Les recherches montrent que les RSSI et les conseils d’administration doivent changer leur approche.
La cybersécurité est, comme elle devrait l’être à l’ère des cyberattaques basées sur l’IA, un sujet régulier à l’ordre du jour des conseils d’administration des entreprises. Cependant, la manière dont les RSSI et les conseils d’administration interagissent, ainsi que la profondeur de ces discussions, restent brèves et superficielles.
Selon un nouveau rapport de l’IANS, Artico Search et The CAP Group, les interactions entre les RSSI et les conseils d’administration restent courtes (généralement 30 minutes par trimestre), manquent de profondeur autour des menaces, en particulier celles posées par l’IA et d’autres technologies émergentes, et relèvent davantage de « l’écoute » que de la participation active.
« Le secteur est encore en pleine maturité et le « bon » est une cible mouvante », a déclaré Nick Kakolowski, directeur principal de la recherche RSSI à l’IANS. « Les RSSI et les conseils d’administration continuent de développer un vocabulaire commun pour contextualiser et comprendre les implications commerciales à long terme des cyberproblèmes. »
Les RSSI ne bénéficient pas d’un « temps d’antenne prolongé » lors des réunions
Selon l’étude, seulement 30 % des conseils d’administration décrivent leur relation avec les RSSI comme « solide et collaborative », tandis que 35 % la qualifient de « adéquate et fonctionnelle » et 24 % déclarent qu’elle doit être améliorée.
Cela indique qu’une confiance et un partenariat profonds restent « inégaux et loin d’être universels », note le rapport.
La majorité des plus de 650 RSSI interrogés (95 %) ont déclaré qu’ils rendaient régulièrement compte à leur conseil d’administration, au moins sur une base trimestrielle. Parmi eux, 60 % s’engagent auprès de l’ensemble du conseil d’administration et 35 % auprès d’au moins un comité du conseil d’administration. Cependant, les trois quarts des responsables de la sécurité ont déclaré que ces discussions ne duraient généralement que 30 minutes.
« Les mises à jour sont souvent très limitées dans le temps et acheminées vers les comités plutôt que vers l’ensemble du conseil d’administration », note le rapport.
Il cite un RSSI anonyme d’une société de services financiers cotée en bourse, qui a déclaré : « Les rapports que je présente suscitent de l’intérêt, mais presque aucun suivi. Le conseil d’administration traite la cybersécurité comme quelque chose dont il faut être informé – et non comme quelque chose à expérimenter ou à enquêter. »
D’un autre côté, les 25 % des RSSI qui disposaient d’un « temps d’antenne prolongé » de plus de 30 minutes ont déclaré que la cybersécurité était traitée comme un sujet plus stratégique plutôt que comme une simple case à cocher ou une discussion de statut. Dans ces cas-là, les conseils d’administration sont en mesure de procéder à « des compromis, à une tolérance au risque et à une prise de décision » plutôt que de se contenter de mesures, selon le rapport.
Les conseils d’administration sont « constamment informés » de nos jours, mais nombre d’entre eux ont encore du mal à traduire les rapports sur la cybersécurité en prise de décision stratégique, a déclaré Kakolowski. Les dirigeants souhaitent avoir une vision plus claire de ce qui va suivre, d’autant plus que l’IA remodèle le paysage des menaces et des risques d’entreprise.
En conséquence, les RSSI doivent renforcer leurs relations au sein de l’entreprise et leur connaissance de celle-ci, afin de soulever les bonnes questions auprès du conseil d’administration et de créer des opportunités de « conversations significatives sur les risques », a-t-il déclaré, même si celles-ci se déroulent en coulisses ou au niveau des sous-comités.
Steve Martano, membre du corps professoral de l’IANS, a convenu que les meilleures présentations sur la sécurité sont des « discussions holistiques » sur les cyber-risques et les risques commerciaux. Celles-ci sont pilotées par des RSSI qui forment un « récit concis et axé sur les données » et favorisent la discussion et le brainstorming autour de la tolérance au risque, de la stratégie de risque, des risques cyber et technologiques dans le contexte du retour sur investissement.
Les conseils d’administration veulent des informations plus prospectives
Le rapport suggère également que la communication entre les conseils d’administration et les RSSI n’entre pas aussi profondément dans les détails qu’elle le devrait à l’heure où les cyberattaques sont de plus en plus sophistiquées et basées sur l’IA.
La majorité des administrateurs (82 %) déclarent que les rapports de leurs responsables de la sécurité sur les tendances réglementaires étaient satisfaisants ou excellents, et qu’ils disposaient d’une forte visibilité sur les initiatives du programme, les risques actuels et les besoins en ressources. Cependant, environ la moitié ont déclaré que les rapports des responsables de la sécurité dans d’autres domaines, notamment les menaces liées à l’IA et à d’autres outils émergents, devaient être améliorés.
Cela semble indiquer que les conseils d’administration cherchent à aller au-delà des conversations de haut niveau pour s’orienter vers des perspectives plus prospectives. L’IA est désormais l’un des principaux moteurs du cyber-risque, permettant des attaques plus sophistiquées ; dans le même temps, cela introduit de nouveaux domaines de perte, car les modèles d’IA deviennent des actifs de grande valeur qui peuvent être exploités ou endommagés, a déclaré Brian Walker, PDG du groupe CAP.
« L’IA et la cybersécurité sont inextricablement liées, et les conseils d’administration doivent comprendre les risques commerciaux des deux », a-t-il déclaré.
De même, les conseils d’administration interagissent régulièrement avec des tableaux de bord et des cadres, mais moins de la moitié d’entre eux (41 %) participent à des exercices théoriques, à des simulations de crise, à des protocoles de remontée d’incidents ou à d’autres formations.
« En d’autres termes », note le rapport, « les conseils d’administration sont bien informés sur le papier, mais ne sont souvent pas confrontés aux cyber-risques, ce qui suggère une surveillance plus passive qu’active ». Cela suggère que les RSSI n’aident pas les conseils d’administration à anticiper la « dynamique des risques en évolution rapide » du paysage des menaces actuel.
En fin de compte, souligne le rapport, cela renforce un schéma familier : les mises à jour expliquent efficacement l’état actuel, mais sont moins efficaces pour préparer les administrateurs à ce qui va suivre.
La participation du conseil d’administration est essentielle pour la cybersécurité
Il est essentiel d’obtenir l’adhésion du conseil d’administration, car les données et les capacités numériques font partie intégrante de la stratégie commerciale. Les risques créés par les technologies émergentes et les méthodes d’utilisation des données ont par conséquent « un impact plus important sur la santé d’une organisation », a déclaré Kakolowski.
Dans les organisations les plus axées sur la sécurité, les RSSI sont « profondément conscients » des risques les plus importants pour l’entreprise et sont capables de contextualiser les problèmes de cybersécurité dans ces risques, a-t-il déclaré. « Ils ne mettent pas le conseil d’administration au courant des questions liées à la cybersécurité ; ils façonnent l’agenda cyber autour des risques qui comptent pour le conseil d’administration et, implicitement, pour l’organisation dans son ensemble. »
Ce qu’il faut retenir pour les RSSI : utilisez vos connaissances en matière de sécurité pour déterminer la tolérance au risque de l’organisation et gérer les risques en conséquence. En termes simples, l’établissement d’une relation solide avec le conseil d’administration nécessite un changement de mentalité, « passant du rôle de leader en sécurité essayant de prévenir les violations à celui de chef d’entreprise en partenariat avec l’équipe de direction », a déclaré Kakolowski.
