La cybersécurité commence au sommet - avec une solide gouvernance

Les administrateurs et les dirigeants jouent de nombreux rôles, mais la détection et l’atténuation des cyberrisques est sans doute l’un des plus importants. Selon l'enquête 2024 Global Digital Trust Insights de PwC (réalisée en mai‑juin 2023), l'atténuation des cyberrisques arrive désormais en deuxième position sur la liste des risques prioritaires pour les dirigeants d'entreprises et de sociétés technologiques, alors que l'ampleur et le coût des cyber­attaques augmentent. La proportion d'entreprises ayant subi une violation de données de plus d'un million de dollars US a considérablement augmenté d'une année à l'autre - passant de 27 % dans le rapport de l'année précédente à 36 %¹.

 Parallèlement aux risques cybernétiques croissants, les entreprises sont confrontées à un environnement réglementaire en constante évolution qui soumet les administrateurs et les dirigeants à une surveillance accrue. Le projet de loi C‑26, qui comprend la Loi sur la protection des cybersystèmes essentiels (LPCE), propose de nouvelles exigences en matière de cybersécurité destinées à protéger les services et les systèmes jugés vitaux pour la sécurité du Canada ou la sécurité publique, notamment dans les domaines bancaire, des télécommunications, de l'énergie et des transports. Les administrateurs et les dirigeants peuvent être tenus personnellement responsables s'ils ont « ordonné ou autorisé une telle violation, ou s’ils y ont consenti ou y ont participé ». Toute violation peut donner lieu à une lourde sanction pécuniaire - jusqu'à 1 million de dollars dans le cas d'une personne physique et jusqu'à 15 millions de dollars pour des opérateurs désignés. La violation de dispositions spécifiques de la LPCE peut également entraîner une peine d’emprisonnement^2,3.

Bien que les règlements proposés concernent d'abord les industries vitales du Canada, les administrateurs et les dirigeants de toute entreprise qui ne mettent pas en œuvre des mesures de cybersécurité adéquates ou qui ne réagissent pas de manière appropriée en cas de violation pourraient faire l'objet de plaintes.

Voir : Pourquoi les administrateurs et les dirigeants peuvent-ils faire l'objet de poursuites en cas de cybercriminalité?

Avec l'augmentation des risques en matière de responsabilité et les dommages que les cyberattaques peuvent infliger à une entreprise, la gouvernance de la cybersécurité est plus essentielle que jamais. Décrite comme « l'épine dorsale de la défense d'une organisation contre les cybermenaces », la gouvernance de la cybersécurité fait référence aux politiques, processus et pratiques que les organisations mettent en œuvre pour gérer et protéger leurs systèmes d'information et leurs actifs numériques. Les administrateurs et les dirigeants doivent prendre l'initiative en établissant un cadre structuré pour faire face aux risques, aux exigences en matière de conformité et à l'évolution des menaces⁴.

Comme pour d'autres questions de gouvernance, le point de départ se situe dans la salle du conseil d'administration. Dans un article de la Harvard Business Review, des experts observent que les discussions sur la cybersécurité lors des réunions du conseil d'administration portent généralement sur les menaces et les actions ou technologies mises en œuvre par l'entreprise pour s'en protéger. La conversation devrait plutôt porter sur la résilience. Les membres du CA devraient se concentrer sur les risques les plus importants pour la résilience cybernétique (qu'ils soient financiers, technologiques, organisationnels ou liés à la chaîne d'approvisionnement) et sur la manière de réagir et de se rétablir rapidement si une telle situation devait se produire^5,6.

La composition du conseil d'administration lui-même pourrait devoir évoluer. Un manque d'expertise en cybernétique peut empêcher les administrateurs de mener des discussions sérieuses sur les risques, ce qui, en fin de compte, a une incidence sur la gouvernance et la responsabilité⁷.

On conseille aux organisations de former les membres de leur conseil d'administration à la cybersécurité et à la gestion des risques ou de chercher à recruter des administrateurs ayant une expérience pertinente dans ce domaine. Comme le conseille un consultant en gestion des risques : « Lors de l'évaluation des candidats, il convient de s'assurer qu'ils sont en mesure de parler des multiples facettes de ce dossier devant le conseil d'administration, car cela sera essentiel pour tenir l'ensemble de l'équipe de direction responsable de sa cyberstratégie... Les experts en cybersécurité du conseil d'administration doivent également veiller à ce que tous les documents et toutes les ressources liés à la cybersécurité soient régulièrement mis à jour afin que tous les membres puissent rester informés de la cyberstratégie de l'organisation⁸. »

Pour de nombreuses organisations, l'évolution de l'environnement de risque peut également nécessiter la création d’un nouveau rôle au sein de la direction, soit celui d’agent principal de la sécurité de l’information (APSI). Selon un article de la Harvard Law School, il est de plus en plus important d'avoir un APSI qui soit autonome et distinct du dirigeant principal de l'information (DPI). « L’APSI était traditionnellement considéré comme un poste en informatique, mais les implications considérables d'un incident de cybersécurité signifient que la cybersécurité doit être considérée comme un risque pour l'entreprise », indique l'article. La responsabilité de la supervision étant de plus en plus souvent confiée au conseil d'administration, « l’APSI moderne doit être en mesure de communiquer sur les cyberrisques dynamiques et en évolution rapide en des termes qui résonnent à la fois avec l'entreprise et avec le conseil d'administration ⁹. »

Tout comme les entreprises évaluent leurs mesures de cybersécurité pour voir où elles sont protégées et où il existe des lacunes, elles devraient évaluer leur couverture d'assurance. L'assurance responsabilité des dirigeants peut les protéger en cas d'incident cybernétique. De plus, une couverture adéquate peut aider à attirer et à retenir les administrateurs et les dirigeants, sachant qu'ils peuvent diriger et prendre des décisions en toute confiance sans craindre de subir des pertes financières personnelles.¹⁰

Avec une couverture complète et une gouvernance adéquate, les organisations peuvent garder une longueur d'avance sur le paysage cybernétique et réglementaire en constante évolution, garantissant ainsi la protection de leur entreprise et de leur personnel.

Sources

¹ PwC, « The C-suite playbook: Putting security at the epicenter of innovation »

² Gouvernement du Canada, « Projet de loi C-26 : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois »

³ Cox & Palmer, « Bill C-26: New Cyber Security Obligations for Canadian Businesses Vital to National Security and Public Safety », 12 septembre 2022

⁴ Safety Culture, « Understanding the Essence of Cybersecurity Governance to Organizations », 25 février 2024

⁵ Harvard Business Review, « Boards Are Having the Wrong Conversations About Cybersecurity », 2 mai 2023

⁶ MIT News, « Now corporate boards have responsibility for cybersecurity, too », 29 avril 2024

⁷ CSO, « How much cybersecurity expertise does a board need? », 23 octobre 2023

⁸ Directors & Boards, « Strengthening Cybersecurity Governance Amid New Regulations », 10 novembre 2023

⁹ Harvard Law School Forum on Corporate Governance, « Building Effective Cybersecurity Governance », 10 novembre 2022

¹⁰ HRO, « D&O Insurance: Its Role in Recruiting Independent Board Members »