Allez au contenuAllez à la navigation

Les avantages d'un conseil d'administration efficace pour gérer les risques de cybersécurité et promouvoir la résilience informatique

Les avantages d'un conseil d'administration efficace pour gérer les risques de cybersécurité et promouvoir la résilience informatique

Dans son rapport sur les risques mondiaux de 2022, le Forum économique mondial identifie les failles de cybersécurité comme un risque qui s'est considérablement aggravé depuis quelques temps.

En effet, comme nous l’avons déjà présenté, en matière de cyberattaques, la question n'est pas de savoir si, mais quand cela arrivera.

Les dirigeants ont l'obligation fiduciaire d'agir dans le meilleur intérêt de leur organisation. Ils doivent se tenir au courant des tendances économiques et des menaces émergentes pour la continuité des activités. Ils sont chargés de gérer les risques. Alors que des sujets tels que le changement climatique et la cybersécurité n'étaient autrefois que des considérations secondaires, ce sont désormais des enjeux primordiaux et des points permanents à l'ordre du jour des conseils d'administration des sociétés bien dirigées.

À l'ère numérique, les données constituent souvent l'actif le plus important dans un bilan. Une stratégie intégrée et un plan de cyberprévention sont les clés de la résilience informatique, qui atténue les risques en limitant l'exposition financière et les atteintes à la réputation. Une supervision efficace par le conseil d'administration garantit que les stratégies numériques suivent l'évolution des menaces en matière de cybersécurité, tout en assurant la continuité des activités. Les conseils d'administration performants accordent la priorité à la résilience informatique et veillent à ce que les bons plans et processus soient en place avant qu'une cyberattaque ne frappe.

Les normes les plus modernes en matière de gouvernance de sociétés exigent que les dirigeants aient une longueur d'avance, en instillant une culture d'entreprise dans laquelle la résilience et la préparation à la cybersécurité sont les principaux critères de décision du conseil d'administration.

Plan d'intervention en cas de crise informatique

De nos jours, les conseils d'administration attendent des dirigeants d'entreprise qu'ils mettent en place un plan de réponse aux crises informatiques. Qui sera présent autour de la table lorsque la cellule de crise se réunira? Qui doit être prévenu? L'entreprise paiera-t-elle une rançon aux pirates informatiques? A quelle expertise extérieure fera-t-on appel? Les rôles doivent être clarifiés et des protocoles doivent être établis pour une mobilisation rapide et une activation du plan informatique par la direction.

La communication est essentielle. Le plan de communication numérique doit identifier qui parlera au nom de l'entreprise. Que diront-ils aux parties prenantes concernées? Des déclarations d'intention et des modèles de communication sont-ils en place? Comment le conseil d'administration sera-t-il tenu informé à la suite d'une cyberattaque? Avec les attentes croissantes des consommateurs en matière de communication ouverte, opportune et transparente, le silence n'est pas une option ; les rumeurs et les spéculations combleront tout vide de communication.

Tester son plan

Les conseils d'administration s'attendent à ce que le plan d'intervention en cas de crise soit testé, au moins une fois par an, au moyen de simulations et d'autres exercices sur table. Les meilleures pratiques prévoient également un examen trimestriel de ce plan. Un plan d'intervention en cas de crise qui reste sur l'étagère et qui n'est pas soumis à des tests n'a pas plus de valeur que le papier sur lequel il est écrit (ou la disquette sur laquelle il est sauvegardé !).

Limiter la responsabilité

Lorsqu'une organisation est victime d'une cyberattaque, des parties litigieuses seront à l'affût pour intenter des poursuites au nom de clients, d'actionnaires ou d'autres parties prenantes qui peuvent prétendre avoir été lésées. La meilleure défense contre une action pour faute de la part d'un dirigeant est une trace écrite démontrant que le conseil d'administration a pris toutes les précautions raisonnables pour se protéger contre une attaque potentielle et a fait des préparatifs adéquats pour réagir rapidement et de manière transparente à un incident.

L'improvisation n'a pas sa place lorsque les cybercriminels frappent. Un plan bien exécuté qui a été préalablement chorégraphié inspirera confiance, découragera les poursuites judiciaires et améliorera même la réputation de l'entreprise.

Pour discuter de la meilleure façon de remplir votre obligation fiduciaire et pour vous préparer adéquatement à une cyberattaque, nous vous invitons à communiquer avec nos experts en cybersécurité. Le Cabinet de relations publiques NATIONAL a accès à une équipe intégrée d'experts en gestion de crise, de conseillers juridiques, d'experts en TI et en sécurité pour assurer des communications efficaces avec les intervenants dans les deux langues officielles, en cas de cyberattaque.

Nous serions heureux d'avoir l'occasion de vous aider à concevoir et à mettre en œuvre un solide plan de réponse aux incidents à la fine pointe de la technologie. Après tout, mieux vaut prévenir que guérir !