En tant qu’administrateur, en charge de la valeur à long terme de l’entreprise, il est indispensable de comprendre et de superviser la stratégie numérique et le dispositif de cybersécurité.

La cybersécurité est devenue un sujet incontournable pour les conseils d’administration : tel était le sujet de la table ronde animée le 2 octobre 2024 par le Club HEC Alumni Gouvernance avec le Club Gestion de crise et le Hub Digital, l’IFA et APIA. Interrogés par Franck Lanher (M.02), Président de LexisNexis Risk Solutions France et membre du Bureau du Club Gouvernance, les intervenants – Guillaume Poupard, DGA de Docaposte et ancien directeur général de l’ANSSI, Annick Rimlinger, Directrice sûreté et cybersécurité d’Aéma, Gaëtan Poncelin de Raucourt, sous-directeur Stratégie de l’ANSSI, ainsi que Marie-Hélène Rigal et Marie de Fréminville, administratrices aguerries, – ont souligné l’importance cruciale pour les administrateurs de s’emparer de ce sujet, en plus des dirigeants.

Une transformation numérique, des risques croissants

Avec la digitalisation croissante, les entreprises sont exposées à des menaces cybernétiques toujours plus sophistiquées. Les cybercriminels se professionnalisent et pratiquent des attaques de masse, ciblant désormais non seulement les grands groupes, mais aussi les PME. Leur objectif principal est le gain financier – « Les attaques de ransomware (rançongiciel) sont devenues quotidiennes » -, mais l’espionnage – « le plus vieux métier du monde » – et l’atteinte à l’intégrité physique ou numérique sont aussi deux objectifs visés. Les entreprises peuvent ainsi perdre de l’argent, perdre la confiance de leurs clients, partenaires et actionnaires, et parfois disparaitre en très peu de temps.

Il est nécessaire pour les conseils d’administration d’élargir leur compréhension des risques de cybersécurité et d’intégrer le sujet dans l’agenda des organes de gouvernance de l’entreprise.

Le rôle crucial des administrateurs

En tant qu’administrateurs, en charge de la valeur à long terme de l’entreprise, il est indispensable de comprendre et de superviser la stratégie numérique et le dispositif de cybersécurité mis en place. Le Conseil d’administration doit établir un dialogue régulier avec les dirigeants de l’entreprise sur ce sujet, à commencer par une analyse du coût potentiel d’une cyberattaque. « Il est impératif de matérialiser ces coûts pour mieux comprendre l’impact réel d’un tel événement ».

Sur le plan organisationnel, les conseils d’administration sont encouragés à débattre au moins une fois par an de sécurité numérique, et à s’organiser, par exemple en se dotant de référents cybersécurité, ou en s’assurant que les risques cyber sont supervisés par un comité spécialisé du conseil. « Les administrateurs ne doivent pas être des experts, mais ils doivent se former et s’impliquer ».

S’aider de la réglementation comme levier de mobilisation

De nouvelles réglementations comme la directive européenne NIS2, qui vient d’entrer en vigueur, créent des obligations renforcées en matière de cybersécurité pour les entreprises de désormais 18 secteurs d’activité. A défaut, elles s’exposent à des sanctions financières significatives et à la suspension de leur dirigeant.

La prise de conscience et l’implication au sein de l’entreprise commencent au plus haut niveau, en instaurant des formations régulières, y compris pour les membres du conseil d’administration, afin de pouvoir « poser les bonnes questions et challenger les recommandations ou décisions ».

Préparation et résilience : des outils essentiels

Tous les intervenants s’accordent sur l’importance de la préparation et de la résilience face aux cyberattaques. « Il est crucial de mettre en place des exercices de simulation de crise, car c’est la meilleure manière de sensibiliser et d’inciter les administrateurs et dirigeants à anticiper et agir. Les administrateurs doivent veiller à ce que les dirigeants soient capables de réagir rapidement en cas d’incident cyber et veiller à la bonne gestion de crise : qualité de la communication ou refus de payer une rançon, par exemple.

Enfin, les administrateurs sont encouragés à intégrer la cybersécurité dans la culture d’entreprise et à en percevoir la dimension stratégique. « La cybersécurité doit devenir un moyen de protéger mais aussi de mieux valoriser tout le patrimoine informationnel de l’entreprise ».

Chers collègues Administrateurs, il est grand temps de vous saisir du sujet !

 

Published by