Académique Documents
Professionnel Documents
Culture Documents
d’administration
Résumé
Les conseils d’administration sont la première ligne de défense des organisations
contre la prolifération des menaces informatiques et menaces à la vie privée de
plus en plus complexes. Les stratégies que vous mettez en œuvre dès
maintenant peuvent décider du sort de votre entreprise dans les années à venir.
Introduction
Le progrès des risques émergents liés à la cybersécurité revient toujours parmi les
préoccupations prioritaires des dirigeants d’entreprise. Pourquoi? On prévoit que
le coût annuel du cybercrime à l’échelle mondiale devrait atteindre six mille
milliards de dollars américains avant la fin de 2021, et ce, avant même que la
pandémie de COVID-19 n’ouvre tout un horizon de nouvelles perspectives aux
pirates informatiques. Selon les plus récentes prévisions, les ordinateurs et les
réseaux des entreprises sont désormais la cible de cyberattaques toutes les
39 secondes.
1|Page
Etendue des dommages liés à la cybersécurité
Les intrusions n’affectent pas seulement la capacité d’une organisation à exercer
ses activités. Une attaque bien ciblée peut compromettre la propriété
intellectuelle, les renseignements des employés et des clients, et même les
installations physiques. Le cas échéant, les dommages financiers et juridiques
ainsi que l’atteinte à la réputation peuvent être difficiles à surmonter. Il est même
probable qu’ils éclipsent le coût et le temps requis pour rétablir les systèmes.
Comme le montre l’exemple que nous avons donné ci-dessus, les véhicules
modernes, qui comportent une vaste gamme d’ordinateurs, de points d’accès sans
fil, de technologies Bluetooth, d’outils de diagnostic, etc., sont plus susceptibles
que jamais aux cybermenaces. Il y a quelque temps, l’Administration postale des
2|Page
États-Unis a annoncé son intention de moderniser ses véhicules de livraison, ce
qui posera assurément un cyberrisque accru. Les avantages du service client et de
l’efficacité sont évidents, mais ils sont aussi proportionnels aux efforts de la haute
direction pour remédier aux faiblesses.
Même les dispositifs apparemment inoffensifs tels que les porte-clés, les
ascenseurs et les systèmes de chauffage, de ventilation et de climatisation (CVC)
sont de plus en plus vulnérables. Les fabricants de ces systèmes, connectés à
Internet et Bluetooth, priorisent généralement le bon fonctionnement et l’aspect
pratique, et considèrent la cybersécurité comme accessoire. Par conséquent, les
pirates informatiques disposent d’une multitude de points d’accès vulnérables, et
se servent souvent de ces systèmes pour s’introduire dans les réseaux, que ce soit
afin de voler des données ou de rançonner les entités. Un casino a appris cette
leçon à la dure, lorsque la compromission d’un simple thermomètre pour
aquarium connecté à Internet a fourni à des pirates informatiques un accès direct
à la base de données des grands parieurs2.
Même les systèmes de sécurité, qui par leur nature sont censés permettre la
détection précoce des menaces et assurer une tranquillité d’esprit incomparable,
peuvent s’avérer le talon d’Achille d’une entité sans supervision ni contrôles
adéquats. La preuve? Un groupe de pirates informatiques a récemment pu
accéder au flux en direct de 150 000 caméras de sécurité situées dans des
hôpitaux, des entreprises, des postes de police, des prisons, des écoles et des
organisations d’envergure. La longue chaîne d’approvisionnement et
d’exploitation de ces appareils et de bien d’autres rend difficile la localisation du
point faible, qui peut se trouver au sein de l’organisation ou d’un fournisseur de
services éloigné.
4|Page
2. La gestion du cyberrisque nécessite des connaissances
spécialisées : Invitez des experts en cybersécurité à vos réunions et
prévoyez des questions sur le cyberrisque et la vie privée à l’ordre du jour.
Créez un comité des technologies qui discutera des priorités, des
tendances, des préoccupations ainsi que des contrôles émergents.
3. La gestion du cyberrisque commence par des politiques : Établissez et
encouragez une culture de prévention des cyberincidents en mettant
l’accent sur la protection des renseignements personnels, de saines
pratiques technologiques et la sensibilisation aux risques dans l’ensemble
de l’organisation.
4. Les cyberrisques ont des répercussions juridiques : Demeurez au fait
des changements législatifs, des exigences en matière de conformité et de
réglementation, ainsi que des décisions que les tribunaux ont rendues sur
la vie privée, la cybersécurité, les directives relatives au signalement et les
répercussions pour les entreprises qui ont subi une cyberintrusion.
5. Les cyberrisques et les attaques sont en constante
évolution : Concentrez-vous sur les principes de base en cybersécurité et
visez l’excellence, tout en demeurant au fait des plus récentes techniques
utilisées par les pirates ainsi que des incidents et des risques, plus
particulièrement dans votre secteur.
6. Les cyberrisques ne sont pas tous égaux : Déterminez les cyberrisques
que vous souhaitez éviter, ceux qu’il vous faut atténuer ou que vous êtes
prêts à tolérer ou à transférer au moyen d’une assurance — ainsi que votre
stratégie pour chacun d’eux.
7. Une politique sur la collecte de données et la vie privée est
essentielle : Tenez-vous informé sur les données que vous recueillez et
surveillez de près les nouvelles réglementations ainsi que celles qui existent
déjà dans votre territoire. Demeurez au fait des connaissances et des
exigences des parties prenantes, et investissez dans la mise en œuvre de
politiques qui surpasseront sans cesse leurs attentes.
5|Page
Bonnes habitudes des conseils d’administration soucieux de la
cybersécurité
Les membres du conseil d’administration sont les mieux placés pour influencer et
remodeler la culture d’une organisation de haut en bas. Tout comme les
sept stratégies précédentes peuvent contribuer à définir les attitudes et les
objectifs du conseil en lui-même, les six étapes qui suivent peuvent jeter les bases
d’une culture durable et résistante en matière de cybersécurité.
6|Page
Un aperçu de l’avenir?
La pandémie de COVID-19 a donné lieu à une profusion d’escroqueries, de fraudes
et de demandes trompeuses provenant d’acteurs malveillants et opportunistes.
Selon le gouvernement du Canada, le volume cumulatif de courriels et de menaces
connexes pourrait constituer la plus vaste série d’attaques jamais menée
exploitant une seule et même situation. La pandémie a créé la parfaite
combinaison de peur, d’incertitude, de doute et de chaos, dont les fraudeurs se
sont empressés de tirer profit. Les organisations, plus précisément les conseils
d’administration, doivent en faire de même.
7|Page