Pour parcourir les membres du conseil d’administration, les chefs de cybersécurité doivent non seulement apprendre le langage des affaires, mais aussi comment traduire le cyber-risque d’une manière que les membres du conseil d’administration peuvent comprendre.
S’engager avec succès avec le conseil d’administration peut ne pas faire ou défaire la carrière d’un CISO, mais cela devient une compétence de plus en plus importante – en particulier car les conseils soucieux des risques recherchent des informations stratégiques de sécurité.
Le défi ne consiste pas seulement à présenter des informations techniques – il aligne la sécurité avec les priorités et les objectifs commerciaux du conseil d’administration.
Cependant, les CISO peuvent avoir du mal à déchiffrer les signaux concernant exactement ce que les conseils font et ne veulent pas entendre, mais il existe des moyens de décoder leurs attentes et de s’engager efficacement.
Trouvez un allié sur le tableau
Trouver un supporter ou un défenseur peut aider les CISO à aligner leurs propres rapports sur les exigences du conseil et à développer un meilleur engagement. «Obtenez un champion du conseil d’administration pour aider à identifier exactement ce que le conseil d’administration veut entendre», explique Stephen Bennett, groupe CISO chez Dominos.
Les CISO peuvent passer beaucoup de temps à essayer de déterminer ce que le conseil d’administration veut et de créer toutes sortes de différents types de rapports dans l’espoir de bien faire les choses, mais il est plus facile d’aller à la source.
Il a réalisé qu’il devrait combler l’écart pour le conseil d’administration et a pu développer un glossaire de termes et un livre blanc expliquant des cadres de conformité et des normes pertinentes pour l’organisation. Il a fourni des informations fondamentales et s’est assuré qu’ils utilisaient tous une langue commune.
«L’idée est que ces deux articles changent rarement parce que les exigences de conformité et les cadres pour gérer les risques sont relativement les mêmes dans les évaluations de l’échéance», dit-il.
Avec les bases couvertes, Bennett a ensuite pu utiliser ses rapports réguliers pour les mises à jour sur la façon dont ils atténuent les risques pour l’organisation et renforcer la valeur de l’investissement dans le cyber. «Je vais expliquer où nous sommes du point de vue de la maturité, les choses que nous avons faites l’année dernière, les choses que nous devons faire l’année prochaine et le type de budget dont nous avons besoin», dit-il.
Cette expérience l’a aidé à changer son approche en fournissant des rapports de risques qui se lisent davantage comme un registre des risques à une évaluation stratégique des risques dans la langue de l’entreprise. Un changement de ligne de reportage au directeur financier l’a également aidé à élaborer des rapports axés sur les entreprises.
Décoder ce que le conseil d’administration veut des dirigeants de la sécurité
Les chefs de cybersécurité ont besoin de contacts réguliers avec des conseils d’administration pour favoriser la familiarité et la compréhension. Sans cela, un manque de clarté peut conduire à une superficie de détails techniques ou à ne pas fournir un contexte stratégique suffisant.
Paul Connelly, ancien conseiller du conseil d’administration de CISO, directeur et mentor indépendant, trouve que de nombreux CISO se concentrent trop fortement sur les mesures tandis que le conseil d’administration recherche des informations plus stratégiques. Le conseil d’administration n’a pas besoin de connaître les résultats de votre test de phishing, explique Connelly. Les conseils sont axés sur les risques auxquels l’organisation est confrontée, les stratégies pour lutter contre ces risques, les mises à jour de progrès, les obstacles au succès et s’ils s’attaquent aux bonnes choses.
«J’entraîne les CISO pour étudier leur conseil d’administration – lire leur BIOS, comprendre leurs antécédents et comprendre la responsabilité fiduciaire d’un conseil d’administration», dit-il. L’objectif est de comprendre la composition du conseil d’administration et de leurs priorités et de canaliser leurs mesures en analyse des risques et des menaces pour l’entreprise.
Cependant, ce n’est pas une interaction à sens unique, mais de nombreux cisos s’engagent avec des conseils qui n’ont pas les compétences et la compréhension appropriées pour favoriser des discussions significatives sur les cyber-menaces. «Très peu de conseils ont des réalisateurs ayant une véritable expertise en technologie ou en cyber», explique Connelly.
Selon un rapport de Diligent Institute, diligente de 2024, seulement 5% des entreprises ont des experts en cybersécurité, ce qui suggère que la majorité des conseils ont du mal avec la surveillance de la cybersécurité.
Bien que la technologie fasse partie intégrante de l’innovation et de la croissance, et que les risques associés sont parmi les plus grands et les plus compliqués que la plupart des entreprises sont confrontées, de nombreux conseils n’ont pas les compétences nécessaires pour aborder le sujet. «Ils sont en caoutchouc ce que la direction présente ou posant les cinq premières questions en conserve qu’ils lisent dans un article de McKinsey, mais ne sont pas en mesure de sonder davantage dans les réponses qu’ils obtiennent», explique Connelly.
Il suggère que les CISO incluent de brèves vidéos de formation, mettent des exercices de table à table ou incluent des documents éducatifs supplémentaires dans leur livre de conseil trimestriel. «Tout ce qui contribuera à combler le vide de l’expertise.»
Aller au-delà des questions oui ou non et la déconnexion entre le conseil d’administration et la cybersécurité
Il y a une déconnexion importante entre les vues des CISOS des priorités de cybersécurité et leurs conseils dans une gamme de zones. Selon le rapport Splunk Ciso, les CISO sont plus susceptibles de penser que la profondeur des connaissances est une compétence importante, tandis que les conseils veulent que les CISO soient meilleurs pour communiquer et avoir un sens des affaires plus élevé. En outre, les conseils sont plus susceptibles que les CISO d’insister sur les tests de validation pour les contrôles de cybersécurité existants et la conformité de la réflexion indique le succès.
Cette lacune dans la cyber-compréhension peut laisser les réalisateurs mal équipés pour tirer le meilleur parti des CISO et de leur expertise.
« Vous devez apprécier que certains membres du conseil d’administration seront très intéressés par la cybersécurité et que certains ne le seront pas. Parfois, vous devez présenter le rapport à toute la gamme des membres du conseil d’administration – certains veulent des détails infinis, tandis que d’autres veulent juste entendre: » Est-ce que tout va bien, oui ou non? » dit Bennett.
Pour aller au-delà des questions «oui» et «non» et fournir au conseil d’administration de précieuses idées contextuelles et de conseils stratégiques, les CISO ont besoin de plus que des exercices de vérification. Bennett a constaté que s’appuyer sur des sources d’informations supplémentaires est un moyen efficace de déballer les risques et les implications du monde réel pour l’entreprise. «Je ne dirai pas seulement:« Ce sont les risques ». Je vais fournir un contexte pour les aider à comprendre les choses plus profondément», explique Bennett.
Les articles de presse sur les incidents de sécurité peuvent être liés aux contrôles de sécurité, comment le budget est appliqué et ce que cela signifie pour le niveau de risque et les temps de réponse de l’organisation s’ils sont confrontés au même type de menace. «Au lieu de simplement donner des chiffres, je vais leur montrer comment notre investissement a fonctionné. Par exemple, comment nous sommes passés de l’abandon de cinq membres de l’équipe trois jours pour résoudre un incident, pour le résoudre en quatre heures avec une visibilité complète», dit-il.
Trouver des occasions de s’engager avec les membres du conseil d’administration en dehors des réunions officielles est un autre moyen puissant pour les CISO d’améliorer leurs échanges avec les membres du conseil d’administration.
Que ce soit par le biais de comités ou de réunions individuelles ad hoc, ces engagements aident à développer les relations avec les membres du conseil d’administration, selon le rapport IANS 2025 State of the CISO.
Connelly pense que c’est un autre facteur important dans une relation de travail réussie entre le CISO et le conseil d’administration. Pendant son séjour en tant que CISO, il a été invité à monter à bord des dîners et a vraiment connu les membres du comité d’audit.
«Ce niveau d’accès et de confort a facilité de bonnes discussions où les membres du conseil d’administration étaient à l’aise de poser des questions», dit-il.
