Article Gouvernance Cybersecurite Vue2pages

EN COLLABORATION AVEC
LE CENTRE UNIVERSITAIRE D’EXPERTISE

EN GOUVERNANCE DE SOCIÉTÉS
GOUVERNANCE DE
LA CYBERSÉCURITÉ
PORTRAIT ET TENDANCES AU QUÉBEC
BASÉ SUR
LE RAPPORT
GOUVERNANCE
AU QUÉBEC
2023
Lyne Bouchard, MBA, Ph. D., IAS.A. |

administratrice de sociétés et présidente, Gouv TI et CA – IT For Boards
Jean-François Henri, Ph.D., FCPA, ASC, C.Dir.,
directeur pédagogique, Collège des administrateurs de sociétés |
directeur, Centre universitaire d’expertise en gouvernance de sociétés
À PROPOS DU COLLÈGE À PROPOS DU CENTRE
DES ADMINISTRATEURS UNIVERSITAIRE D’EXPERTISE EN
DE SOCIÉTÉS GOUVERNANCE DE SOCIÉTÉS
Première institution francophone dédiée à la MISSION

formation des administrateurs et administratrices, Rattaché à la Faculté des sciences de
le Collège des administrateurs de sociétés l’administration de l’Université Laval (FSA
voit le jour en 2005 grâce à une entente ULaval), le Centre universitaire d’expertise
entre quatre partenaires prestigieux : l’Autorité en gouvernance de sociétés repose sur
des marchés financiers, la Caisse de dépôt la mission suivante :
et placement du Québec, le ministère du
Conseil exécutif et l’Université Laval. Fort de Développer des activités de recherche
l’expertise de plus de 120 formateurs et sur des enjeux reliés à la gouvernance
formatrices reconnu.e.s et supporté par un de sociétés afin d’enrichir le développement
conseil d’administration expérimenté, d’une et la diffusion des connaissances dans
équipe solide et de nombreux collaborateurs, ce domaine et contribuer à l’amélioration
le Collège se positionne comme leader de des pratiques.
la formation des administrateurs et
administratrices au Québec. AXES D’INTERVENTION
Trois principaux axes d’intervention :
RAISON D’ÊTRE
i. Observation et veille afin de
Aider à bâtir un monde responsable par documenter les enjeux relatifs à
la contribution de chaque administrateur la gouvernance de sociétés.
et administratrice.
ii. Explication et conceptualisation des
MISSION enjeux de gouvernance de sociétés.
Élever continuellement le niveau des iii. Développement des pratiques et
compétences en gouvernance par des élaboration d’outils pour les différentes
expériences d’apprentissage distinctives structures de gouvernance.
combinant la richesse universitaire,
l’intelligence pratique et la force du réseau. Deux grands domaines d’intervention :
A. Enjeux relatifs au fonctionnement
VISION du conseil d’administration.
Façonner et valoriser l’expertise B. Enjeux relatifs aux préoccupations
en gouvernance. des administrateurs et administratrices.
VALEURS
L’excellence | L’ouverture | Le respect |
L’engagement | L’audace
Collège des administrateurs de sociétés ―2― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
TABLE DES MATIÈRES
INTRODUCTION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
SOMMAIRE EXÉCUTIF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
PARTIE 1 – LA CYBERSÉCURITÉ PARMI LES PLUS GRANDS RISQUES PERÇUS. . . 10

a. Le risque perçu de la cybersécurité
selon la taille des organisations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
b. Le risque perçu de la cybersécurité
selon le type d’organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ. . . . . . . 15

a. Les mécanismes de gouvernance selon
la taille et le type d’organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
b. Le recours à un comité TI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
c. L’expertise en cybersécurité au sein du CA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
PARTIE 3 – L’IMPORTANCE ACTUELLE ACCORDÉE AUX ENJEUX

DE CYBERSÉCURITÉ ET CELLE SOUHAITÉE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
a. L’impact sur les perceptions de l’importance
selon la présence ou non d'un comité des TI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
b. L’impact sur les perceptions de l’importance
selon la présence ou non d’expertise au sein du CA. . . . . . . . . . . . . . . . . . . . . . 26
CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ANNEXE 1 – Méthodologie et description de l’échantillon . . . . . . . . . . . . . . . . . . . . . . . . . 29
INTRODUCTION
« GOUVERNANCE DE
LA CYBERSÉCURITÉ : PORTRAIT
ET TENDANCES AU QUÉBEC 1 »
FAIT PARTIE D’UN VASTE PROJET
D’OBSERVATION DES PRATIQUES
DE GOUVERNANCE DES
CONSEILS D’ADMINISTRATION
OU DES COMITÉS
CONSULTATIFS.
Ce projet vise principalement

quatre grands objectifs :
• Documenter les pratiques de gouvernance

et examiner les préoccupations des conseils
d'administration au Québec;
• Constituer un document de référence
pour les comités de gouvernance et les conseils
d’administration;
• Supporter le développement et la diffusion
de saines pratiques de gouvernance à l’échelle
locale, nationale et internationale, et
• Alimenter les formations universitaires et
exécutives en gouvernance.
1. Gouvernance au Québec : portrait et tendances 2023.

https://www.cas.ulaval.ca/ascension/enquete-gouvernance-au-quebec-decouvrez-quelles-sont-les-tendances-pour-2023/
INTRODUCTION
Le terme « cybersécurité » est apparu à la fin des années La cybersécurité est apparue comme une
2000 et l’Union internationale des télécommunications préoccupation pour les conseils d’administration
l’a défini comme « l’ensemble des outils, politiques, au milieu des années 2000. Certaines attaques ont
concepts de sécurité, mécanismes de sécurité, lignes reçu énormément de visibilité dans les médias à cette
directrices, méthodes de gestion des risques, actions,
époque, telles celles de Yahoo et Target aux États‑Unis,
formations, bonnes pratiques, garanties et technologies
qui peuvent être utilisés pour protéger le cyberenvironnement et cela a fortement contribué à rehausser l’intérêt
et les actifs des organisations et des utilisateurs. Les envers le sujet.
actifs des organisations et des utilisateurs comprennent Depuis, les attaques ayant visé Desjardins, Revenu
les dispositifs informatiques connectés, le personnel,
Québec, Bell Canada, Equifax, Capital One, le Cégep
l'infrastructure, les applications, les services, les systèmes
de St-Félicien et la Société de transport de Montréal
de télécommunication, et la totalité des informations
transmises et/ou stockées dans le cyberenvironnement. ont frappé l’imaginaire, par le nombre de données
La cybersécurité cherche à garantir que les propriétés personnelles volées, par l’ampleur des rançons exigées,
de sécurité des actifs des organisations et des utilisateurs ou par la durée de l’arrêt des opérations des organisations
soient assurées et maintenues par rapport aux risques infectées.
affectant la sécurité dans le cyberenvironnement »2.
Aujourd’hui, une proportion importante des organisations
a subi des attaques de cybersécurité, les rançongiciels
en étant une manifestation bien connue.
Cet article fait état des perceptions et des pratiques Ces groupes sont :
en matière de cybersécurité pour les conseils • Groupe 1 : Petites organisations – Moins de
d’administration au Québec en 2023 3. 100 employés
• Groupe 2 : Moyennes et grandes organisations –
Il est divisé en trois grandes parties : 100 employés et plus
• Partie 1 : Le risque perçu de la cybersécurité,
selon la taille et le type d’organisation Une ventilation des résultats en fonction du type
d’organisation est également présentée. Cinq groupes
• Partie 2 : Les pratiques de gouvernance de
la cybersécurité sont ainsi formés pour une meilleure contextualisation
et appréciation des résultats :
• Partie 3 : L’importance actuelle accordée
aux enjeux de cybersécurité et celle souhaitée • Groupe A : Sociétés ouvertes, comprenant
les sociétés cotées en bourse et leurs filiales
• Groupe B : Sociétés privées, incluant les PME et
Les résultats sont présentés selon la taille des les grandes entreprises de propriété privée
organisations. Le nombre d’employés équivalent temps • Groupe C : Organisations coopératives
plein est utilisé comme base de référence. Les résultats • Groupe D : Sociétés publiques ou parapubliques,
sont ainsi ventilés en deux groupes et un test statistique regroupant les organismes liés à l’État
est utilisé pour déterminer si la différence observée • Groupe E : Organisations sans capital-actions,
entre les deux groupes est significative ou non. désignant les organismes à but non lucratif (OBNL),
les associations, les ordres professionnels et
les fondations
2. UIT-T X.1205 (Avril 2008). Présentation générale de la cybersécurité. https://www.itu.int/rec/T-REC-X.1205-200804-I

3. Pour le reste de l'article, le terme conseil d’administration (CA) sera utilisé pour représenter toute structure de gouvernance assurant un rôle
de supervision et de conseil. Il comprend donc implicitement la notion de comité conseil ou de comité consultatif.
SOMMAIRE
EXÉCUTIF
FAITS SAILL ANTS – PARTIE 1
LE RISQUE PERÇU
DE CYBERSÉCURITÉ
PERCEPTION DU RISQUE DE CYBERSÉCURITÉ EN GÉNÉRAL DÉTAILS P. 11
2e
PLUS IMPORTANT
RISQUE PERÇU
POUR LA PROCHAINE ANNÉE
PAR LES ORGANISATIONS.
PERCEPTION DU RISQUE SELON LA TAILLE DE L'ORGANISATION DÉTAILS P. 11
2e
RANG
5e
RANG
LA CYBERSÉCURITÉ ARRIVE POUR LES PETITES

AU DEUXIÈME RANG ORGANISATIONS,
DES PRÉOCCUPATIONS DE PLUS EN PLUS CIBLÉES PAR
POUR LES MOYENNES LES ATTAQUES, LA CYBERSÉCURITÉ
ET GRANDES N'ARRIVE POURTANT QU'AU
ORGANISATIONS. CINQUIÈME RANG.
PERCEPTION DU RISQUE SELON LE TYPE D'ORGANISATION DÉTAILS P. 13
LA CYBERSÉCURITÉ EST LA CYBERSÉCURITÉ SEMBLE

UN RISQUE PRIORITAIRE UN RISQUE MODÉRÉ OU
POUR LES SOCIÉTÉS PRIVÉES, MOINS PRIORITAIRE
LES ORGANISATIONS COOPÉRATIVES POUR LES SOCIÉTÉS OUVERTES
ET LES SOCIÉTÉS PUBLIQUES ET LES ORGANISATIONS
OU PARAPUBLIQUES. SANS CAPITAL-ACTIONS.
LES PR ATIQUES
DE GOUVERNANCE
DE L A CYBERSÉCURITÉ
TROIS PRINCIPALES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ DÉTAILS P. 17
1 2 3
LA SUPERVISION LES DISCUSSIONS AUTOUR LA DÉLÉGATION
DE LA GESTION DE LA STRATÉGIE ET DES À UN COMITÉ
DES RISQUES PROCESSUS STRATÉGIQUES
DIFFÉRENCES ENTRE LES TYPES D'ORGANISATIONS DÉTAILS P. 17
LES MOYENNES ET LES PETITES LE TYPE

GRANDES ORGANISATIONS ORGANISATIONS D'ORGANISATION NE
ONT DAVANTAGE RECOURS À SEMBLENT DAVANTAGE TRAITER SEMBLE PAS INFLUENCER
LA CYBERSÉCURITÉ COMME LES CHOIX DE PRATIQUE
DES PRATIQUES DE GOUVERNANCE
UN ENJEU OPÉRATIONNEL, DE GOUVERNANCE DE
DE LA CYBERSÉCURITÉ PAR RAPPORT LA CYBERSÉCURITÉ.
UNE PERSPECTIVE COURT TERME
AUX PETITES ORGANISATIONS.
ET TOURNÉE VERS LE PASSÉ.
UTILISATION D'UN COMITÉ TI DÉTAILS P. 20
UN PEU PLUS DE
10 %
DES CA
CE SONT SURTOUT
LES CA DES SOCIÉTÉS
PRIVÉES ET PUBLIQUES
PEU
DE SOCIÉTÉS OUVERTES
OU SANS CAPITAL-ACTIONS
ONT UN COMITÉ TI
ONT MIS SUR PIED OU PARAPUBLIQUES
UN COMITÉ TI
EXPERTISE EN CYBERSÉCURITÉ AU SEIN DU CA DÉTAILS P. 21
UN PEU PLUS DE
35,5 % DES CA
CE SONT SURTOUT
LES MOYENNES ET GRANDES
COMPTENT AU MOINS ORGANISATIONS
UNE PERSONNE AYANT
UNE EXPERTISE EN CYBERSÉCURITÉ
L’IMPORTANCE
ACTUELLE ACCORDÉE
AUX ENJEUX DE
CYBERSÉCURITÉ ET
CELLE SOUHAITÉE
IMPORTANCE DES ENJEUX DE CYBERSÉCURITÉ POUR LES CA DÉTAILS P. 26
LES MOYENNES ET
GRANDES ORGANISATIONS
ACCORDENT UNE IMPORTANCE
SUPÉRIEURE AUX ENJEUX DE
CYBERSÉCURITÉ EN COMPARAISON
AUX PLUS PETITES.
TOUTES LES
ORGANISATIONS
SOUHAITERAIENT Y ACCORDER
LES ORGANISATIONS DAVANTAGE D'IMPORTANCE.
SANS CAPITAL-ACTIONS,
PLUS PETITES,
DÉMONTRENT UNE IMPORTANCE
ACTUELLE OU SOUHAITÉE
INFÉRIEURE AUX AUTRES TAILLES
D'ORGANISATION.
IMPACT DE LA PRÉSENCE D'UNE PERSONNE AVEC

UNE EXPERTISE EN CYBERSÉCURITÉ AU SEIN DU CA DÉTAILS P. 27
L'IMPORTANCE ACCORDÉE OU SOUHAITÉE

EST PLUS GRANDE
LORSQU'IL Y A AU MOINS UN OU UNE MEMBRE DU CA
AYANT DE L'EXPERTISE EN CYBERSÉCURITÉ.
PARTIE 1
LA CYBERSÉCURITÉ
PARMI LES PLUS GRANDS
RISQUES PERÇUS
Collège des administrateurs de sociétés ― 10 ― Gouvernance de la cybersécurité – Portrait et tendances 2023 au Québec
PARTIE 1 – LA CYBERSÉCURITÉ PARMI LES PLUS GRANDS RISQUES PERÇUS
a. LE RISQUE PERÇU DE L A CYBERSÉCURITÉ

SELON LA TAILLE DES ORGANISATIONS
Au Québec, aujourd’hui, la cybersécurité est perçue Les deux premiers risques perçus, soit le recrutement
par les membres de conseils d’administration comme et la rétention des employés ainsi que la
le deuxième plus important risque auquel sera cybersécurité, sont des enjeux qui, lorsqu’ils se
confrontée leur organisation dans la prochaine matérialisent, peuvent ralentir de façon importante,
année, comme montré dans le graphique suivant. voir paralyser, les organisations. Il n’est donc pas
Ce résultat est similaire à celui exprimé lors du sondage étonnant que les conseils d’administration les identifient
de l’Institut des administrateurs de sociétés alors que comme étant des risques majeurs.
la cybersécurité arrive au deuxième rang des enjeux
majeurs auxquels les organisations font face.4
LES PLUS GRANDS RISQUESPlus

PERÇUS POUR
grands L'ORGANISATION
risques perçus
DANS LA PROCHAINE ANNÉE, SELON LA TAILLE DE L'ORGANISATION
Résultats ventilés selon la taille de l’organisation
Recrutement
Recrutementet
et rétention
rétention des employés
Cybersécurité Cybersécurité
Inflation Inflation
Évolution
Évolution des marchés
des marchés et deet
la concurrence
de la concurrence
Gouvernance Gouvernance
Enjeux sociaux Enjeux sociaux
Transformations numériques digitales

Transformations
%
%
Contexte législatif Contexte légistaltif
Pandémie / Covid-19
Pandémie / Covid-19
Enjeux environnementaux
Enjeux environnementaux
Chaînes d'approvisionnement
Chaînes d'approvisionnement
Contexte géopolitique
Contexte international
géopolitique international
Autres Autres
0 10 20 30 40 50 60 70 80 90 100
Moyennes et grandes organisations Petites organisations Global

Moyennes et grandes organisations Petites organisations Global
4. Institut des administrateurs de sociétés. Director Lens 2022. Mai 2022.
De telles attaques peuvent aussi coûter très cher aux Selon une autre étude, de Barracuda6, le personnel
organisations. Selon une étude d’IBM5, le coût moyen d’une organisation de moins de 100 employés est
d’un vol de données pour une entreprise est de susceptible de recevoir 350 % plus de cyberattaques
5,64 millions $US en 2022, dont environ le quart livrées par courriel que le personnel d’une grande
représente une perte du chiffre d’affaires. entreprise. L’étude attribue l’attrait des PME pour les
cybercriminels au fait que ces entreprises représentent
Pour 60 % des organisations impactées, l’attaque
une valeur économique importante et manquent
les a menées à augmenter le prix de leurs
souvent de ressources ou d’expertise en cybersécurité.
produits et/ou services, ce qui les rend encore
moins concurrentielles à moyen et long terme. Il est donc étonnant que pour les petites organisations
ayant répondu à notre sondage, la cybersécurité
arrive au cinquième rang des enjeux perçus,
derrière les enjeux sociaux et l’inflation, deux enjeux
sur lesquels elles n’ont aucun contrôle, mais qui engendrent
probablement beaucoup d’incertitude.
5. IBM. Cost of a Data Breach Report 2022. Juillet 2022.

6. Barracuda. Spear Phishing: Top Threats and Trends. Volume 7, mars 2022.
b. LE RISQUE PERÇU DE L A CYBERSÉCURITÉ

SELON LE T YPE D’ORGANISATION
Le graphique suivant illustre dans quelle mesure la On y note deux groupes d’organisations :
cybersécurité représente un enjeu prioritaire parmi • Celles pour qui la cybersécurité semble
les cinq risques les plus importants pour la prochaine un risque prioritaire, soit les sociétés privées,
année selon le type d’organisation. les organisations coopératives et les sociétés
publiques ou parapubliques.
• Celles pour qui le risque semble modéré ou

moins prioritaire, soit les sociétés ouvertes et
les organisations sans capital-actions.
TYPES D'ORGANISATIONS POUR LESQUELLES LA CYBERSÉCURITÉ

EST UN ENJEU
Type PRIORITAIRE POURpour
d'organisations LA PROCHAINE
lesquelles laANNÉE
cybersécurité est un enjeu
prioritaire pour la prochaine année
8 0%
80 %
70%
70 %
60%
60 %
50%
50 %
40%
40 %
30%
30 %
20%
20 %
10%
10 %
00%
%
Sociétés ouvertes Sociétés privées Organisations coopératives

Sociétés ouvertes
Sociétés publ iques ou Sociétés privées
parapubliques Organisations
Organisations sans capital action Sociétés publiques Organisations sans
coopératives ou parapubliques capital-actions
7. Flashpoint. The State of Data Breach Intelligence: 2022 Midyear Edition.

Le rapport couvre les événements divulgués publiquement entre le 1er janvier et le 30 juin 2022.
Ce constat n’est pas surprenant pour les organisations En effet, le dernier rapport de Flashpoint7 sur les
sans capital-actions. En effet, les organismes à but non attaques de cybersécurité indique que les secteurs
lucratif (OBNL), les associations, les ordres professionnels de la finance (10 %), du développement logiciel
et les fondations sont des organisations plus petites, et et de l’offre de logiciel en ligne (6,6 %), des
comme nous l’avons vu précédemment, ces organisations hôpitaux (5,3 %), de la santé excluant les hôpitaux
ne placent qu’au cinquième rang l’enjeu de la (4,8 %) et de la fabrication (4,3 %) sont les secteurs
cybersécurité. Par ailleurs, plusieurs de ces organisations ayant rapporté le plus de brèches de cybersécurité.
ne font pas partie des industries particulièrement
Ce sont de grandes sociétés, ciblées depuis de
ciblées par les attaques de cybersécurité.
nombreuses années. Mais comme on l’a noté dans
l’étude de Barracuda citée précédemment, les plus
petites organisations sont de plus en plus ciblées,
ce qui devrait entraîner une hausse de l’intérêt porté
aux mécanismes de prévention par ces organisations.
Pistes de réflexion pour votre CA
Votre industrie est-elle une cible fréquente de cyberattaques ?

La lecture des revues spécialisées de votre industrie vous en donnera
un aperçu.
Votre organisation possède-t-elle des données d’intérêt pour

les cybervoleurs, par exemple, les coordonnées personnelles de
vos employés, clients ou fournisseurs ou encore des données sensibles
comme la santé ou les finances ?
Quelles seraient les conséquences si votre organisation ne pouvait

pas fonctionner pendant quatre jours ou… quatre semaines suite à
une cyberattaque ?
PARTIE 2
LES PRATIQUES
DE GOUVERNANCE
DE LA CYBERSÉCURITÉ
PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ
a. LES MÉCANISMES DE GOUVERNANCE

SELON LA TAILLE ET
LE T YPE D’ORGANISATION
Les mécanismes de gouvernance utilisés par les CA Le tableau ci-dessous présente les différentes approches
pour intégrer différents enjeux dans leurs travaux sont et les illustre par des exemples.
très variés.
Pratiques de gouvernance Exemples de mécanismes permettant

d'intégrer la cybersécurité
Intégration de la cybersécurité dans la planification stratégique,

Processus stratégiques
suivi des objectifs, veille externe, etc.
Intégration de la cybersécurité dans la matrice de risques,

Gestion des risques
le cadre de gestion des risques, l’analyse de scénarios, etc.
Suivi de la performance Intégration de la cybersécurité dans les indicateurs / KPI déposés

organisationnelle au CA, tableau de bord, etc.
Évaluation de la performance Intégration de la cybersécurité dans les critères d’évaluation,

des hauts dirigeants cibles, etc.
Établissement de
Intégration de la cybersécurité dans les critères pour les bonus,
la rémunération
régimes d’intéressement, etc.
des hauts dirigeants
Intégration de la cybersécurité dans les communications

Divulgation externe
aux parties prenantes, rapports annuels, etc.
Responsabilité de la cybersécurité attribuée de façon spécifique

Structure de comités du CA
à un comité existant, comité distinct, etc.
Matrice de compétences Détermination des connaissances / expertises / expériences relatives

des administratrices et aux enjeux de cybersécurité requises et présentes, détermination
administrateurs des écarts à combler, etc.
Intégration des enjeux de cybersécurité dans les activités

Formation du CA
ou plans de formation des membres
Le graphique suivant présente les mécanismes utilisés par les conseils d’administration pour gouverner
la cybersécurité selon la taille de l’organisation.
Intégration
INTÉGRATION desDEenjeux
DES ENJEUX de cybersécurité
CYBERSÉCURITÉ
Résultats ventilés selon la taille de l’organisation
SELON LA TAILLE DE L'ORGANISATION
Gestion des risques

Gestion des risques
Suivi de la performance
Suivi de la performance organi sationnelle
organisationnelle
StructureStructure dedu
de comités comités
CA du CA
Matrice de compétences
Matrice de compétences des administrateurs
des administrateurs
Formation du CA Formation du CA
Évaluation de la performance
Évaluation de la performance des hauts di rigeants
Divulgation externe
Divulgation externe
Établissement de la rémunération
Établ issement de la rémunération des hauts dirigeants
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5

1 (peu d'intégration) à 5 (très forte intégration)
1 (peu d'intégration) à 5 (très forte intégration)
Moy ennes et grandes organisations

Moyennes Petites organisations
et grandes organisations Global
Petites organisations Global
D’une part, on note qu’en général, les pratiques En effet, les petites organisations semblent davantage
associées à la supervision de la gestion des risques, traiter la cybersécurité comme un enjeu opérationnel
aux discussions autour de la stratégie et des suivi au moyen d’indicateurs et de tableaux de bord.
processus stratégiques et la délégation à un comité La perspective est donc celle du court terme et tournée
composent le trio privilégié de mécanismes. Cela vers le passé (« les infrastructures ont-elles été disponibles
laisse penser que la cybersécurité est vue, avec ou non ») plutôt que de considérer la cybersécurité
justesse, comme un risque pour les organisations, un comme un risque qui pourrait se matérialiser dans le
risque qui peut à la fois impacter les stratégies futur et possiblement impacter les stratégies d’affaires.
organisationnelles et leur exécution, et que l’on confie Sachant que les petites organisations disposent
à un comité afin d’assurer une vigie plus approfondie. de moins d’expertise en cybersécurité, il est
dommage que leurs conseils d’administration ne
En général, les moyennes et grandes organisations
soient pas utilisés stratégiquement pour combler
ont recours davantage aux différentes pratiques
ce manque d’expertise, ou à tout le moins, pour
énumérées comparativement aux petites organisations,
effectuer une surveillance accrue des enjeux stratégiques
avec une exception importante cependant.
reliés à la cybersécurité au moyen d’un comité ou par
l’intégration dans les processus de planification
stratégique, par exemple.
Le graphique suivant présente les mécanismes utilisés Il existe également quelques différences dans les
pour gouverner la cybersécurité selon le type pratiques utilisées, mais celles-ci sont minimes et
d’organisation. généralement non significatives.
Intégration
INTÉGRATION DES ENJEUX des enjeux de cybersécurité
DE CYBERSÉCURITÉ
SELON LE TYPE D'ORGANISATION
Résultats selon le type d'organisation
5
Intégration faible (1) à forte (5)
Intégration faible (1) à forte (5)
.
ss
eess
ccee
eaea ce
t sts
ee
m.
CCAA
CA
nt nts
uuee
rrnn
aann
uC
qquu
aann
rig ig an
aad
s
tete
iqiq
du
ggee
risis
rrmm
di dir m
eexx
sd
éégg
es
dde
iririi
t s ts f o r
ssr
ioon
rrffoo
aatt
iitté
nn
dee
sts dd
ioio
a ti
auau er
ees
sttrr
mm
ppee
nnd
aat t
p
ncc
coo
sss
rrmm
uut
itoio
lglg
haa
aa
– -h a
s usu
eec
tee
FFoo
l
vivuu
es ts
ssh
ddee
rf. e
pé
e dd
eces
pe n d
GGe
ddee
h
DDi
mm
oroc
iivvii
uur
la io
nn
co
PPr
SSuu
cctt
itoio
e at
rturu
de
u
arat
n d al
SSt
néré
e
tio Év
ri c
unu
mém
att
M
RéR
ua
al
Év
Sociétés ouvertes Sociétés privées Organisations Sociétés publiques Organisations sans

Sociétés ouvertes Sociétés privées
coopératives Organisations coopératives
ou parapubliques capital-actions
Sociétés publ iques ou parapubliques Organisation sans capital acti on
Quels sont les mécanismes actuellement utilisés par votre CA

pour aborder les enjeux de cybersécurité ?
Ces mécanismes permettent-ils à votre CA d’apprécier les enjeux

de cybersécurité correctement, pour ensuite prendre les orientations
et les décisions appropriées ?
D’autres mécanismes de gouvernance de la cybersécurité devraient‑ils

être utilisés par votre CA ?
b. LE RECOURS À
UN COMITÉ TI
Comme tout comité du conseil, un comité TI (CTI) a Tel que l’indique le tableau suivant, les conseils
pour objectif d’assister le conseil dans la d’administration où siègent les répondantes et
gouvernance d’un domaine particulier, dans le répondants au sondage se sont adjoint trois comités
cas présent, celui des technologies de l’information. en moyenne et un peu plus de 10 % des CA ont
Cela permet de s’assurer que les TI sont examinées de mis sur pied un comité des technologies de
façon régulière par le conseil, généralement de façon l’information (CTI). En revanche, il est intéressant
plus structurée et planifiée que ce n’est le cas autrement. de noter, ici aussi, que les petites organisations ont
peu recours à ces comités (4 %) alors qu'ils sont
Le CTI s’assure en général de l’alignement des TI
présents dans presque 20 % des moyennes et
avec les stratégies d’affaires, que les investissements
grandes organisations.
en TI procurent la valeur ajoutée attendue, que
les risques engendrés par l’usage, ou le non-usage,
des TI sont sous contrôle, et que les TI performent
au niveau attendu.
Moyennes
Comités du conseil Petites Différence
Global et grandes
organisations statistique 1
organisations
Nombre moyen de comités 3,1 2,6 3,9
Oui
[Min - Max] [0-7] [0-6] [0-7]
Pourcentage des CA
disposant d’un comité des 10,4 % 4% 19,7 % Oui
technologies de l’information
Note 1 : Les différences sont significatives à un niveau supérieur ou égal à 95 %.
Il n’est pas certain cependant que les dossiers de L’existence d’un CTI ou plus particulièrement d’un
cybersécurité soient automatiquement confiés à un comité sur la cybersécurité devrait augmenter
CTI lorsqu’il existe. Dans la mesure où il s’agit d’un dans le futur, surtout pour les moyennes et grandes
risque que l’organisation doit bien gérer, le dossier organisations, alors que les autorités de
peut être confié au comité de gestion des risques ou, règlementation commencent à s’y intéresser.
plus fréquemment, au comité d’audit souvent chargé Au Québec, cependant, peu de sociétés ouvertes se
de superviser la gestion des risques. sont dotées d’un CTI. On constate une plus grande
présence de CTI aux conseils des sociétés publiques
ou parapubliques, un phénomène que l’on observe
depuis plusieurs années, ainsi que dans une plus faible
proportion au sein des sociétés privées.
PRÉSENCE D’UN COMITÉ DES TECHNOLOGIES DE L’INFORMATION

Présence d'un comité des technologies de l'information
selon le type d'organisaiton
30%
30 %
25%
25 %
20%
20 %
15%
15 %
10%
10 %
55%
%
00%
%
Sociétés ouvertes Sociétés privées Organisations coopératives

Sociétés ouvertes
Sociétés publ iques ou Sociétés privées Organisations
parapubliques Organisations
sans capital action Sociétés publiques Organisations sans
Un CTI serait-il un ajout intéressant à votre CA pour couvrir, entre autres,

les enjeux de cybersécurité ?
Si votre CA s’est déjà doté d’un CTI, la cybersécurité y est-elle traitée ?
Peu importe où le sujet de la cybersécurité est discuté à votre CA,

est-il traité à une fréquence appropriée en fonction des risques possibles
pour votre organisation ?
c. L’EXPERTISE EN CYBERSÉCURITÉ
AU SEIN DU CA
Des réflexions sont en cours dans plusieurs juridictions En moyenne, un peu plus de 35,5 % des CA comptent
afin d’exiger que les conseils d'administration se dotent au moins une personne ayant de l’expertise dans
d’une personne avec une expertise approfondie en le domaine. Cependant, ce résultat varie beaucoup
cybersécurité. Mais est-ce bien nécessaire? On s’attend et est statistiquement significatif entre les petites
à ce que l’organisation dispose elle-même ou par organisations (24,6 %) et les moyennes et grandes
l’intermédiaire de consultants de l’expertise requise organisations (50 %). Étant donné l’importance de
pour anticiper et gérer les enjeux de cybersécurité. ces enjeux, une réflexion s’impose pour nos conseils
Un ou une membre du CA devrait pouvoir identifier les d’administration.
enjeux auxquels son industrie est confrontée et examiner
Ces résultats se reflètent aussi au niveau du type
comment la direction les anticipe et les gère, en se
d’organisation, alors que les organisations coopératives
faisant appuyer au besoin par les auditeurs externes
et celles sans capital-actions notent un manque d’expertise
ou des firmes spécialisées pour réaliser des tests de
plus fréquent. À nouveau, ce sont les organisations
pénétration, par exemple. Les enjeux de cybersécurité
gouvernementales qui semblent davantage sensibilisées
doivent être pris en compte dans une perspective
à l’importance de couvrir la cybersécurité au sein de
plus globale de gestion des risques et d’établissement
leurs conseils.
des priorités et des stratégies d’affaires, ce que
tout membre de CA devrait pouvoir faire. Une
formation en cybersécurité de niveau-conseil
d’administration est davantage utile que d’ajouter une
personne spécialisée uniquement dans ce domaine.
PRÉSENCE D’AU MOINS UN OU UNE MEMBRE AVEC UNE EXPERTISE EN CYBERSÉCURITÉ

Présence d’au moins un ou une membre avec une expertise en cybersécurité
selon le type d’organisation
60%
60 %
50%
50 %
40%
40 %
30%
30 %
20%
20 %
10%
10 %
00%
%
Sociétés
Sociétés ouvertes
ouvertes Sociétés privées Sociétés privées
Organisations Organisations
Sociétés publiques coopératives
Organisations sans
Sociétés publ iques ou parapubliques Organisations sans capital action
Votre CA a-t-il étudié la pertinence de se doter d’une expertise

additionnelle en TI et/ou en cybersécurité?
Quels défis, le cas échéant, avez-vous rencontrés dans cette recherche

d’expertise ? Les solutions mises de l’avant sont-elles pérennes pour le futur ?
PARTIE 3
L’IMPORTANCE ACTUELLE
ACCORDÉE AUX ENJEUX
DE CYBERSÉCURITÉ
ET CELLE SOUHAITÉE
DE CYBERSÉCURITÉ ET CELLE SOUHAITÉE
Le sondage visait aussi à connaître l’importance ces perceptions ainsi que le pourcentage de CA dont
accordée actuellement aux enjeux de cybersécurité au moins un ou une membre possède une expertise
par les CA et l’importance qu’ils souhaiteraient accorder en cybersécurité.
à ces enjeux sur une échelle de 1 (peu important) à
5 (importance majeure). Le graphique suivant présente
IMPORTANCEImportance
ACCORDÉE accordée parAUX
PAR LE CA le CA aux enjeux
ENJEUX de cybersécurité et
DE CYBERSÉCURITÉ
ET CELLE SOUHAITÉE SELON LA TAILLE DE L'ORGANISATION
celle souhaitée selon la taille de l'organisation
5 60%
60 %
4 50%
50 %
40%
40 %
3
3 0%
30 %
2
20%
20 %
1 10%
10 %
0 0%
0%
Global
Global Petites
Petites organisations
organisations Moy ennes et
Moyennes et grandes organisations
grandes organisations
Importance
Importance actuelle actuelle Importance
Importance souhai table
souhaitable Présence
Présenced'au
d'aumoins unmembre
moins un membreayant
ay ant une
une expertise
expertise
D’une part, l’importance accordée actuellement Les petites organisations semblent en être conscientes,
aux enjeux de cybersécurité est plus élevée pour cependant, puisque l’importance souhaitée est bien
les plus grandes organisations par rapport aux plus élevée.
plus petites, ce qui peut être le résultat de la présence
Le graphique suivant présente les résultats par type
d’expertise en cybersécurité sur les conseils des grandes
d’organisation. Ce sont à nouveau les organisations
organisations. Ce résultat est conforme avec la perception
sans capital-actions, plus petites, qui démontrent
de l’importance des enjeux de cybersécurité qui se
une importance actuelle accordée aux enjeux
dégage des autres questions du sondage.
de cybersécurité plus faible; leur rattrapage souhaité
est également plus élevé.
IMPORTANCEImportance
ACCORDÉE accordée parAUX
PAR LE CA le CA aux enjeux
ENJEUX de cybersécurité et
DE CYBERSÉCURITÉ
SELON
ET CELLE SOUHAITÉE celle LE TYPE D'ORGANISATION
souhaitée selon le type d'organisation
5 60%
60 %
4 50%
50 %
40%
40 %
3
30%
30 %
2
20%
20 %
1 10%
10 %
0 0%
0%
Global Sociétés
Sociétés ouvertes Sociétés
Sociétés privées Organisations
Organisations Sociétés
Sociétés Organisations sans
publ iques Organisations sans
Global ouvertes privées coopératives publiques ou capital-actions
coopératives ou parapubliques capital acti on
parapubliques
Importance actuelle Importance souhai table Présence d'au moins un membre ay ant une expertise
Importance actuelle Importance souhaitable Présence d'au moins un membre ayant une expertise
a. L’IMPACT SUR LES PERCEPTIONS

DE L’IMPORTANCE
SELON LA PRÉSENCE OU NON
D'UN COMITÉ DES TI
Le tableau suivant s’intéresse à la différence entre les On note qu’en effet, la présence d’un tel comité
perceptions d’importance actuelle et d’importance entraine une augmentation de l’importance
perçue selon la présence ou non d’un comité TI au actuellement accordée et celle que l’on souhaiterait
sein du CA. y accorder.
Le fait de passer davantage de temps à discuter des

enjeux et opportunités procurées par les TI
sensibilise davantage les membres de conseils
d’administration aux enjeux de cybersécurité et
cette prise de conscience additionnelle rehausse
l’importance perçue.
Enjeux de cybersécurité Absence de Présence de Différence

Global
comité TI comité TI statistique 1
Importance actuelle 2 3,3 3,2 4,3 Oui
Importance souhaitable2 4,2 4,1 4,7 Oui
Écart d’importance (%)3 -20 % -21,3 % -8,2 % Oui

Note 2 : Échelle : 1 = peu d’importance à 5= importance majeure
Note 3 : L’écart est calculé ainsi : (Score d’importance actuelle – Score d’importance souhaitable) / Score d’importance souhaitable
b. L’IMPACT SUR LES PERCEPTIONS

DE L’IMPORTANCE
SELON LA PRÉSENCE OU NON
D’EXPERTISE AU SEIN DU CA
Le tableau suivant s’intéresse à la relation entre la Ici aussi, une différence statistiquement significative
présence ou l’absence d’une personne avec une est notée : la présence de cette expertise augmente
expertise en cybersécurité au CA et l’importance l’importance perçue. Un ou une membre du CA
actuelle et souhaitée. La présence de cette expertise disposant de l’expertise sera davantage en mesure
augmente la capacité du CA à apprécier les enjeux de mettre de l’avant les enjeux de cybersécurité et
que représente la cybersécurité et par conséquent, d’en expliquer la pertinence, ce qui, par ricochet,
à bien accompagner l’équipe de direction à faire rehausse les connaissances et l’importance accordée
face à ces enjeux. par les autres membres du CA.
Enjeux de cybersécurité Absence Présence Différence

Global
d'expertise d'expertise statistique 1
Importance actuelle 2 3,3 2,9 4,0 Oui
Importance souhaitable2 4,2 3,9 4,5 Oui
Écart d’importance (%)3 -20 % -24,5 % -11,9 % Oui

Note 2 : Échelle : 1 = peu d’importance à 5= importance majeure
Note 3 : L’écart est calculé ainsi : (Score d’importance actuelle – Score d’importance souhaitable) / Score d’importance souhaitable
Comment expliquer la variation entre l’importance que vous accordez

versus celle qui serait souhaitable ?
Par quels moyens pourriez-vous procéder pour accorder davantage

d’espace aux enjeux de cybersécurité, et ce, sans compromettre les autres
enjeux du CA ?
CONCLUSION
CONCLUSION
Les enjeux de cybersécurité préoccupent les membres La taille de l’organisation semble expliquer
de conseils d’administration et ces derniers ont recours plusieurs différences entre les répondantes et
à différents mécanismes pour mieux les gouverner. les répondants. En effet, les membres de CA
d’organisations plus petites, soit de 100 employé.es
Les pratiques associées à la supervision de la gestion
et moins, accordent moins d’importance à la
des risques, aux discussions autour de la stratégie et
cybersécurité et priorisent des mécanismes de
des processus stratégiques et la délégation à un comité
gouvernance parfois différents.
composent le trio prioritaire des mécanismes privilégiés
en général. Dans tous les cas, cependant, les Le sondage fait ressortir l’importance de disposer au
répondantes et répondants souhaiteraient y accorder sein du CA lui-même d’une ou d’un membre ayant de
davantage d’attention. l’expertise en cybersécurité afin de permettre au CA
de pouvoir apprécier correctement les enjeux de
cybersécurité, pour ensuite prendre les orientations
et les décisions appropriées.
« DANS TOUS LES CAS, CEPENDANT, LES RÉPONDANTES

ET RÉPONDANTS SOUHAITERAIENT Y ACCORDER
DAVANTAGE D’ATTENTION. »
Pour aller plus loin

Les membres de conseils d’administration sont invités à consulter différents documents
et vidéos publiés par le Collège des administrateurs de sociétés afin de mieux
comprendre et prévenir des attaques de cybersécurité :
Bouchard, Lyne. Outil pratique : Aide-mémoire sur la cybersécurité

et la gouvernance. Collège des administrateurs de sociétés. Juin 2022.
Vuillet, André et Bouchard, Lyne. Apprendre par l'expérience : une étude

de cas en cybersécurité. Collège des administrateurs de sociétés. Juin 2022.
Morin, Paule-Anne. Cinq questions pour Paule-Anne Morin.

Collège des administrateurs de sociétés. Avril 2021.
Bouchard, Lyne. Cybersécurité : mieux se préparer pour mieux réagir.

Bouchard, Lyne. Les attaques de cybersécurité : une fatalité?

ANNEXE 1
MÉTHODOLOGIE ET DESCRIPTION
DE L’ÉCHANTILLON
ANNEXE 1
MÉTHODOLOGIE ET DESCRIPTION
DE L’ÉCHANTILLON
Un sondage électronique a circulé sur une période de Quelques-unes des statistiques descriptives de
cinq semaines, du 23 septembre au 7 novembre 2022. l’échantillon sont présentées ci-dessous en deux
L’échantillon de convenance était composé catégories, soit (i) les informations relatives aux
d’administratrices et d’administrateurs de sociétés répondantes et répondants, et (ii) les informations
siégeant à au moins un conseil d’administration ou relatives à l’organisation retenue par la répondante
comité consultatif d’une organisation située au Québec, ou le répondant. La description complète de l’échantillon
et ce, sans égard au type d’organisation, sa forme ainsi que les analyses plus globales sont présentées
juridique ou sa taille. Les répondantes et répondants dans le rapport complet « La gouvernance au Québec :
qui siègent à plusieurs conseils devaient choisir le plus Portrait et tendances 2023 ».
significatif à leurs yeux. L’échantillon total est composé
de 336 conseils d’administration québécois.
A) INFORMATIONS RELATIVES AUX RÉPONDANTS.ES
GENRE
60
51,7
50 47,6
40
30
%
20
10
0,7
0
Homme
Homme Femme
Femme Autre
Autre
Genre
Genre
ANNEXE 1
MÉTHODOLOGIE ET DESCRIPTION DE L’ÉCHANTILLON
A) INFORMATIONS RELATIVES AUX RÉPONDANTS.ES (SUITE)
ÂGE
40
35 33,8
30,5
30
25
20 17,5
%
15
8,6 9,6
10
0
Moins de
Moins de 40 ans Entre 41 et 50 ans Entre 51
Entre 51 et 60 ans Entre 61 et 70 ans Plus de
de 70 ans
ans
Groupe d'âge
Groupe d'âge
AUTRES INFORMATIONS
Nombre moyen de CA actuellement 2,39

[Min - Max] [1-11]
Nombre moyen d’années d’expérience sur des conseils 14,76
[Min - Max] [1-51]
Pourcentage possédant une désignation en gouvernance
62 %
(ASC, C.Dir, IAS.A)
ANNEXE 1
MÉTHODOLOGIE ET DESCRIPTION DE L’ÉCHANTILLON
B) INFORMATIONS RELATIVES À L’ORGANISATION

SUR LAQUELLE SIÈGE LES RÉPONDANTS.ES
TYPE D’ORGANISATION
Type d’organisation Nombre %
Société ouverte (cotée en bourse et leur filiale) 20 6%
Société privée (PME et grande entreprise) 59 17,6 %
Organisation coopérative 28 8,3 %
Société publique ou parapublique 58 17,3 %
Organisation sans capital-actions

171 50,9 %
(OBNL, association, ordre professionnel et fondation)
TOTAL 336 100 %
REVENUS / BUDGETS ANNUELS (%)
25 2525 23,823,8
23,8
19,919,9
19,9
20 2020
16,716,7
16,7
16,116,1
16,1
14,614,6
14,6
15 1515
%
%
%
10 1010 8,9 8,98,9
5 5 5
0 0 0
Moins
Moins d’un
d’un
Moins
Moinsmillion
d’un
d’un De
De 1De
million
million 51àmillions
àDe
1 à5à
1 5millions
$ De $ 5$
5 millions De
De 5 àà5millions
àDe
25
5 25
à 25millions De 25
De
millions 25
DeDe à25
100
25 à 100De 100
à 100 DeDe à 100
100500à 500Plus Plus
à 500 dePlus
500 500
de de millions
500 millions
millions
million
$ $$ $ millions $ millions
$ $ $ $ millions
millions $
$ $ $
millions
millions millions
millions $
$ $ $
millions
millions millions
$ $ $ $
Revenus / budgets
Revenus
Revenus
Revenus / annuels
budgets
/ budgets
/ budgets annuels
annuels
annuels
Carré des affaires FSA ULaval - Banque Nationale
1030, avenue du Séminaire
Université Laval
Québec (Québec) G1V 0A6
418 656-2630 | 514 842-2630

info@cas.ulaval.ca
cas.ulaval.ca
CAquebec.com
Collège des administrateurs de sociétés
Collège des administrateurs de sociétés

CASulaval

Article Gouvernance Cybersecurite Vue2pages

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Article Gouvernance Cybersecurite Vue2pages

Transféré par

Droits d'auteur :

Formats disponibles

EN COLLABORATION AVEC

LE CENTRE UNIVERSITAIRE D’EXPERTISE

Lyne Bouchard, MBA, Ph. D., IAS.A. |

Première institution francophone dédiée à la MISSION

PARTIE 1 – LA CYBERSÉCURITÉ PARMI LES PLUS GRANDS RISQUES PERÇUS. . . 10

PARTIE 2 – LES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ. . . . . . . 15

PARTIE 3 – L’IMPORTANCE ACTUELLE ACCORDÉE AUX ENJEUX

Ce projet vise principalement

• Documenter les pratiques de gouvernance

1. Gouvernance au Québec : portrait et tendances 2023.

2. UIT-T X.1205 (Avril 2008). Présentation générale de la cybersécurité. https://www.itu.int/rec/T-REC-X.1205-200804-I

PERCEPTION DU RISQUE DE CYBERSÉCURITÉ EN GÉNÉRAL DÉTAILS P. 11

PERCEPTION DU RISQUE SELON LA TAILLE DE L'ORGANISATION DÉTAILS P. 11

LA CYBERSÉCURITÉ ARRIVE POUR LES PETITES

PERCEPTION DU RISQUE SELON LE TYPE D'ORGANISATION DÉTAILS P. 13

LA CYBERSÉCURITÉ EST LA CYBERSÉCURITÉ SEMBLE

TROIS PRINCIPALES PRATIQUES DE GOUVERNANCE DE LA CYBERSÉCURITÉ DÉTAILS P. 17

DIFFÉRENCES ENTRE LES TYPES D'ORGANISATIONS DÉTAILS P. 17

LES MOYENNES ET LES PETITES LE TYPE

UTILISATION D'UN COMITÉ TI DÉTAILS P. 20

EXPERTISE EN CYBERSÉCURITÉ AU SEIN DU CA DÉTAILS P. 21

IMPORTANCE DES ENJEUX DE CYBERSÉCURITÉ POUR LES CA DÉTAILS P. 26

IMPACT DE LA PRÉSENCE D'UNE PERSONNE AVEC

L'IMPORTANCE ACCORDÉE OU SOUHAITÉE

a. LE RISQUE PERÇU DE L A CYBERSÉCURITÉ

LES PLUS GRANDS RISQUESPlus

Enjeux sociaux Enjeux sociaux

Transformations numériques digitales

Contexte législatif Contexte légistaltif

Moyennes et grandes organisations Petites organisations Global

4. Institut des administrateurs de sociétés. Director Lens 2022. Mai 2022.

5. IBM. Cost of a Data Breach Report 2022. Juillet 2022.

b. LE RISQUE PERÇU DE L A CYBERSÉCURITÉ

• Celles pour qui le risque semble modéré ou

TYPES D'ORGANISATIONS POUR LESQUELLES LA CYBERSÉCURITÉ

Sociétés ouvertes Sociétés privées Organisations coopératives

7. Flashpoint. The State of Data Breach Intelligence: 2022 Midyear Edition.

Pistes de réflexion pour votre CA

Votre industrie est-elle une cible fréquente de cyberattaques ?

Votre organisation possède-t-elle des données d’intérêt pour

Quelles seraient les conséquences si votre organisation ne pouvait

a. LES MÉCANISMES DE GOUVERNANCE

Pratiques de gouvernance Exemples de mécanismes permettant

Intégration de la cybersécurité dans la planification stratégique,

Intégration de la cybersécurité dans la matrice de risques,

Suivi de la performance Intégration de la cybersécurité dans les indicateurs / KPI déposés

Évaluation de la performance Intégration de la cybersécurité dans les critères d’évaluation,

Intégration de la cybersécurité dans les communications

Responsabilité de la cybersécurité attribuée de façon spécifique

Matrice de compétences Détermination des connaissances / expertises / expériences relatives

Intégration des enjeux de cybersécurité dans les activités

Gestion des risques

0 0,5 1 1,5 2 2,5 3 3,5 4 4,5

Moy ennes et grandes organisations

Sociétés ouvertes Sociétés privées Organisations Sociétés publiques Organisations sans

Sociétés publ iques ou parapubliques Organisation sans capital acti on

Pistes de réflexion pour votre CA

Quels sont les mécanismes actuellement utilisés par votre CA

Ces mécanismes permettent-ils à votre CA d’apprécier les enjeux

D’autres mécanismes de gouvernance de la cybersécurité devraient‑ils

Note 1 : Les différences sont significatives à un niveau supérieur ou égal à 95 %.

PRÉSENCE D’UN COMITÉ DES TECHNOLOGIES DE L’INFORMATION

Sociétés ouvertes Sociétés privées Organisations coopératives