04/10/2022

Décalage entre les conseils d’administration et

les RSSI sur la cybersécurité
Par Howard Solomon

Les responsables de la sécurité des systèmes d’information (RSSI)

informent de plus en plus les conseils d’administration des
stratégies de cybersécurité et du profil de risque de leur
organisation. Mais une nouvelle enquête auprès de dirigeants
suggère qu’il s’agit parfois d’un jeu du téléphone.

En moyenne, 65 % des membres du conseil d’administration de grandes

organisations dans 10 pays interrogés pensaient que leur organisation
risquait de subir une cyberattaque importante au cours des 12 prochains
mois. En comparaison, seulement 48 % des RSSI à qui une question
similaire a été posée plus tôt cette année pensaient que leur entreprise
risquait de subir une cyberattaque importante.

En moyenne, 69 % des membres du conseil d’administration pensaient

être d’accord avec leur RSSI. Cependant, seuls 51 % des RSSI pensaient
être d’accord avec leur conseil d’administration.

Les chiffres ont été dévoilés dans une enquête réalisée pour Proofpoint et
publiée mardi dernier.

Six cents membres du conseil d’administration d’organisations de plus de

5 000 employés dans 12 pays ont été interrogés. Les résultats ont été
comparés aux réponses à l’enquête fournies par les RSSI de 10 pays plus
tôt cette année.

Les conseils d’administration semblent être plus confiants quant à la

posture de cybersécurité de leur organisation que les RSSI, a déclaré
Lucia Milica, RSSI résidente mondiale de Proofpoint, dans une interview.

1|Page
C’est inquiétant, dit-elle, parce que les conseils d’administration ont une
responsabilité de surveillance. « La cybersécurité est un risque
d’affaires », a-t-elle souligné, « et quelque chose auquel ils doivent prêter
attention. »

Un problème, a-t-elle dit, « pourrait être la capacité du RSSI à traduire un

sujet complexe comme le cyber-risque en risque commercial ».

Parmi les autres chiffres inquiétants du rapport, 24 % des membres du

conseil d’administration interrogés ont déclaré qu’ils ne parlaient pas
régulièrement de cybersécurité. Ce nombre n’est « pas fantastique », a-t-
elle déclaré. En comparaison, 21 % des membres du conseil
d’administration ont déclaré qu’ils parlaient des problèmes de
cybersécurité une fois toutes les deux à trois semaines. Un autre 16 pour
cent ont dit qu’il est discuté chaque semaine.

Le décalage entre les conseils d’administration et les RSSI variait selon

les pays où 50 membres du conseil d’administration de chaque pays
(États-Unis, Canada, Royaume-Uni, France, Allemagne, Italie, Espagne,
Australie, Singapour, Japon, Brésil et Mexique) ont été interrogés.
Certaines des questions étaient les mêmes que celles posées dans le
rapport Voice of the CISO de Proofpoint publié en mai.

Par exemple, au Canada, 72 % des membres du conseil d’administration

ont convenu que leur organisation risquait de subir une cyberattaque
importante au cours des 12 prochains mois. En comparaison, seulement
62 % des RSSI canadiens pensaient que c’était probable.

Aux États-Unis, la divergence était plus nette : 76 % des membres du

conseil d’administration pensaient que leur organisation risquait de subir
une cyberattaque importante au cours des 12 prochains mois, contre 34 %
des RSSI.

Les RSSI canadiens étaient également beaucoup plus optimistes quant à

leur communication avec les membres du conseil d’administration; 85 %
des RSSI interrogés ont convenu qu’ils étaient d’accord avec leur conseil
d’administration. En comparaison, seulement 60 % des administrateurs
canadiens étaient d’accord avec cet énoncé.

2|Page
Seulement la moitié des RSSI américains pensaient être d’accord avec
leur conseil d’administration, tandis que 69 % des membres du conseil
étaient d’accord.

Il y avait également des différences dans les menaces que chaque groupe
considère comme le plus grand risque de cybersécurité pour leurs
organisations.

Ces différences d’opinion peuvent refléter les différentes perspectives que

chaque rôle apporte à l’organisation, indique le rapport. Les RSSI
considèrent principalement que leur rôle consiste à empêcher les attaques
de perturber l’entreprise et à permettre à l’entreprise de continuer à
fonctionner malgré les cyberattaques. Les membres du conseil
d’administration représentent les actionnaires et sont plus soucieux de
protéger la valeur de leurs investissements, qui peuvent décliner lorsque
l’organisation subit une atteinte à la réputation ou une perte de revenus.
Cela pourrait expliquer pourquoi, à l’échelle mondiale, 41 % des membres
du conseil d’administration déclarent que la fraude par courriel (également
appelée compromission des courriels professionnels) est leur plus grande
préoccupation, contre 30 % des RSSI.

Le rapport a été rédigé par le groupe Cybersecurity at MIT Sloan de la

Sloan School of Management du Massachusetts Institute of Technology.
Il conclut que les résultats de l’enquête montrent qu’il existe « une grande
opportunité de discussion » entre les conseils d’administration et les RSSI.

« Plus le conseil d’administration fait de la cybersécurité une priorité »,

ajoutent les auteurs, « plus les autres dirigeants feront de même. »

Le rapport y va de quelques recommandations aux conseils

d’administration :

• Inscrire la cybersécurité à l’ordre du jour de chaque réunion du

conseil d’administration
• Avoir un tableau de bord personnalisé pour le conseil
d’administration des mesures de cybersécurité pertinentes.
• Participer à des exercices pratiques de cybersécurité en entreprise.
• Rencontrer régulièrement les leaders de la cybersécurité pour tisser
des relations plus solides.

3|Page