BLOG

Présentation de la sécurité et des risques aux membres du conseil d’administration

RÉSUMÉ EXÉCUTIF

Le temps et l’attention de votre conseil d’administration sont limités. Mais la sécurité de votre entreprise, sa réputation et sa santé financière peuvent toutes dépendre de la façon dont les membres de votre conseil d’administration comprennent les risques commerciaux auxquels vous êtes confronté et de la manière dont vous prévoyez de les atténuer. Soyez bref et faites en sorte que cela compte. Cet article examine les budgets informatiques et de sécurité et explique comment les équilibrer en fonction d'un profil de sécurité à risque.

Miniature F5
F5
Publié le 20 janvier 2017

5 MIN. LIRE

C'est le moment. Vous devez rendre compte de l’état de la sécurité de l’entreprise à votre conseil d’administration. La présentation est essentielle : la sécurité de votre entreprise, sa réputation et sa santé financière dépendent de vous. Les membres de votre conseil d’administration doivent comprendre les risques commerciaux auxquels vous êtes confronté et comment vous prévoyez de les atténuer. Mais leur temps – et leur attention – sont limités. Soyez bref et faites en sorte que cela compte.

Suivez ces six étapes pour atteindre vos objectifs.

1. Les cybermenaces sont réelles : tenez-vous-en aux faits

Ils ont entendu les chiffres. Jusqu'à 575 milliards de dollars est perdue chaque année à cause de la cybercriminalité. Les violations de données peuvent coûter plus de 400 millions de dollars. Des informations comme celles-ci tombent dans l’oreille d’un sourd. Les membres du conseil d’administration sont engourdis. Mais ils doivent comprendre les risques généraux liés aux activités commerciales en ligne (qui sont endémiques) par rapport aux menaces auxquelles votre secteur et votre entreprise en particulier sont confrontés. Si le plus grand risque de votre organisation est lié à un manque de contrôles ou à des processus inadéquats, ils doivent le savoir. Plus important encore, ils doivent savoir ce que vous faites à ce sujet. N'allez pas au conseil avec des problèmes pour lesquels vous n'avez pas trouvé de solutions.

Si vous n’obtenez pas le soutien dont vous avez besoin, pensez à votre propre réputation et à votre carrière.

Racontez une histoire convaincante sur une faille de sécurité, de préférence dans votre secteur d’activité. Donnez des exemples de votre propre entreprise. Identifiez les actifs d’information critiques (propriété intellectuelle, données clients sensibles) et dressez un tableau de ce qui se passerait et de ce que cela coûterait si ils étaient compromis.

2. Fournir des mesures convaincantes

Si vous avez des lacunes dans le contrôle de sécurité que vous avez du mal à combler, fournissez-leur des preuves prouvant que vous êtes continuellement attaqué et que vos réseaux sont constamment sondés. Faites comprendre que tôt ou tard, les méchants réussiront. Éduquez-les. Surprenez-les.

  • 73 % des entreprises ont subi au moins une faille de sécurité au cours de l'année écoulée
  • Environ un tiers des employés ciblés par le phishing ouvriront des e-mails frauduleux
  • Plus d’une personne sur dix mord à l’hameçon – et il suffit d’une seule personne
  • Il s'écoule moins de deux minutes entre le moment où le pirate appuie sur « Envoyer » et la compromission de vos systèmes
  • Les pirates informatiques restent en moyenne au sein de votre organisation pendant au moins quatre mois avant d’être découverts.
  • Les applications Web sont le premier point d’entrée des violations

3. Obtenez leur soutien pour adopter une culture de sécurité

L’erreur humaine est responsable de 58 % des cyberattaques. Une entreprise sécurisée est une entreprise dans laquelle chacun est informé des menaces et fait sa part pour réduire les risques. Cela commence par une formation rigoureuse et répétée, et peut-être même par un engagement envers une norme comme ISO 27001 .

4. Convainquez-les qu’ils ont besoin d’aide en cas d’incident

Encouragez le conseil d’administration à faire face à la réalité : toutes les organisations sont aujourd’hui confrontées à la possibilité bien réelle d’être victimes d’une violation de leurs données. L’ampleur des dommages que vous subirez dépend de la rapidité et de l’efficacité avec laquelle vous réagirez, alors pourquoi ne pas vous préparer ? La plupart des entreprises ne disposent pas des compétences nécessaires pour répondre efficacement aux incidents (IR). Vous avez besoin d’un soutien technique, médico-légal, juridique et de relations publiques pour surmonter le traumatisme. Votre meilleur choix : un tiers doté d’une expertise spécialisée. Un bon cabinet de relations investisseurs vous soutiendra.

5. Discuter de l'assurance cybernétique

L’assurance cybernétique fait partie intégrante de votre stratégie de sécurité. Pourtant, seulement 19 % des entreprises disposent d’une cyberassurance . Et la plupart d’entre eux sont largement sous-assurés, avec seulement 12 % du coût total d’une violation typique couvert. L’assurance cybernétique est l’assurance qui connaît la croissance la plus rapide au monde, avec une augmentation prévue de 300 % des primes annuelles, qui s’élèvent aujourd’hui à 2,5 milliards de dollars, d’ici 2020. Faites le calcul pour votre planche. Calculez combien votre entreprise peut absorber en cas de violation sans catastrophe financière. Choisissez un niveau de risque avec lequel vous êtes à l’aise et assurez le reste.

6. Demandez-leur de soutenir les efforts pour lesquels vous n’avez pas obtenu l’approbation du budget

Vous avez fait vos devoirs et déjà obtenu des fonds pour certains de vos efforts. Si vous avez des risques qui nécessitent d’être traités et pour lesquels vous n’avez pas le budget nécessaire, les membres du conseil d’administration doivent le savoir et accepter le risque ou défendre une solution. Il n’y a pas de meilleure façon d’accomplir quelque chose que de dire que « le conseil » a demandé que cela soit fait.

EN CONCLUSION

Au fur et à mesure que vous effectuez cet exercice, soyez un peu égoïste. Si vous ne recevez pas le soutien dont vous avez besoin pour vous défendre contre les menaces existentielles, pensez à votre propre réputation et à votre carrière. Si votre conseil d’administration ne le comprend pas, il est peut-être temps pour vous d’envisager vos options.

C’est aussi important que ça.

73%

Soixante-treize pour cent des entreprises ont subi au moins une faille de sécurité au cours de l’année écoulée.

Ryan Kearny a été nommé vice-président exécutif du développement de produits et directeur de la technologie chez F5 Networks en octobre 2016. Il est chargé de superviser la feuille de route technologique de l'entreprise et de diriger l'équipe d'ingénierie de F5. Kearny a rejoint l'entreprise en 1998 et a été nommé vice-président du développement de produits en mai 2004 et vice-président principal du développement de produits en janvier 2012. Il est titulaire d'un baccalauréat en génie électrique de l'Université de Washington.