Home » Posts tagged 'board'

Tag Archives: board

Cyber-risques – Que fait le Conseil d’Administration?

Le Conseil d’Administration est en charge de s’assurer de la création de valeur pour les parties prenantes de l’Entreprise tout en optimisant les risques et les ressources. Le Conseil d’Administration, organe de Gouvernance de l’entreprise est donc directement concerné par les cyber-risques.

Le conseil d'administration

« La SEC (organisme fédéral américain en charge de réguler et de contrôler les marchés financiers), la FTC (agence américaine chargée de contrôler les pratiques commerciales) ainsi que d’autres organismes de réglementation (fédéraux, d’état, mondiaux) ont renforcé leurs évaluations des Entreprises en matière d’efforts réalisés pour sécuriser les données, ainsi que concernant les informations et la communication sur les risques en matière de cybersécurité et de violations des données. » comme l’indique KPMG dans son rapport On the 2015 Board Agenda.

Réagissant au grand nombre et à l’ampleur des vols de données qui n’ont fait qu’augmenter durant la dernière décennie, les agences gouvernementales commencent tout juste à durcir le ton et à envoyer des signaux clairs que la sécurité constitue désormais un sujet prioritaire pour les Entreprises.

Le commissaire Luis A. Aguilar de la SEC (Securities and Exchange Commission), parlant au New York Stock Exchange (NYSE) le 10 Juin 2014, a clairement indiqué la position de la commission. « La surveillance des cyber-risques par le Conseil d’Administration est essentielle pour assurer que les entreprises prennent des mesures adéquates pour prévenir les cyber-attaques et se préparer à faire face aux préjudices qui peuvent en résulter », a-t-il dit. Il a également émis un avertissement clair sur le fait que « les Conseils d’Administration qui choisissent d’ignorer ou de minimiser l’importance de leur responsabilité de surveillance de la cyber-sécurité, le font à leurs risques et périls ».

Depuis lors, le commissaire Aguilar est de nouveau monté au créneau pour lancer un nouvel avertissement sur les cyber-risques. « Cela ne devrait être une surprise pour personne que la cybersécurité soit devenue un point focal des efforts d’application de la SEC durant ces dernières années. Il est d’ailleurs de notoriété publique que la Division d’Application de la SEC investigue actuellement plusieurs cas de violation de données, » a-t-il dit lors du Sommet SINET innovation le 25 juin 2015. « En outre, la SEC a examiné de façon proactive comment elle peut, en utilisant son pouvoir actuel, obliger à l’application de mesures supplémentaires en matière de cybersécurité, et comment cette autorité pourrait devoir être étendue pour répondre aux menaces émergentes de cybersécurité ».

Cette nouvelle orientation des agences gouvernementales n’est cependant pas limitée aux États-Unis. L’Autorité Technique Nationale du gouvernement britannique pour la sûreté de l’information a ainsi déclaré que « la gestion proactive du cyber-risque au niveau du Conseil d’Administration est essentielle. » A cette fin, le gouvernement britannique a publié un document qui décrit les responsabilités et questions clés de cyber sécurité pour le Conseil d’Administration et le Management. Des ressources supplémentaires pour les conseils d’Administration incluent notamment un «Manuel de surveillance des Cyber-Risques», publié aux USA par l’Association Nationale des Administrateurs de Sociétés (NCAD).

Une réalité nouvelle pour le Conseil d’Administration

La nouvelle réalité à laquelle fait face chaque Conseil d’Administration est bien résumée dans Cybersecurity Docket : «Chaque Conseil d’Administration doit maintenant savoir avec certitude que sa société sera victime d’une cybe-rattaque, et pire encore, que c’est le Conseil qui aura la charge de nettoyer le gâchis et de surveiller les retombées » .

Comme dans tous les autres autres domaines de la conformité, les Administrateurs peuvent être tenus pour responsables pour ne pas avoir fait leur devoir afin de prévenir les dommages à la société. Dans l’exercice de leur rôle de surveillance, les Administrateurs doivent rester informés en permanence sur les mesures de cybersécurité de leur société. Ils doivent évaluer les risques et déterminer ce qui doit être fait pour les atténuer.

L’absence de surveillance adéquate des cyber-risques constitue une menace. «Les Administrateurs qui ne parviennent pas à prendre des mesures appropriées – à la fois avant et après un incident de sécurité de l’information – courent le risque que leur Entreprise soit soumise à l’application de mesures gouvernementales (lois ou réglementations), et qu’eux-mêmes soient personnellement sujets à des poursuites de la part des actionnaires », a expliqué le cabinet d’avocats Fredrikson & Byron.

KPMG, dans sa publication de Février 2015 sur les défis et priorités en matière de Gouvernance pour 2015 désigne la cybersécurité comme « LE problème du 21e siècle. » Au-delà du risque de conformité, le rapport souligne l’importance « des poursuites, des dommages à la réputation et de la perte de clients» comme conséquences potentielles.

Pourquoi les Conseils d’Administration peinent-ils à prendre en compte ce type de risques?

Selon le rapport d’Ernst & Young publié fin 2014 et intitulé « Cyber program management« , il y a plusieurs raisons pour lesquelles ils sont si réticents à s’engager sur la cybersécurité. Parmi ces raisons figurent :

  • le fait que l’internet et la connexion de l’Entreprise constituent juste l’un des nombreux sujets à l’ordre du jour d’un Conseil d’Administration,
  • la culture de silo au niveau de l’informatique qui a relégué la responsabilité de protection des données et des systèmes uniquement au niveau du département IT,
  • la difficulté pour le Conseil d’Administration d’évaluer correctement les risques de cyberattaques et le programme de gestion des risques associé mis en place par la direction,
  • et enfin l’approche de consolidation des défenses (contrôles préventifs de sécurité) tout en ignorant les capacités de détection et de réponse aux incidents.

Cependant, comme le commissaire Aguilar l’a déclaré à la Bourse de New York, les temps ont changé, et «s’assurer de l’adéquation des mesures de cybersécurité de l’entreprise aux risques doit être une préoccupation essentielle d’un Conseil d’Administration dans le cadre de ses responsabilités de surveillance en matière de risques. » Cela devrait figurer comme un slogan en lettres capitales sur le mur de la salle du conseil : les administrateurs ne peuvent plus balayer  d’un revers de main les Cyber-Risques. C’est leur responsabilité de surveiller la gestion de ces risques qui était autrefois déléguée au domaine informatique.

Comment doivent-ils s’y prendre pour assurer cette responsabilité?

Le Conseil d’Administration de chaque Enterprise doit désormais prendre le temps nécessaire sur son agenda pour surveiller les cyber-risques . Selon les termes du document « Cyber program management » d’E&Y, les Conseils d’Administration sont maintenant invités à discuter de la cybersécurité sur une base trimestrielle, voire même plus fréquemment.

Comment les administrateurs doivent-ils d’y prendre pour surveiller les cyber-risques? Le Commissaire Aguilar, de la SEC, a fourni des conseils dans son discours au NYSE. « Les Conseils d’Administration sont chargés de s’assurer que la Société a mis en place des programmes de gestion des risques appropriés et de surveiller la façon dont le management met en œuvre ces programmes, » a-t-il déclaré. C’est clairement la responsabilité du Conseil d’Administration de veiller à ce que la direction ait mis en place des protocoles de gestion des risques efficaces.

Quels conseils pouvons-nous donner aux administrateurs?

Un Conseil d’Administration doit veiller à la gestion des cyber-risques dans le cadre de son programme de gestion des risques à l’échelle de l’entreprise. Il doit également chercher à mieux comprendre les risques informatiques et ceux liés à l’utilisation d’internet, évaluer les pratiques actuelles en matière de cybersécurité et planifier ainsi que préparer les personnels de l’Entreprise, grâce à des tests réguliers, pour une cyber-attaque. En résumé, la responsabilité deux Conseil d’Administration va au delà de la cyber-sécurité. Il doit répondre de la cyber-résilience de la Société devant les parties prenantes.

Les administrateurs devraient se poser trois questions importantes :

  1. Comprenons-nous bien la nature des cyber-menace s’appliquant à notre Société?
  2. Est-ce que les processus et la structure du Conseil d’Administration permettent un dialogue de qualité sur les questions de cyber-résilience?
  3. Que faisons-nous pour nous maintenir au courant des évolutions constantes des cyber-menaces?

Nous vous proposons quelques pratiques clés pour susciter intérêt et l’attention du Conseil d’Administration sur les cyber-risques :

  • Demander désormais régulièrement des informations sur les cyber-risques, et pas seulement à la Direction Générale ou au DSI,
  • Cherchent à mieux comprendre la nature des cyber-risques et leur impact sur l’organisation,
  • Remettre en permanence en question la gestion de la cyber-sécurité et la cyber-résilience de l’organisation.

Par quoi commencer?

Il existe désormais des référentiels de bonnes pratiques et des normes dans les domaines de la sécurité de l’information (ISO 27001, ISO 27002) et de la cyber-résilience (RESILIA). Il en va de même pour la Gouvernance du Système d’Information qui est clairement, comme nous l’avons vu précédemment, à la charge du Conseil d’Administration, avec COBIT® et ISO 38500.

Une première étape, afin de sensibiliser les Administrateurs sur ces responsabilités nouvelles pour eux, consisterait à organiser une séance de sensibilisation sur les responsabilités du CA dans l’Entreprise du 21ème siècle au travers de programmes tels que :

COBIT® 5 pour les Conseil d’Administration et les Exécutifs (2 formats : session de 4 heures ou d’une journée). Cette formation couvre à la fois les responsabilités des Administrateurs et des membres du Comité de Direction.

RESILIA : Sensibilisation (2 formats : session de 4 heures ou d’une journée). Cette formation, plus orientée sur la stratégie de cyber-résilience et sa mise en oeuvre, s’adresse aux Administrateurs mais aussi, et surtout, aux membres du Comité de Direction.

La seconde étape consiste bien évidemment à élaborer une stratégie de cyber-résilience en lançant un programme adéquat et à rédiger des politiques de sécurité, de gestion des risques, des gestion des ressources humaines, etc. adaptées à cette stratégie. AB Consulting, seul organisme accrédité en Afrique sur l’ensemble des domaines concernés par ISACA, AXELOS, APMG, EXIN, PECB, vous propose toute une game de services d’évaluation / audit d’aptitude des processus de l’entreprise mais aussi d’évaluation de la maturité de votre Organisation, ainsi que d’accompagnement à la mise en oeuvre et de l’amélioration de la gouvernance du SI et la réalisation du programme de cyber-résilience, grâce à ses experts du domaine.

Nous vous proposons également nos formations accréditées et certifiantes telles que :

ISO 27001 Practitioner Bootcamp (Foundation et Practitioner sur 5 jours – Certification APMG) destiné aux personnels en charge de l’implémentation d’un Système de Management de la Sécurité de l’Information dans votre Organisation

ISO 27001 Lead Implementer (5 jours – Certification PECB) destiné aux responsables du projet d’implémentation du SMSI

RESILIA Practitioner Bootcamp (Foundation + Practitioner sur 5 jours – Certification AXELOS®) destiné aux personnels en charge d’implémenter la cyber-résilience du système d’information

COBIT Implementation Bootcamp (Foundation + Implementation sur 5 jours – Certification APMG/ISACA) pour les personnes participant à l’amélioration ou l’implémentation de la Gouvernance du SI.

ISO 38500 Corporate IT Governance Manager (3 jours – Certification PECB)

Nous proposons également de nombreuses autres formations sur ce domaine, notamment destinées aux personnels des entités métiers des entreprise ainsi qu’aux auditeurs et contrôleurs.

Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir remplir le formulaire de contact :

Voyageurs, une cible de choix pour les hackers

Beaucoup de cadres d’entreprises, en particulier des dirigeants, sont des voyageurs réguliers à travers le monde dans le cadre de leur emploi. Les pirates et les cybercriminels le savent parfaitement, ce qui constitue un facteur de risque que les entreprises ne devraient pas ignorer, d’autant que ces voyageurs disposent souvent d’accès privilégiés aux informations sensibles de leur Organisation.

Voyageurs d'affaires

Les adversaires sous la forme d’entreprises concurrentes, de gouvernements ou simplement de criminels ciblent tout spécialement les cadres supérieurs en déplacement d’affaires pour deux raisons essentielles : la personne et ce qu’elle représente, et l’information à laquelle elle a accès au sein de son Entreprise.

Alors même que les risques physiques évoluent peu, les risques liés à l’information ont progressé de façon importante durant ces dernières années. Il y a quelques années, le risque relatif à  l’information se limitait aux documents papier que le cadre transportait avec lui. Maintenant, non seulement le voyageur d’affaire transporte une beaucoup plus grande quantité de données sensibles sur une collection d’appareils numériques (smartphone, tablette, ordinateur portable), mais de plus, ces données peuvent être copiées rapidement, silencieusement et sans en déssaisir la victime qui, souvent, ne s’en rendra même pas compte.

Pire encore, les terminaux numériques offrent un accès immédiat et éventuellement à plus long terme sur les actifs de l’organisation au travers du réseau d’Entreprise. Les pirates ont la capacité d’extraire les données non cryptées ou faiblement cryptées à partir de tout appareil, y compris les communications à destination et en provenance de ces dispositifs, qu’ils peuvent même modifier physiquement  pour contrecarrer les meilleures mesures de sécurité et de cryptage.

Quelques règles de sécurité à l’usage des voyageurs

Dans le cadre du mois de la cyber-sécurité, AB Consulting vous présente un résumé des premières mesures de sécurité, les plus simples, que devraient prendre tous les voyageurs business afin de préserver la confidentialité et l’intégrité des données de l’Entreprise.

Faire preuve d’une extrême prudence avec les appareils mobiles

Cela peut sembler une évidence, mais l’un des plus grands risques de sécurité impliquant des cadres en déplacement est la perte ou le vol de leurs appareils mobiles ainsi que des données qu’ils contiennent.

Quelques facteurs font de cette menace un défi de taille. Le premier est que les gens ne savent plus se passer de leurs appareils, et ont tendance à vouloir les prendre avec eux où qu’ils aillent. Le second, c’est que, souvent, ils ne transportent pas seulement un appareil, mais plusieurs: smartphones, tablettes, ordinateurs portables, objets connectés (montre, …), etc.

Certains experts, comme Michael McCann, ancien chef de la sécurité des Nations Unies et maintenant président du fournisseur de services de sécurité McCann Services, recommandent que les dirigeants laissent systématiquement leurs appareils à la maison. Ceci est particulièrement vrai s’ils voyagent dans des pays à risques tels que la Chine par exemple. « Deuxième Conseil, assurez-vous que votre appareil est attaché à vous; ne le laissez jamais nulle part « , dit-il.

Tous les appareils mobiles doivent être équipés de technologies telles que la protection par mot de passe, le cryptage, la sauvegarde des données et l’effacement à distance des données stockées, dans le cas où le terminal viendrait à disparaître.

Verrouillez votre ordinateurLa perte d’ordinateurs portables et d’appareils mobiles, tels que les smartphones et les tablettes, continue d’être une menace importante, d’autant que beaucoup d’organisations n’ont pas encore mis en oeuvre le cryptage des données sur les terminaux portables. Compte tenu de la simplicité de l’activation du cryptage de l’appareil et des systèmes d’exploitation actuels, ceci devrait être une exigence minimale de protection des données pour tout cadre en déplacement professionnel.

Lorsque vous quittez votre chambre d’hôtel, une précaution élémentaire consiste à enfermer votre appareil mobile dans le coffre-fort de la chambre.

A l’extérieur du bureau, gardez toujours un œil sur votre ordinateur portable et prenez toujours soin de le verrouiller quand vous n’êtes pas en train de l’utiliser.. A l’aéroport ne le faites pas passer au scanner à rayons X si vous n’êtes pas prêt à passer vous-même le contrôle. Ne laissez pas votre ordinateur ou votre tablette sur votre table dans un café ou un restaurant si vous vous levez pour commander un café. Cela ne prend que quelques secondes pour dérober un appareil et disparaître.

Assurez-vous que les connexions à distance sur le réseau d’Entreprise sont sécurisées

Les cadres en déplacement se connectent de façon régulière avec le siège afin de vérifier leurs e-mails ou pour accéder à l’information de l’Entreprise, ce qui constitue un maillon faible potentiel. Une bonne idée consiste à utiliser un canal de communication sécurisé ou un réseau privé virtuel d’entreprise (VPN) sécurisé pour toutes les connexions réseau à distance.

Une autre bonne pratique consiste à utiliser l’authentification multi-facteur avec l’utilisation de jetons à usage unique pour accéder aux applications et services lors de déplacements professionnels. Par exemple, l’accès aux  applications critiques de l’Entreprise pourraient être sécurisé grâce à une  authentification à deux facteurs tels que la combinaison nom d’utilisateur / mot de passe et un jeton à usage unique.

En utilisant les connexions distantes cryptées et une authentification renforcée sur des réseaux identifiés, les dirigeants peuvent accéder avec un risque minimum aux données dont ils ont besoin pendant leur déplacement.

Soyez conscient de votre environnement

Les cadres en déplacement doivent en permanence avoir une bonne idée du moment où ils sont en danger potentiel du point de vue de la sécurité de l’information.

Lors de vos déplacements professionnels, il est important pour vous d’avoir conscience de la situation : à qui parlez-vous et avec qui partagez-vous de l’information? Qui sait où vous allez? Partager ces information avec les mauvaises personnes peut faire de vous une cible facile.

Des mesures de sécurité efficaces nécessitent, non seulement une prise de conscience de l’environnement, mais de faire preuve de prudence, de jugement et de bon sens. C’est particulièrement vrai quand un dirigeant d’entreprise doit, dans le même temps, s’acclimater à des cultures, des coutumes et des lois différentes.

Dans certains cas, les cadres voyageant à l’étranger pour le compte de leur entreprise doivent être conscients qu’ils peuvent être la cible de cyber-criminels, d’agences de renseignement, de terroristes ou même de concurrents de leur Organisation s’ils sont en possession ou simplement bien informés sur des informations confidentielles.

Cela signifie qu’il faut absolument éviter tout bavardage indiscret qui pourrait mettre le cadre ou son entreprise en difficulté par des personnes malveillantes. Grâce à des technologies de pointe, quelqu’un pourrait être à l’écoute des conversations sans que les parties ne s’en aperçoivent.

Voyageurs, attention à votre environnementNe laissez pas quelqu’un espionner par dessus votre épaule. Je ne compte pas le nombre de fois où j’ai pu lire tranquillement des informations confidentielles sur des présentations en préparation, des stratégies commerciales en cours d’élaboration ou des projets d’achat ou de vente d’actions, simplement en regardant à gauche, à droite ou sur la rangée de sièges devant moi, dans un avion, un train ou assis à la terrasse d’un café.

L’affichage d’informations confidentielles sur votre écran dans une zone publique sans utiliser un filtre de protection d’écran peut entraîner des fuites de données. Quelqu’un peut même vous observer et déterminer votre mot de passe ou lire des informations confidentielles permettant l’accès au réseau d’Entreprise.

Informez toujours le département sécurité ou l’IT de vos plans de voyage

Faites-leur toujours savoir que vous êtes en visite au Nigéria, à New York ou n’importe où vous allez.

La plupart des Organisations ont mis en place des politiques de sécurité qui déterminent le degré d’accès et l’approche que l’organisation juge appropriée, en relation avec son appétit du risque, pour chaque personne concernée. L’accès au données sensibles sera un facteur déterminant dans l’identification des mesures que vos responsables de la sécurité exigeront que vous preniez.

Si possible fournissez vos plans de voyage. Si vous avez un système de monitoring de la sécurité sur votre réseau, cela peut être utile pour les personnes de votre centre d’opérations de savoir où vous voyagez. Une tentative d’accès au réseau depuis Sydney, que vous avez quitté il y a juste deux jours, ne déclenchera la sonnette d’alarme que si les personnes de l’équipe sécurité sont informées que vous avez quitté la ville il y a deux jours, et que vous êtes maintenant à Singapour.

Appuyez-vous sur le renseignement en matière de menaces

Les cadres qui prévoient de voyager devraient utiliser les bulletins d’information sur les menaces, similaires aux bulletins de mise en garde disponibles sur les menaces physiques publiés par le ministère des affaires étrangères. Un tel réseau de renseignement pourrait être créé en utilisant des capacités d’analyse avancée pour intégrer les cyber-menaces et les informations géospatiales incluant les hôtels, les centres d’affaires, les réseaux et les endroits où des entités malveillantes et hostiles sont connues pour opérer.

Mot de passe fortLa connaissance de la nature et de la localisation physique de ces menaces permettra aux cadres de les éviter, réduisant ainsi le risque de piratage wifi et de points d’accès pour les téléphones mobiles, la surveillance et la capture du trafic, l’accès physique non autorisé aux appareils informatiques et l’installation de code malveillant et de systèmes de surveillance.

Les voyageurs d’affaires ne devraient seulement se connecter au Wi-Fi ou à des points d’accès à large bande que lorsque des authentifications et les détails de ces points d’accès sont pré-chargées sur leurs terminaux mobiles. Au retour du voyageur à son bureau, les appareils doivent être analysés afin de déterminer si, quand et comment ils ont été attaqués. Cette information peut ensuite être traitée par un moteur d’analyse et ajoutée aux futurs bulletins de renseignement sur les menaces.

N’oubliez pas la formation

Un programme de sensibilisation sur les risques de sécurité destiné aux cadres, et particulièrement aux dirigeants d’entreprise se déplaçant pour des raisons professionnelles est absolument indispensable. La sensibilisation à la sécurité doit être un processus de formation continue et non un événement ponctuel.

Une combinaison de formation en ligne de sensibilisation à la sécurité, de formation en présentiel ciblée  et une communication électronique fréquente permettent d’accroître la sensibilisation des personnels et notamment des cadres et dirigeants de l’Organisation.

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose des sessions de sensibilisation spécialement conçues pour les membres du conseil d’administration et du comité de direction, animées par un expert du domaine :

Sensibilisation à RESILIA pour les dirigeants (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 pour les dirigeants (1 journée)

Pour plus d’information ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact :

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :