5 façons dont les conseils peuvent améliorer leur gouvernance de cybersécurité

Lucas Morel

Plus de délégués – quand il en vient à la surveillance du cyber-risque, les conseils s’attaquent à la tête (et aux mains). Voici comment.

En tant que président du conseil d’administration de Cinturion Group, Richard Marshall est intimement impliqué dans la sécurité du réseau à fibre optique, son entreprise construit de l’Inde au Moyen-Orient et en Europe.

Le système monumental de l’Europe trans en Asie (thés) sera suffisamment difficile à construire étant donné qu’il sera enterré sous des milliers de miles de terre et de mer. Le fait de le rendre encore plus rugueux est le fait que de nombreux pays qui hébergeront le câble ne s’aiment pas beaucoup, ce qui présente des problèmes potentiels de cybersécurité.

Lorsqu’il a commencé sa carrière au niveau du conseil d’administration il y a 16 ans, dit Marshall, lui et ses collègues gouverneurs auraient probablement délégué la responsabilité de garantir cette infrastructure à la sécurité informatique des «têtes d’hélice». Mais aujourd’hui, avec des attaques de ransomwares coûteuses et de plus en plus incendiés, il dit que les membres du conseil d’administration et leurs comités d’audit reconnaissent qu’ils ne peuvent plus ignorer de telles responsabilités.

Les directeurs savent qu’ils doivent être plus conscients et directement impliqués. En fait, 88% d’entre eux considèrent désormais la cybersécurité comme un risque commercial par opposition à un problème technologique, selon la société analyste commerciale Gartner.

«J’ai vu le changement», explique Marshall, qui préside également deux autres conseils et est consultant en cybersécurité. «Les conseils sont de plus en plus sophistiqués. Ils sont également plus jeunes, ils ont donc tendance à être plus conscients techniquement et susceptibles de réaliser qu’ils doivent s’impliquer dans l’atténuation des risques. »

Ajout de carburant à leur feu: la probabilité de plus de pression réglementaire du gouvernement. Par exemple, la Securities and Exchange Commission (SEC) a lancé de nouvelles règles qui obligeraient les sociétés cotées en bourse à divulguer leurs pratiques de gouvernance de la cybersécurité, y compris la façon dont les conseils supervisent les cyber-risques. L’annonce a provoqué un débat et une controverse considérables. Et bien que les organisations ne soient pas tenues de nommer des membres qui connaissent des problèmes technologiques ou de cybersécurité, les règles proposées de la SEC exigeaient qu’ils divulguent s’ils l’ont fait.

Cela pourrait être problématique pour de nombreuses organisations, car les membres du conseil d’administration proviennent généralement des milieux commerciaux plutôt que informatiques. En effet, alors que le pourcentage d’entreprises publiques avec des administrateurs axés sur la technologie a augmenté récemment, il n’a toujours que 17% d’environ 17%

Certes, les bons cisos sont de plus en plus difficiles à trouver, mais cela ne le fera pas, dit la SEC. « La cybersécurité fait déjà partie des principales priorités de nombreux conseils d’administration, et les incidents de cybersécurité et autres risques sont considérés comme l’une des plus grandes menaces pour les entreprises », a expliqué la commission tout en faisant la promotion de son changement de règle. « En conséquence, les investisseurs peuvent trouver une divulgation de savoir si des membres du conseil d’administration ont une expertise en cybersécurité pour être importants car ils considèrent leur investissement dans le titulaire, ainsi que leurs votes sur l’élection des administrateurs du déclarant. »

Alors, comment les membres du conseil d’administration contestés par la technologie peuvent-ils se mettre à jour sur la cybersécurité? Les experts disent qu’il ne nécessite pas d’identification de professionnel de la sécurité des systèmes d’information certifiée (CISSP) ou de marcher à la place du CISO pendant une journée (bien qu’aucune approche ne ferait de mal). Ils suggèrent plutôt quelques étapes pour résoudre les règlements à venir et offrir une meilleure surveillance.

1. Nommez au moins un expert en cybersécurité au conseil d’administration

Le Dr Keri Pearlson, directeur exécutif de la cybersécurité chez MIT Sloan (CAMS), étudie l’intersection de la technologie et des affaires depuis plus de 30 ans et publie de nombreux articles impliquant la cybersécurité. Il était donc logique que le TMF Health Quality Institute, qui recherchait une expertise en cybersécurité pour répondre aux menaces croissantes de cybersécurité dans cette industrie, demanderait à Pearlson de rejoindre son conseil d’administration.

Alors que d’autres membres du conseil ont intérêt, perspectives et une certaine expérience en cybersécurité, Pearlson dit que son rôle est de fournir des perspectives et des conseils plus profonds sur des questions clés.

«Je pense que les conseils sont plus matures et les membres comprennent cette responsabilité», dit-elle. «Ils gèrent les risques commerciaux et la cybersécurité est un risque commercial. Mais ils ne sont pas les mêmes, et donc une partie de mon travail consiste à examiner les décisions de cybersécurité qu’ils prennent pour s’assurer qu’elles sont saines. »

Certaines entreprises construisent des bancs encore plus profonds dans l’expertise en cybersécurité. Une enquête Gartner prédit 40% des conseils d’administration auront également un comité dédié à la cybersécurité d’ici 2025, contre 10% aujourd’hui.

« De nombreux conseils d’administration forment des comités dédiés qui permettent de discuter des questions de cybersécurité dans un environnement confidentiel, dirigé par une personne jugée considérablement qualifiée », a déclaré Sam Olyaei, directeur de recherche chez Gartner, dans un communiqué.

2. Faites de la gouvernance de la cybersécurité un élément clé de l’agenda

Les statuts des entreprises exigent que les conseils d’administration se réunissent au moins une fois par an, mais la fréquence a tendance à varier selon l’État. Dans certains cas, ce sera deux ou quatre fois par an. Dans la situation idéale, selon les experts, la cadence devrait être toutes les six à huit semaines.

C’est en grande partie parce que les problèmes commerciaux et de risques peuvent changer sur un centime, et si un conseil prend des décisions en janvier, il peut ne plus être pertinent des semaines ou des mois plus tard. Cela est particulièrement vrai avec la cybersécurité, qui doit être un sujet de discussion régulier sur chaque agenda, explique Marshall.

«Lorsque je conseille les conseils d’administration, je les encourage à faire entrer un CISO et faire un rapport rapide à chaque fois», dit-il. «Cela donne des relations CISOS avec le conseil d’administration. Et cela aide à éduquer les membres du conseil d’administration, surtout si les CISO savent comment leur parler du point de vue des entreprises. »

3. Regardez au-delà des risques de résilience

Pearlson affirme que les membres du conseil d’administration ont besoin d’une approche différente de la cybersécurité: au lieu de le considérer comme étant uniquement sur l’atténuation des risques technologiques, ils devraient également hiérarchiser la résilience, ce qui inclut la façon dont ils se remettraient d’une cyberattaque réussie.

Cela nécessite une volonté de passer des attaques croyantes pour la plupart évitables, à reconnaître qu’ils se produiront, vous avez donc besoin d’un plan pour minimiser les dégâts, dit-elle.

«En tant que membre du conseil d’administration, vous devez prendre le point de vue que chaque entreprise connaîtra probablement une violation ou une attaque quelconque», explique Pearlson. «Vous voulez également savoir que votre entreprise peut absorber et récupérer rapidement sans temps d’arrêt. Je veux dire, ne serait-il pas génial que votre entreprise subisse un cyber-incident mais n’a subi aucun coup financier? Aucune perte de données? Pas de temps d’arrêt du système? Pas de dommages de réputation? C’est la vision de l’endroit où nous devrions aller avec la cybersécurité. »

4. Obtenez une formation – les compétences en cyber-aliments alimentent la cyber-gouvernance plus intelligente

Les experts disent que même avec une cybersécurité désignée au conseil d’administration, la plupart des membres seraient meilleurs dans leur travail s’ils avaient un peu de formation dans la discipline. Pearlson, par exemple, note son collège, le Massachusetts Institute of Technology, propose des cours spécialement conçus pour familiariser les membres du conseil d’administration avec les fondamentaux de la gouvernance de la cybersécurité.

En outre, Marshall recommande d’envisager de travailler avec des assureurs de cyber-assurance qui ont un intérêt acquis à garantir que leurs abonnés restent aussi sûrs que possible.

Les consultants extérieurs peuvent être une autre option efficace, ajoute-t-il.

5. Rassemblez-vous – maintenant

Les membres du conseil d’administration et les CISO ne parlent pas toujours la même langue, mais ils trouvent de plus en plus un terrain d’entente, explique Pearlson. Elle recommande aux membres du conseil d’administration de forger de meilleurs liens avec les CISO pour rester plus près des problèmes de cybersécurité vitaux.

«Bien que l’invitation des CISO à se présenter au conseil d’administration aide à l’identité, il ne établit pas de liens solides entre les membres du conseil d’administration et les dirigeants de la sécurité», dit-elle.

Pearlson ajoute que ses recherches ont révélé que certains membres du conseil d’administration et CISO se connectent de manière proactive entre les réunions exécutives pour discuter des titres de la cybersécurité et des incidents potentiellement dommageables. Parce qu’ils se familiarisent plus, ils ont tendance à être mieux préparés pour s’associer pour lutter contre les incidents de cybersécurité à mesure qu’ils surviennent.

« Un cyber-incident n’est pas le moment de construire un pont », explique Pearlson. «Cela devrait se produire bien avant que des conversations difficiles aient lieu.»

Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.