{"id":1192,"date":"2015-10-30T13:34:06","date_gmt":"2015-10-30T12:34:06","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=1192"},"modified":"2015-10-30T13:54:02","modified_gmt":"2015-10-30T12:54:02","slug":"cyber-risques-conseil-administration","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/geit\/cyber-risques-conseil-administration","title":{"rendered":"Cyber-risques – Que fait le Conseil d’Administration?"},"content":{"rendered":"

Le Conseil d’Administration est en charge de s’assurer de la cr\u00e9ation de valeur pour les parties prenantes de l’Entreprise tout en optimisant les risques et les ressources. Le Conseil d’Administration, organe de Gouvernance de l’entreprise est donc directement concern\u00e9 par les cyber-risques.<\/em><\/p>\n

\"Le<\/a><\/p>\n

\n

\u00ab\u00a0La SEC (organisme f\u00e9d\u00e9ral am\u00e9ricain en charge de r\u00e9guler et de contr\u00f4ler les march\u00e9s financiers), la FTC (agence am\u00e9ricaine charg\u00e9e de contr\u00f4ler les pratiques commerciales) ainsi que\u00a0d’autres organismes de r\u00e9glementation (f\u00e9d\u00e9raux, d’\u00e9tat, mondiaux) ont renforc\u00e9\u00a0leurs \u00e9valuations des Entreprises en mati\u00e8re d’efforts r\u00e9alis\u00e9s pour s\u00e9curiser\u00a0les donn\u00e9es, ainsi que concernant les\u00a0informations et la\u00a0communication sur les risques en mati\u00e8re de cybers\u00e9curit\u00e9 et de violations des donn\u00e9es.\u00a0\u00bb comme l’indique KPMG dans son rapport On the 2015 Board Agenda<\/a><\/strong><\/em>.<\/p>\n<\/blockquote>\n

R\u00e9agissant au\u00a0grand nombre et \u00e0 l’ampleur des vols\u00a0de donn\u00e9es qui n’ont fait qu’augmenter\u00a0durant\u00a0la derni\u00e8re d\u00e9cennie, les agences\u00a0gouvernementales\u00a0commencent tout juste \u00e0 durcir le ton et \u00e0 envoyer des signaux clairs que la s\u00e9curit\u00e9 constitue d\u00e9sormais un sujet\u00a0prioritaire pour les Entreprises.<\/p>\n

Le commissaire Luis A. Aguilar de\u00a0la SEC (Securities and Exchange Commission), parlant au New York Stock Exchange (NYSE) le 10 Juin 2014, a clairement indiqu\u00e9 la position de la commission. \u00ab\u00a0La\u00a0surveillance des cyber-risques par le Conseil d’Administration est essentielle pour assurer que les entreprises prennent des mesures ad\u00e9quates pour pr\u00e9venir les cyber-attaques et se pr\u00e9parer \u00e0\u00a0faire face aux\u00a0pr\u00e9judices qui peuvent en r\u00e9sulter\u00a0\u00bb, a-t-il dit. Il a \u00e9galement \u00e9mis un avertissement clair sur le fait que \u00ab\u00a0les Conseils d’Administration qui choisissent d’ignorer ou de minimiser l’importance de leur\u00a0responsabilit\u00e9 de surveillance de la cyber-s\u00e9curit\u00e9, le font \u00e0 leurs risques et p\u00e9rils\u00a0\u00bb.<\/p>\n

Depuis lors, le commissaire Aguilar est\u00a0de nouveau mont\u00e9 au cr\u00e9neau\u00a0pour lancer un nouvel avertissement sur les cyber-risques.\u00a0\u00ab\u00a0Cela ne devrait \u00eatre une surprise pour personne que la cybers\u00e9curit\u00e9 soit\u00a0devenue un point focal des\u00a0efforts d’application de la SEC durant ces\u00a0derni\u00e8res ann\u00e9es. Il est d’ailleurs de notori\u00e9t\u00e9 publique\u00a0que la Division d’Application de la SEC investigue\u00a0actuellement plusieurs cas de violation de donn\u00e9es,\u00a0\u00bb a-t-il dit lors du Sommet SINET innovation le\u00a025 juin 2015. \u00ab\u00a0En outre, la SEC a examin\u00e9\u00a0de fa\u00e7on proactive comment elle\u00a0peut, en utilisant son pouvoir actuel, obliger \u00e0 l’application\u00a0de mesures suppl\u00e9mentaires en mati\u00e8re de cybers\u00e9curit\u00e9, et comment cette autorit\u00e9 pourrait devoir \u00eatre \u00e9tendue\u00a0pour r\u00e9pondre aux menaces \u00e9mergentes de cybers\u00e9curit\u00e9\u00a0\u00bb.<\/p>\n

Cette nouvelle orientation des agences\u00a0gouvernementales n’est cependant pas\u00a0limit\u00e9e aux \u00c9tats-Unis. L’Autorit\u00e9 Technique Nationale du gouvernement britannique pour la s\u00fbret\u00e9 de l’information a ainsi d\u00e9clar\u00e9 que \u00ab\u00a0la gestion proactive du cyber-risque\u00a0au niveau du Conseil d’Administration est essentielle.\u00a0\u00bb A cette fin, le gouvernement britannique a publi\u00e9\u00a0un document qui d\u00e9crit les responsabilit\u00e9s et\u00a0questions cl\u00e9s de cyber s\u00e9curit\u00e9\u00a0pour le\u00a0Conseil d’Administration et le Management<\/a>. Des ressources suppl\u00e9mentaires pour les conseils d’Administration incluent notamment un \u00abManuel de\u00a0surveillance des Cyber-Risques<\/a>\u00bb, publi\u00e9 aux USA par l’Association Nationale des Administrateurs de Soci\u00e9t\u00e9s (NCAD).<\/p>\n

Une r\u00e9alit\u00e9 nouvelle pour le Conseil d’Administration<\/strong><\/h2>\n

La nouvelle r\u00e9alit\u00e9 \u00e0 laquelle fait face chaque Conseil d’Administration est bien r\u00e9sum\u00e9e dans Cybersecurity Docket<\/a>\u00a0: \u00abChaque Conseil d’Administration doit\u00a0maintenant savoir avec certitude que sa soci\u00e9t\u00e9 sera\u00a0victime d’une cybe-rattaque<\/strong><\/em>, et pire encore, que c’est le\u00a0Conseil\u00a0qui aura la charge de\u00a0nettoyer le g\u00e2chis et de surveiller les retomb\u00e9es<\/strong><\/em>\u00a0\u00bb .<\/p>\n

Comme dans tous les autres\u00a0autres domaines de la conformit\u00e9, les Administrateurs peuvent \u00eatre tenus pour responsables pour ne pas avoir fait\u00a0leur devoir afin de\u00a0pr\u00e9venir les dommages \u00e0 la soci\u00e9t\u00e9. Dans l’exercice de leur r\u00f4le de surveillance, les Administrateurs doivent\u00a0rester inform\u00e9s en permanence sur les mesures de cybers\u00e9curit\u00e9 de leur\u00a0soci\u00e9t\u00e9. Ils doivent \u00e9valuer les risques et d\u00e9terminer ce qui doit \u00eatre fait pour les att\u00e9nuer.<\/p>\n

L’absence de surveillance\u00a0ad\u00e9quate des cyber-risques constitue une menace. \u00abLes Administrateurs qui ne parviennent pas \u00e0 prendre des mesures appropri\u00e9es – \u00e0 la fois avant et apr\u00e8s\u00a0un incident de s\u00e9curit\u00e9\u00a0de l’information – courent le risque que\u00a0leur\u00a0Entreprise\u00a0soit soumise \u00e0 l’application de\u00a0mesures gouvernementales (lois ou r\u00e9glementations), et qu’eux-m\u00eames soient personnellement sujets \u00e0 des poursuites de la part des actionnaires\u00a0\u00bb, a expliqu\u00e9 le cabinet d’avocats Fredrikson & Byron<\/a>.<\/p>\n

KPMG, dans sa publication de F\u00e9vrier 2015 sur les d\u00e9fis et priorit\u00e9s en mati\u00e8re de Gouvernance pour 2015<\/a> d\u00e9signe\u00a0la cybers\u00e9curit\u00e9 comme \u00ab\u00a0LE probl\u00e8me du 21e si\u00e8cle.\u00a0\u00bb Au-del\u00e0 du\u00a0risque de conformit\u00e9, le rapport souligne l’importance\u00a0\u00ab\u00a0des poursuites, des\u00a0dommages \u00e0 la r\u00e9putation et de\u00a0la\u00a0perte de clients\u00bb comme cons\u00e9quences\u00a0potentielles.<\/p>\n

Pourquoi les Conseils d’Administration peinent-ils\u00a0\u00e0 prendre en compte ce type de risques?<\/strong><\/h2>\n

Selon le rapport d’Ernst & Young publi\u00e9 fin 2014 et intitul\u00e9 \u00ab\u00a0Cyber program management<\/a>\u00ab\u00a0, il y a plusieurs raisons pour lesquelles ils\u00a0sont si r\u00e9ticents \u00e0 s’engager\u00a0sur la cybers\u00e9curit\u00e9. Parmi\u00a0ces raisons\u00a0figurent :<\/p>\n