options.

C’est à vous de jouer.