Avec les conseils d’administration, les régulateurs et les investisseurs qui ont révélé la chaleur, les chefs d’entreprise, pas seulement les CISO, sont confrontés à des conséquences financières et juridiques pour les violations de données.
Début septembre, le conseil d’administration de Qantas Airways, basé en Australie, a voté pour pénaliser la PDG Vanessa Hudson et d’autres cadres supérieurs pour un cyber-incident du 30 juin qui a exposé les informations personnellement identifiables de près de 6 millions de passagers, déduisant 800 000 $ (522 000 $ US) de leurs bonus.
La dernière fois, il a été connu publiquement qu’un conseil d’administration a retenu l’indemnisation d’un PDG pour une violation de la cybersécurité était en 2017, lorsque le conseil d’administration de Yahoo a rejeté la PDG Marissa Mayer son bonus de 2 millions de dollars sur la mauvaise gestion de plusieurs violations qui ont exposé les informations personnelles de plus d’un milliard d’utilisateurs.
Si la décision du conseil d’administration de Quantas prédit une nouvelle ère de la tenue des PDG financièrement responsables de la cybersécurité, il représentera un changement de bienvenue pour les CISO, selon les experts.
«Cet exemple n’est que le dernier dans une série de cas où la responsabilité est passée aux niveaux d’organisations les plus élevés», ajoute Sullivan. «Croyez-moi, cette action volontaire du conseil a attiré beaucoup d’attention et beaucoup d’éloges positives de la communauté de la sécurité. C’était le discours de la ville lors d’événements de sécurité que j’ai rejoints à Londres et à San Francisco.»
Une action en justice croissante et une réglementation transfèrent également la responsabilité aux PDG
Le PDG d’amarrage PAD, au moins publiquement, est une étape rare pour les conseils d’administration des entreprises, en particulier en ce qui concerne les incidents de cybersécurité. Dans un communiqué, le conseil d’administration de Quantas a déclaré: «Malgré la forte performance (financière), le conseil a décidé de réduire les primes annuelles de 15 points de pourcentage à la suite de l’impact du cyber
Le président de Qantas, John Mullen, a souligné que le PDG et la direction ont répondu rapidement pour aider les clients, mais le conseil d’administration s’est rendu compte que l’incident était grave et méritait des ramifications financières, probablement pour rappeler tangibles que les PDG devraient prêter plus d’attention à l’état de cybersécurité souvent surplombé de leurs organisations.
La décision de Qantas intervient au milieu des agences gouvernementales et des régulateurs intensifiant des sanctions légales pour les PDG à la suite de violations.
En 2022, par exemple, la Federal Trade Commission des États-Unis a tenu James Rellas, PDG du service de livraison d’alcool Drizly, qui fait désormais partie d’Uber Eats, personnellement responsable de la présidence de la société à mettre en œuvre et à appliquer les pratiques de sécurité des informations appropriées, ce qui a conduit à une violation de données qui a exposé 2,5 millions d’informations personnelles des consommateurs.
En vertu des nouvelles règles adoptées par la Securities and Exchange Commission des États-Unis (SEC) en 2023, les PDG et les directeurs financiers sont confrontés à des pénalités personnelles et professionnelles importantes pour ne pas superviser, signaler ou faire des divulgations précises concernant les incidents de cybersécurité matériels, avec la SEC capable d’imposer des amendes à ces dirigeants qui peuvent se situer dans des millions de dollars pour toute violation.
Au niveau de l’État américain, les lois sur les violations de données comme la California Consumer Privacy Act et la New York Shield Act imposent une responsabilité directe aux PDG pour la gouvernance de la cybersécurité et la réponse à la violation. Dans l’UE, en vertu de la NIS2 (directive des systèmes d’information et de l’information) et DORA (Digital Operational Resilience Act), les PDG peuvent être personnellement tenus responsables et exposés à des sanctions importantes pour enfreindre les règles de cybersécurité.
Que devraient faire les CISO et PDG maintenant?
Les cisos, qui ont historiquement porté le poids des violations et des cyber-incidents malveillants, devraient prendre attention à cette tendance émergente. «Soyez conscient de l’environnement et des attentes aujourd’hui, et où ils se dirigent», explique Tully de Redgraves. «Essayez de sortir devant cela. Vous devez travailler avec votre conseil d’administration et votre équipe de direction pour les faire prendre ces choses très au sérieux.»
Et, comme les attaques de ransomwares et les cyber-incidents infligent de plus en plus de dégâts aux entreprises, les investisseurs extérieurs commencent à exiger plus de responsabilité des PDG. «Les entreprises qui fournissent un capital-risque ou qui font de nombreuses acquisitions, elles examinent maintenant la diligence raisonnable sur les cyber et les fronts de confidentialité presque au même niveau que la diligence raisonnable financière en raison de l’importance croissante», explique Tully.
Quant aux PDG, ils doivent travailler plus étroitement avec leurs conseils pour les brancher sur la violation de données de l’organisation et les livres de jeu de réponse aux incidents. « Le conseil d’administration doit être foré, pratiqué et pleinement conscient du risque afin que, lorsque cela se produit, ils ont la mémoire musculaire et la capacité de communication à y faire face », dit MEE d’Oliverwyman. « Parce que sans ça, ça va mal tourner rapidement. »
Les conseils, pour leur part, semblent monter rapidement dans la courbe d’apprentissage. «De plus en plus, les conseils prennent cela au sérieux», dit Mee. «J’interagis avec beaucoup de conseils.
Au fur et à mesure que les PDG et les conseils avançaient, il devrait être clair que la violation de données s’arrête avec les PDG et non les CISO et leurs équipes de sécurité. «Dans le passé, vous avez mis énormément de fardeau de protection et de désintégration sur un individu qui a peut-être été coupé d’un tissu différent et qui peut également ne pas avoir le pouvoir, l’influence et la capacité de gouvernance à influencer le changement nécessaire pour la sécurité», explique Mee.
Sullivan déclare: «Aucune équipe de sécurité ne peut en elle-même sécuriser une entreprise d’attaquants, car la culture de l’entreprise, la tolérance aux risques et l’investissement dans des systèmes sécurisés sont définis collectivement par le PDG.»
