Un rapport de McKinsey & Company a révélé que les cyber-attaques pourraient engendrer, au niveau mondial, 2.000 milliards d'euros de pertes d'ici à 2020 si les entreprises et les gouvernements tardent à agir. Alors qu'elles s'intensifient et deviennent de plus en plus préjudiciables pour les entreprises - avec à la clé, le risque de perte de propriété intellectuelle, d'avantage concurrentiel, de données clients et un impact négatif sur la performance et la réputation -, les dirigeants d'entreprises se sentent pourtant encore trop peu concernés par la cybersécurité.

D'après une récente étude VMware, seulement 11% des dirigeants français, contre 8% dans la région EMEA, considèrent, la cybersécurité comme une priorité. De même, selon le Baromètre des risques 2016 d'Allianz, même si les entreprises sont de plus en plus conscientes des cyber-risques - pour la  première fois, les incidents de cyber-sécurité se classent parmi les 3 premiers risques d'entreprise dans le monde - beaucoup sous-estiment encore leurs conséquences potentielles.

Dans un contexte où de nombreuses sociétés de secteurs très divers ont été victimes de cyber-attaques aux conséquences majeures et dans un cadre réglementaire en perpétuelle mutation, les conseils d'administration ont pourtant un rôle déterminant à jouer. Jusqu'à présent, la cyber-sécurité restait une composante secondaire du budget informatique de l'entreprise. Elle constitue désormais une priorité en matière de compétitivité des entreprises et de crédibilité pour son management.

Une prise de conscience nécessaire face aux évolutions réglementaires

En matière de sécurité informatique et industrielle, en Europe et en France, la pression législative s'intensifie et des réglementations majeures ont été mises en place. Nous sommes passés en 2016 d'une approche « recommandations, lignes directrices et sensibilisation » à un mode « obligations règlementaires ».

Ces nouvelles réglementations sur la protection des risques informatiques ont été conçues pour que toutes les entreprises prennent conscience de la nécessité d'assurer une cybersécurité de pointe. En ce sens, le vote du Parlement européen en faveur du Règlement européen sur la protection des données a ouvert la voie le 14 avril 2016  à des sanctions pouvant aller jusqu'à 100 millions d'euros et 5 % du chiffre d'affaires global des sociétés en cas de perte de données, le montant le plus important étant retenu. Il introduit la notion de responsabilité des acteurs économiques au plus haut niveau de l'entreprise, dans la gouvernance des risques informatiques et la prévention de fuites de données massives. Aujourd'hui, la cybersécurité n'est donc plus juste un problème de conformité, mais bien à considérer comme un risque d'entreprise. Malgré tout, les discussions qu'ont les conseils d'administration sur la question de la cybersécurité n'apportent pas d'améliorations suffisantes aux cyber-défenses des organisations.

Selon une étude Opinion Way, 54% des dirigeants d'entreprise estiment que la cyber-sécurité est un sujet qui est du ressort de la Direction informatique et 24% seulement de la Direction Générale. Une cybersécurité efficace commence pourtant par une prise de conscience de la part des membres du conseil d'administration et des hauts dirigeants qui doivent reconnaître que l'entreprise peut faire l'objet d'une attaque à tout moment.

Il ne suffit plus d'intervenir de façon ponctuelle en cas d'incidents, ni même de tenir une discussion trimestrielle sur la cybersécurité. Il s'agit  d'en faire un objet d'attention constante au premier plan des ordres du jour dans les conseils d'administration. Ils doivent pouvoir identifier les menaces les plus importantes et comprendre comment ces dernières peuvent mettre en danger leurs entreprises. Mais dans ce contexte, ils sont encore nombreux à se demander comment accroître l'efficacité de cette mission, quelles sont leurs responsabilités et surtout quelles compétences qu'ils devraient perfectionner.

Une nouvelle approche s'impose dans les conseils d'administration

Il n'existe aucune solution universelle quand il est question de cybersécurité ; les conseils d'administration doivent mettre en place des règles adaptées aux actifs à protéger.

Il s'agit tout d'abord de mettre en œuvre une politique globale de conformité afin d'éviter toute absence de communication entre le département informatique et le reste de l'entreprise : 1 décideur informatique sur 4 n'informe pas sa direction en cas de cyber-attaques. L'objectif premier est donc d'instaurer un dialogue transparent et régulier entre responsables informatiques et dirigeants.

Les conseils d'administration des entreprises doivent également se transformer et mettre en place un comité technologique intégrant des administrateurs indépendants certifiés, capables d'apporter leurs compétences sur la gestion des cyber-risques. Ce comité doit adresser d'une part la problématique de la gestion des risques en lien avec les opérations informatiques et la cybersécurité et d'autre part la gouvernance de la cybersécurité. Par ailleurs, il doit évaluer les cyber risques et leur contrôle, la gestion de crise et la façon dont sont gérés les incidents, les menaces et les vulnérabilités.

Si aucun administrateur ne sait comment gérer la question de la cybersécurité, offrir davantage de formations numériques aux administrateurs contribuerait à améliorer la situation. Les formations pour les administrateurs indépendants certifiés intègrent d'ailleurs de plus en plus de sessions leur permettant d'appréhender les questions relatives au Big Data, à la sécurité des données personnelles et à la cybersécurité... Ainsi, pour répondre aux besoins croissants du secteur, de plus en plus d'établissements d'enseignement supérieur apportent également leur pierre à l'édifice en se structurant pour offrir des formations dédiées. L'objectif est de permettre aux jeunes générations d'intégrer les questions cybersécurité et d'être en mesure d'appréhender, dans toutes leurs dimensions, les problématiques liées à la sécurité des systèmes d'information.

Les enjeux liés aux cyberattaques peuvent être majeurs et les membres d'un conseil d'administration ne doivent pas attendre qu'une attaque se produise pour évaluer les risques auxquels leur société est exposée. Lorsqu'une cyberattaque a lieu, il est impératif que les administrateurs soient prêts à affronter la situation.