Sécurité

Cybermenaces et la sécurité informatique en entreprise

Les membres du conseil d’administration et les principaux dirigeants de l’entreprise sont responsables de la conservation de la valeur de leur marque, valeur qui, aujourd’hui, est étroitement liée à la sécurité informatique en entreprise, c’est-à-dire la cybersécurité. Mais la plupart des membres du conseil sont seulement « assez confiants » dans la capacité de leur direction à réagir face à une menace de la sécurité informatique en entreprise et c’est une conversation qui n’est pas tenue assez souvent dans les salles de conseil, déclarent les experts.

Ce n’est pas que les risques ne sont pas connus. Selon une étude publiée par Accenture le coût moyen de la cybercriminalité a atteint en moyenne à l’échelle mondiale, 11,7 millions de dollars par entreprise en 2017, soit une augmentation de 23 % par rapport à l’an passé.

Chaque organisation, commerciale ou autre, détient des informations qui sont précieuses pour une entité externe, que ce soit une organisation concurrente ou criminelle. Et lorsqu’il est question de valeur, cela incite les pirates informatiques à mettre la main sur vos informations. Vous devez partir du principe que vous êtes constamment menacés » a déclaré Ayal Vogel, président d’AMID Strategies, un cabinet-conseil spécialisé dans la sécurité physique et cybernétique. « Et pourtant, si la sécurité informatique en entreprise est toujours abordée au niveau du conseil d’administration, c’est souvent à propos de la façon de sécuriser les informations des clients, et non au sujet des communications internes et de la propriété intellectuelle. »

La déconnexion

La publicité met souvent l’accent sur des actualités, où il est souvent question de cartes de crédit volées, de photos de célébrités dévoilées ou de fuites politiques. Plus courants sont les vols de données liées aux produits et d’autres données sur la propriété intellectuelle, les employés et le marché. La technologie évolue à un rythme de plus en plus rapide et les entreprises s’efforcent de suivre. Les membres du conseil peuvent avoir l’impression qu’une surveillance du cyber-risque à toute épreuve est impossible.

Mais le courriel engendre des risques de sécurité : il n’y a aucun contrôle sur le contenu d’un courriel envoyé. Les messages peuvent être transférés à la mauvaise personne. Les pièces jointes peuvent être copiées. Les utilisateurs n’ont aucun contrôle sur les serveurs sur lesquels le courriel est stocké ou par lequel il passe.

De plus, les responsables informatiques chargés de la cybersécurité de l’entreprise sont souvent peu disposés à faire part au conseil d’administration de leurs doutes concernant la sécurité des données de l’entreprise. L’étude de Deloitte et Symantec indique que dans 70 % des sociétés interrogées, les décisionnaires informatiques ne sont pas à l’aise avec le plan de sécurité des données de leur société.

Mais il se peut que les employés chargés de la sécurité des données hésitent surveiller le respect par les membres du conseil des directives de l’entreprise. Les deux tiers ont déclaré au NYSE que leur directeur informatique n’intervenait au conseil d’administration qu’« occasionnellement ». C’est pourquoi seul un quart des membres du conseil sont « assez confiants » quant à leur capacité à gérer une cyberattaque.

Sécuriser les données de conseil

Les données du conseil d’administration devraient, dans l’idéal, être stockées dans un endroit connu, séparées des autres données de l’entreprise. Un portail pour conseils d’administration hébergé peut être une meilleure solution qu’un stockage sur le Cloud commercial. Le partage de document sur un portail pour conseils d’administration hébergé et auquel seuls les utilisateurs autorisés par l’administrateur du système peuvent accéder selon différentes fonctions et différents droits (p. ex., lecture seule, édition, partage) peuvent limiter le risque de perdre le contrôle des pièces jointes envoyées par courriel. Un portail pour conseils d’administration avec système d’autorisation, comme Diligent Boards, stricte signifie que l’administrateur ne perdra pas le contrôle sur les documents, même si le mot de passe d’accès d’un utilisateur a été volé. Dans ce cas, l’administrateur du système peut simplement interdire l’accès à cet utilisateur.

L’administrateur peut également bloquer l’accès au portail ou à des documents spécifiques de façon ponctuelle, par exemple, lorsqu’un cadre est en déplacement à l’étranger et que l’administrateur a des raisons de croire que la connexion réseau au portail, à partir de cet endroit, peut être compromise. Le personnel responsable du portail pour conseils d’administration peut interrompre l’accès du dirigeant au portail tant qu’il se trouve dans une zone à risques.

L’administrateur peut également bloquer l’accès au portail ou à des documents spécifiques de façon ponctuelle pour réussir a la sécurité informatique en entreprise. Par exemple, un cadre est en déplacement à l’étranger et l’administrateur a des raisons de croire que la connexion réseau au portail, à partir de cet endroit, peut être compromise. Le personnel responsable du portail pour conseils d’administration peut interrompre l’accès tant que le membre du conseil se trouve dans cette zone à risques.

« Les méthodes éprouvées de partage de documents sensibles peuvent mettre en danger vos données », explique Vogel d’AMID Strategies. « Même les petites et moyennes entreprises doivent repenser leur façon de stocker les données et de les partager en interne et avec les utilisateurs externes. Le conseil d’administration doit montrer le chemin pour réussir à la sécurité informatique en entreprise. »

BLOGS À NE PAS MANQUER