À la suite des différentes brèches de sécurités survenues ces dernières années, par exemple la fuite de données personnelles de Capital One ou le vol chez Desjardins, la cybersécurité est devenue une préoccupation majeure pour les sociétés de services financiers.
Les améliorations technologiques s’accompagnent de nouveaux cyberrisques et la gestion de ces risques demande un travail constant. Les conseils d’administration en sont conscients et consacrent désormais à la cybersécurité beaucoup de temps et de moyens, rapporte une étude récente menée par McKinsey.
Les conseils d’administration s’ajustent
Les mesures prises récemment par les conseils d’administration (CA) reflètent l’attention accrue des sociétés financières pour les cyberrisques. Ainsi la grande majorité des CA (95 %) discutent des enjeux de cybersécurité et des risques technologiques au moins quatre fois par an.
Ce souci des cyberrisques se reflète également dans la composition des CA. Les entreprises recrutent de plus en plus d’experts en la matière. Ainsi 65 % des répondants ayant participé à l’étude de McKinsey comptent au moins un membre dans leur CA possédant une expertise en matière de cybersécurité ou de risques technologiques.
Certains CA (environ 22 %) créent même un comité technologique pour superviser la cybersécurité de l’entreprise.
L’attention croissante portée à la cybersécurité se reflète également dans la façon dont les entreprises rendent compte de ces risques à leurs CA. Plus de la moitié des entreprises (65 %) intègrent les questions liées à la cybersécurité et à la résilience opérationnelles dans leurs rapports du CA. Ces rapports diffèrent beaucoup d’une entreprise à l’autre. Certains rapportent des indicateurs clés de risque ou de performances, d’autres se concentrent sur des mesures techniques, comme la détection de logiciels malveillants.
Environ la moitié des entreprises (48 %) organisent régulièrement des exercices de cybersécurité impliquant leur CA pour accroître sa sensibilisation et ses connaissances, car l’on sait maintenant que les premières réponses lors d’un incident déterminent en grande partie l’issue de la crise.
Vers une stratégie de cybersécurité plus intégrée
McKinsey estime que les CA, lorsqu’ils cherchent à orienter leur cyberstratégie devraient s’inspirer des organisations qui ont déjà mis en place une stratégie de gestions des risques. Selon eux, ces stratégies comportent trois principaux éléments :
- Fournir aux CA des outils efficaces pour évaluer les risques technologiques : ainsi ceux-ci seront au courant des risques et seront capables de savoir lesquels sont dans les limites de tolérance et ceux qui ne le sont pas. Cela leur permettra de faire les investissements technologiques nécessaires.
- S’assurer que les CA dispose des connaissances et compétences nécessaires : organiser des séances de sensibilisation au moins une fois par trimestre et des formations supplémentaires si nécessaires.
- Intégrer les risques liés à la technologie au risque opérationnel : les CA se concentrent sur la transformation numérique de leurs entreprises et certains intègrent dans leurs stratégies technologiques la cybersécurité.
McKinsey estime que les compagnies qui ne sont pas familières face à ces problèmes devraient prendre exemple sur d’autres entreprises plus avancées sur le sujet.