- Cyber
- Tribune
Enjeux cyber : comment former le conseil d’administration ?
L’essor de l’intelligence artificielle offre de nouvelles possibilités en matière de fraude. De nouveaux outils peuvent aujourd’hui simuler par exemple la voix et l’image d’un dirigeant. Si le risque cyber est perçu comme très spécifique et technique, il est d’ampleur variable selon l’activité, le modèle d’affaires et les facteurs de complexité inhérents aux systèmes d’information et de leur exposition au risque de fraude. La complexité du risque cyber s’apprécie à travers plusieurs facteurs : la sensibilité des données, les systèmes d’information industriels, l’internet des objets et la multitude de capteurs, les interconnections des systèmes d’information dans la chaîne de valeur, ou encore l’utilisation de la blockchain ou de cryptoactifs.
Le conseil d’administration est un organe collégial qui supervise la direction en particulier sur la stratégie et les risques. À ce titre, son rôle est avant tout d’interroger et de remettre en question les décisions, plus que d’apporter une expertise directe, même s’il peut faire appel à des experts indépendants lorsqu’il le juge nécessaire. Dans ce contexte, une question revient souvent : quelles compétences en cybersécurité sont indispensables au conseil et sous quelle forme doivent-elles exister ? Faut-il privilégier une expertise individuelle, un comité d’audit ou des risques, un comité spécialisé ou encore un administrateur référent, comme c’est le cas dans certaines activités réglementées ?
Compétence spécifique requise
Le risque cyber est de plus en plus difficile à appréhender pour un administrateur non expert ou non spécifiquement formé sur ces sujets. Une bonne compréhension générale, voire une compétence spécifique, permet de poser les bonnes questions, au bon niveau de granularité, de comprendre et de dialoguer avec l’expert ou un auditeur externe spécialisé et plus largement d’apprécier la réponse d’ensemble de la direction. La responsabilisation des dirigeants dans les nouvelles directives NIS2 et Dora va d’ailleurs entraîner un dialogue éclairé sur les sujets cyber et de résilience opérationnelle entre les mandataires sociaux et les administrateurs.
Ainsi, comment assurer la prise en compte du risque au bon niveau par le conseil dans son ensemble en «traduisant» les subtilités ?
Le risque pour le conseil est de se reposer sur cette compétence spécifique dans la prise de décision, et de faire peser sur un administrateur et, à l’expérience, plus souvent une administratrice, une responsabilité plus forte. En clair, de ne plus avoir un fonctionnement véritablement collégial sur un sujet pourtant stratégique.
Selon l’importance des sujets de digitalisation, de gouvernance des données, d’utilisation de nouvelles technologies et d’exposition au risque cyber, le conseil se posera la question d’un comité spécialisé qui creusera ces sujets lors de réunions de travail.
Montée en compétence indispensable
Il revient à chaque conseil de définir le dispositif le plus adapté pour son fonctionnement sur ces aspects. L’administrateur référent cyber est à considérer avec attention, en encadrant son rôle dans une charte, et tout en notant que chaque administrateur devrait être capable de contribuer avec pertinence à la plupart des discussions, à des degrés divers selon son expérience. Le manque de compréhension d’ensemble peut même avoir un impact négatif sur l’efficacité du conseil dans le cas d’un cyber incident.
À l’heure où les menaces cyber se multiplient sur fond de tensions géopolitiques, il est indispensable que l’ensemble des administrateurs monte en compétence de manière réelle, structurée et encadrée. Reste à déterminer comment intégrer cette compétence cyber dans la cartographie des compétences du conseil, comment structurer un plan de formation efficace et à quelle fréquence la cybersécurité doit figurer à l’agenda des conseils.
Tribune rédigée par Anne-Hélène Monselato, administratrice indépendante, Marie-Hélène Rigal, administratrice indépendante, Damien Chaminade, directeur des risques et de la conformité dans une institution de paiement, Nathalie Kestener, entrepreneuse dans le Conseil et la Tech, experte gouvernance, Marie-Noëlle Brisson, administratrice indépendante, co-Founder, CyberReady LLC
Plus d'articles du même thème
-
Omers renonce à nommer un nouveau directeur des investissements
Le fonds de pension canadien des agents de la fonction publique de l'Ontario, qui pèse 145,2 milliards de dollars canadiens d'actifs nets, redistribue les responsabilités de son ancien directeur des investissements entre plusieurs dirigeants. -
La transmission d’entreprise pâtit de la procrastination du dirigeant
Le baromètre Grant Thornton souligne que la déstabilisation des équipes est perçue comme le risque principal d’une opération insuffisamment préparée. -
Dette souveraine, non au « French bashing » !
Le directeur des investissements du groupe Matmut défend dans une tribune, une gestion de conviction des obligations souveraines pour soutenir l'économie.
ETF à la Une
Schroders vise une dizaine d’ETF actifs d’ici la fin de l’année
- Le Crédit Agricole lancera une offre de trading crypto avant la fin de l'année
- CMA CGM se renforce dans la logistique du dernier kilomètre
- Kering se retrouve sous pression en Bourse avec la montée des doutes d'analystes
- Les actions coréennes approchent du bear market
- Christine Lagarde pourrait quitter la BCE plus tôt que prévu à cause de la présidentielle française
Contenu de nos partenaires
-
Audace« Un grand bond en avant » : le plan de la Corée du Sud dans la course de l'IA
Refusant d'être les spectateurs de la prochaine révolution industrielle, l'Etat et les grandes entreprises du pays se sont entendus pour créer un pôle entièrement dédié à l'intelligence artificielle -
Tribune libre« La loi anti-fast fashion marque l’entrée de nos économies dans l’ère des limites »
La loi anti-fast fashion reste perfectible, notamment sur son périmètre et sa mise en œuvre. Mais sa portée dépasse son contenu juridique, juge Elisabeth Denner, associée chez BearingPoint -
IdentitésCeux qui veulent que la France ne meure pas
De Gaulle avait compris qu'un chef d'Etat ne dirige pas une tribu contre une autre. Il rassemble, ou il n'est rien