La cybersécurité n’est ni un produit, ni un état, mais un processus perpétuel. Sa mise en place au sein d’une entreprise exige un changement de paradigme au niveau du conseil d’administration : à l’heure actuelle, les cyber-risques font partie intégrante des risques opérationnels et ne relèvent pas du seul département informatique.
Cette situation exige un sens holistique des responsabilités en ce qui concerne les risques que l’on n’est parfois pas en mesure de comprendre ou d’anticiper. Il est donc recommandé de faire appel aux compétences spécialisées d’un médiateur, le Chief Information Security Officer, ou CISO. Ce dernier traduit les cyber-risques techniques et les menaces informatiques dans la langue des affaires, c’est-à-dire en termes de coût financier, d’impact commercial et de réputation.
La cybersécurité relève des thèmes stratégiques clés d’une entreprise. Selon une étude de PwC intitulée « Global Economic Crime and Fraud Survey 2018 », 44 % des entreprises suisses interrogées ont déjà été victimes de cybercriminalité. Toutefois, sachant qu’en Suisse il n’y a pas d’obligation de signaler une fraude, ce chiffre est certainement plus élevé. Or, ce type d’incident peut entraîner des coûts directs et indirects considérables, voire menacer l’existence d’une société.
Un enjeu stratégique avéré
Les risques liés à la sécurité de l’environnement informatique et des données électroniques peuvent prendre une dimension critique pour l’entreprise. C’est pourquoi la cybersécurité doit impérativement figurer à l’ordre du jour du conseil d’administration et de la direction. Cette exigence repose sur plusieurs fondements:
- Code suisse des obligations (CO) : en Suisse, les responsabilités du conseil d’administration en tant qu’organe de surveillance et de contrôle sont définies dans le CO. Au titre de ses attributions intransmissibles et inaliénables, le conseil d’administration est chargé d’exercer la haute direction de la société, d’établir une organisation appropriée et de nommer les personnes chargées de la gestion.
- Code suisse de bonne pratique pour le gouvernement d’entreprise : publié par economiesuisse, ce guide énonce à l’intention du conseil d’administration des recommandations concernant la configuration de son gouvernement d’entreprise. Le gouvernement d’entreprise désigne l’ensemble des principes axés sur la poursuite d’intérêts durables de l’entreprise, qui visent à instaurer la transparence et un rapport équilibré entre direction et contrôle.
- Règlement général européen sur la protection des données (RGPD) : cette réglementation sur la protection des données prévoit une obligation de déclaration en cas d’infraction ainsi que des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
- Loi suisse sur la protection des données (LPD) : la révision de la LPD se déroule par étapes et n’est pas encore terminée. La nouvelle loi devrait reprendre la plupart des dispositions du RGPD de l’UE.
- Réglementation sectorielle : la plupart des secteurs sont également régis par des réglementations spécifiques comme, par exemple, l’industrie pharmaceutique, la santé, le secteur financier ou les assurances. Ces conditions-cadres visent également à assurer une protection adéquate des données de l’entreprise et la sécurité informatique de cette dernière. En outre, plusieurs catégories professionnelles, telles que les médecins, les avocats ou les pharmaciens, sont soumises au secret professionnel (Code pénal suisse (CP), art. 321), qui exige de ne pas révéler les informations confidentielles confiées par les clients. Cette obligation s’applique aussi bien aux professionnels qu’à leurs auxiliaires.
- Impératif financier : les conséquences financières directes et indirectes des cyber-attaques peuvent gravement porter atteinte à une entreprise : vol de secrets commerciaux et de données clients, fortes amendes, perte de licence ou faillite. Les médias ont d’ailleurs d’ores et déjà rapporté plusieurs cas notoires, tant au niveau national que sur la scène internationale.
- Protection de la réputation : l’altération de l’image d’une entreprise à la suite d’une cyber-attaque peut lui causer un préjudice durable. Les attentes non satisfaites des parties prenantes, d’une part, et la perte de confiance des clients, d’autre part, constituent une menace pour l’existence même de l’entreprise.
Les secteurs réglementés, tels que les banques ou les compagnies d’assurance, répondent à des exigences de conformité renforcées et traitent la sécurité des systèmes d’information et des données au niveau stratégique. Une banque de détail sans service d’e-banking opérationnel et sécurisé, par exemple, serait contrainte de mettre la clé sous la porte. En revanche, la cybersécurité est loin d’avoir la même importance dans l’industrie manufacturière ou le secteur de la santé.
De plus, la dépendance des entreprises vis-à-vis de l’informatique et des données s’est accrue progressivement, sans qu’elles en prennent conscience. Dans un grand nombre d’entreprises, le conseil d’administration et la direction ne s’intéressent pas suffisamment à la cybersécurité, qui reste confinée au département informatique.
Une nouvelle dimension s’impose
La cybersécurité pose de nouveaux défis à la gouvernance d’entreprise. Premièrement, elle est d’une extrême complexité, car les changements technologiques sont très rapides et fortement interconnectées. Deuxièmement, les cyber-risques ne peuvent pas être traités de manière traditionnelle en termes de réflexion et d’action. Ils représentent une menace qui, sur la base des outils de planification stratégiques classiques, n’est pas prévisible et ne se déploie pas non plus selon des règles connues.
Alors que par le passé, toute défaillance entraînait l’immobilisation complète d’un site de production, aujourd’hui, tout semble continuer à fonctionner normalement, même lorsqu’un agresseur s’introduit dans les systèmes, pirate des identités ou fouille le réseau de l’entreprise pour y récupérer des données de valeur. Troisièmement, il est fréquent que le conseil d’administration ne dispose pas des connaissances requises pour comprendre toute la portée des cyber-risques. Enfin, quatrièmement, la plupart des budgets de sécurité informatique se basent sur les coûts informatiques en diminution constante, et non sur la valeur croissante des données électroniques à protéger.
Un médiateur virtuel
Le conseil d’administration et la direction ne peuvent donc plus compter sur leur expérience des risques, leur capacité à « sentir » les crises ou leur connaissance du secteur. Ils ont besoin d’un spécialiste de confiance qui comprenne les différentes perspectives en matière d’informatique, de sécurité et des affaires, et qui serve d’intermédiaire entre les différents départements de l’entreprise. C’est généralement la tâche du CISO qui doit se présenter régulièrement au conseil d’administration pour l’informer des aspects importants liés à la sécurité et de la situation de la menace. Il doit exiger la prise de mesures et la définition de priorités appropriées au plus haut niveau pour protéger non pas le matériel informatique ou les logiciels, mais les données critiques de l’entreprise.
Une responsabilité assortie d’une vision holistique
Le conseil d’administration ne peut pas se soustraire à sa responsabilité stratégique quant à la sécurité globale de l’entreprise, pas plus qu’il ne peut la déléguer. Il ne lui reste donc qu’une option : agir avec clairvoyance. Cette approche comporte différentes facettes :
- Gestion des risques à l’échelle de l’entreprise : l’évaluation régulière des risques par le conseil d’administration inclut non seulement les risques des marchés et financiers, mais également les menaces provenant du cyberespace. Ceux-ci doivent être identifiés, traduits et compris en termes d’impacts financiers sur les affaires. C’est pourquoi il faut porter une attention accrue aux questions de cyber-risque : que faire lorsque des données de R&D sont piratées et qu’une autre société commercialise plus vite l’innovation en question ? Que faire si des données client disparaissent brusquement ?
- Connaissance des exigences en matière de conformité : le conseil d’administration doit connaître toutes les lois applicables à l’entreprise et toutes les réglementations spécifiques au secteur. C’est le seul moyen pour une entreprise de savoir quelles exigences minimales elle doit respecter et quel type d’infraction peut donner lieu à quel type de risque, avec quelles conséquences. Cette visibilité permet de brosser un tableau réaliste des risques existants et d’en déduire où il convient de se doter de règles internes pour garantir le respect des exigences réglementaires au sein de l’entreprise.
- Stratégie en matière de sécurité : une entreprise a besoin d’une approche harmonisée couvrant tous les risques essentiels pour gérer les risques en matière de sécurité. Cette approche s’inspire de la stratégie top-down classique transposée dans un système de contrôle. À cet effet, on définit dans une stratégie de sécurité comment identifier les cyber-risques et comment les limiter en fonction de la propension au risque du conseil d’administration. La stratégie de sécurité intègre également la cybersécurité et détermine les rôles et les responsabilités, ainsi que l’approche permettant de protéger de manière proactive et réactive les données informatiques et électroniques. La cybersécurité n’est pas une fin en soi, elle doit protéger et soutenir l’entreprise, tout en favorisant son ouverture sur de nouveaux secteurs d’activité.
- Architecture de sécurité : le système de contrôle interne (SCI) comporte des règles techniques et organisationnelles visant à garantir le respect des directives et à éviter tout préjudice causé par le personnel ou par des agresseurs extérieurs. Les systèmes de gestion de la qualité veillent, quant à eux, à la qualité des processus et des services, par exemple dans le secteur de la santé. Il existe donc plusieurs dispositifs en place qui définissent le traitement des risques liés aux activités de l’entreprise. Le conseil d’administration doit s’assurer que ces règles et ces contrôles soient complémentaires, harmonisés, et qu’ils intègrent la dimension cybersécurité dans le cadre d’un dispositif homogène.
Une démarche incontournable
Tout conseil d’administration ne s’étant pas encore suffisamment intéressé au thème de la cybersécurité doit le faire sans tarder. À cet égard, il est recommandé de procéder de façon méthodique :
1. Sensibilisation
Autrefois, de l’avis général, on pouvait s’abriter du danger en se retranchant derrière des murs. Dans le cyberespace, les murs prennent la forme de pare-feux, de clés de chiffrement et de sécurité périmétrique. Mais aujourd’hui, nous savons que ces dispositifs ne suffisent plus. Un conseil d’administration doit accepter le fait que les attaques puissent provenir du cyberespace, et pas seulement de la concurrence. Il convient donc de définir sa propension au risque et de prévoir comment identifier de possibles attaques, comment y répondre et comment remédier aux dégâts potentiels. En premier lieu, il faut déterminer expressément les données électroniques de l’entreprise les plus sensibles et les conséquences éventuelles en cas de vol, de falsification ou d’indisponibilité de ces données.
2. Clarification des conditions-cadres
Le conseil d’administration a tout intérêt à se poser les questions suivantes et à mandater la direction pour qu’elle prenne les mesures appropriées :
- Quel type de données avons-nous et dans quelle mesure doivent-elles être protégées ?
- Quelles sont les exigences légales et réglementaires applicables ?
- Quels sont les risques et quelle est la probabilité qu’ils se produisent ?
- Comment pouvons-nous prévenir ces risques et comment nous en protéger ?
- Comment identifier rapidement les cyber-attaques ayant eu lieu ?
- Comment remédier aux dégâts de manière ciblée et intégrale ?
3. Intégration dans les fonctions de direction et de contrôle
La liste de contrôle suivante aide le conseil d’administration à déterminer si la cybersécurité est suffisamment intégrée au système de contrôle interne.
1. Sécurité informatique et gouvernance des données
- Les rôles clés tels que CISO, Compliance Officer, Data Owner, Enterprise Risk Manager sont définis.
- Les descriptions de processus et les directives pour les utilisateurs informatiques incluent des instructions pour protéger les données de manière adéquate.
- Il existe une politique de sécurité avec des mesures organisationnelles et techniques.
- L’efficacité des contrôles techniques et organisationnels est régulièrement revue.
2. Données électroniques sensibles
- Les données électroniques sont catégorisées (par exemple, informations personnelles, données d’entreprise, etc.) et classifiées en fonction de leur besoin de protection (confidentialité, intégrité, disponibilité).
- Une norme minimale pour la protection des données a été établie.
3. Principaux cyber-risques
- Des scénarios de cybermenaces, simples et compréhensibles par le plus grand nombre, ont été établis.
- Les cyber-risques sont identifiés, évalués et circonscrits.
- Une interface avec la gestion des risques de l’entreprise a été établie.
4. Mesures de protection
- Des directives de sécurité sont mises en place et contrôlées (politique d’utilisation d’Internet, politique d’utilisation des email, etc.).
- Des mesures techniques de protection sont définies de manière à ce que les risques identifiés soient limités à un niveau acceptable et que les données électroniques soient traitées conformément aux règles établies.
- Une organisation de la sécurité informatique a été mise en place pour exploiter et surveiller les contrôles techniques ou pour superviser un fournisseur mandaté.
- Les compétences à développer en interne et les services de sécurité devant être achetés à l’extérieur ont été répertoriés.
5. Fuites de données et cyber-attaques
- Les attaques et les fuites de données sont détectées et rapidement traitées.
- Une réponse est apportée aux incidents de sécurité et les crises peuvent être surmontées.
- La planification de la continuité des activités et la résilience face aux cyber-attaques sont en place.
6. Surveillance
- Le conseil d’administration est régulièrement informé des problèmes de cybersécurité.
Révision externe – se méfier d’une sécurité illusoire
Les entreprises et les parties prenantes pensent souvent qu’une révision ne comportant aucune réserve équivaut à une sécurité intégrale. Toutefois, le réviseur ne s’exprime que sur l’exactitude, l’exhaustivité et la conformité des états financiers, et non sur le niveau de sécurité en place ou la résilience de l’entreprise contre les cyber-menaces. Le rapport financier ne peut, à lui seul, être suffisant pour prendre des décisions en matière de cybersécurité. Par ailleurs, la question se pose également de savoir si l’entreprise a prévu, dans ses états financiers, des provisions qui prennent en compte de manière adéquate les cyber-risques.
Conclusion
La mise en réseau croissante et l’informatisation de la quasi-totalité des secteurs dans une entreprise ouvrent de nouvelles opportunités. Parallèlement, la numérisation croissante crée toutefois de nouvelles menaces auxquelles il faut répondre rapidement et de manière cohérente.
La menace particulière que représentent les cyber-attaques dans le paysage informatique et sur les données électroniques appelle, d’une part, une réflexion approfondie sur la sécurité et, d’autre part, de nouvelles mesures intégrant le cycle de vie des données électroniques sensibles – qu’elles soient au repos, en mouvement ou en cours d’utilisation.
La sécurité est un enjeu au plus haut niveau de l’entreprise : la transformation et le rôle de la cybersécurité doivent être introduits et soutenus par la direction et faire partie intégrante de la stratégie et du processus décisionnel.