La cybersécurité est un enjeu majeur. Par conséquent, la supervision du conseil d'administration est cruciale pour une atténuation efficace. Cependant, selon un sondage récent de la National Association of Corporate Directors (NACD), moins de 15 % des administrateurs expriment une haute satisfaction quant aux informations sur la cybersécurité fournies par la direction. Voici quelques conseils pour améliorer les discussions au niveau du conseil d'administration sur la cybersécurité.

Ce dont votre conseil d'administration a besoin

Les conseils offrent une supervision stratégique tandis que la direction gère l'exécution, ce qui inclut la gestion des risques cyber. Indépendamment de l'industrie, des régulations ou de l'empreinte géographique, les conseils recherchent généralement de la direction une traduction des détails techniques en termes commerciaux—mettant en évidence les risques, les opportunités et les implications stratégiques.

Voici des questions que les membres du conseil d'administration devraient poser aux DSI (et les questions auxquelles les DSI devraient être en mesure de répondre clairement):

1. Quelle est notre appétence pour le risque cybernétique?

2. Quels sont les indicateurs les plus importants que nous utilisons pour surveiller et évaluer le risque pour l'entreprise?

3. Quel est le cas d'affaires pour la cybersécurité? Autrement dit, comment la cybersécurité peut-elle permettre d'autres fonctions commerciales dans l'entreprise?

4. Quels sont les niveaux de risque interne et externe?

5. Comment mesurons-nous l'efficacité du programme de cybersécurité de notre organisation et comment se compare-t-il à ceux d'autres entreprises? Par exemple, comment suivons-nous la sensibilisation à la cybersécurité dans l'organisation à travers des indicateurs tels que la conformité aux politiques, la mise en œuvre et la réalisation des programmes de formation?

6. Comment évaluons-nous la position de risque cybernétique de nos fournisseurs, vendeurs, partenaires de coentreprise et clients?

7. Quelle part de notre budget informatique est consacrée aux activités liées à la cybersécurité? Comment cette allocation se compare-t-elle à celle de nos concurrents ou à d'autres benchmarks externes?

8. Combien d'incidents de données l'organisation a-t-elle connus au cours de la dernière période de rapport? En entrant dans les détails, quelles sont les tendances, motifs et causes profondes critiques?

9. Quelle est l'étendue et la profondeur des activités de surveillance opérationnelle de la cybersécurité de l'entreprise ? Y a-t-il des domaines que nous ne surveillons pas, et si oui, pourquoi?

Comment fournir des indicateurs au niveau du conseil

Une fois que vous avez identifié ce dont votre conseil d'administration a besoin de savoir sur la cybersécurité, il est temps de partager des informations essentielles et des données à l'appui. Les membres du conseil d'administration recherchent un aperçu de l'état de la cybersécurité de l'organisation et de l'impact commercial des risques cyber. Au lieu de détails techniques excessifs ou de métriques opérationnelles, vous devez vous concentrer sur les points clés.

Voici des principes à garder à l'esprit lorsque vous préparez des rapports pour le conseil :

1. Assurez-vous que toutes les données que vous partagez sont pertinentes pour le contexte commercial de l'organisation et que les données peuvent être comprises par le public.

2. Soyez concis! Évitez de fournir trop d'informations. Éliminez le jargon technique.

3. Les graphiques sont vos amis. Minimisez le texte en incluant des illustrations et des visuels pour transmettre vos points clés.

4. Communiquez les idées sur ce que signifient les données. Les métriques doivent inclure l'analyse des changements, des tendances et des motifs au fil du temps, montrer la performance relative et indiquer l'impact.

5. Souvenez-vous toujours que les rapports au niveau du conseil doivent permettre la discussion et le dialogue stratégiques entre les directeurs et la haute direction.

Les menaces cyber sont réelles, et les investisseurs, les dirigeants et les membres du conseil peuvent travailler ensemble pour les atténuer.