Le besoin d’une nouvelle gouvernance pour renforcer la cybersécurité des organisations
La cybersécurité et la sécurité des données sont devenues des sujets brûlants dans tous les secteurs de l’économie et de la société. Alors que les cyberattaques se multiplient et évoluent constamment, le Harvard Law School Forum on Corporate Governance note que la cybersécurité n’est pas une priorité pour de nombreux investisseurs. Les risques de cette inattention sont déjà connus et très sérieux : des pertes financières, des pénalités et une érosion de la réputation qui peut compromettre l’avenir d’une entreprise.
Les coûts associés aux cyberattaques sont colossaux. Selon les données du Ponemon Institute et d’IBM Security, le coût des atteintes à la sécurité des données a atteint en 2022 un record de 4,4 millions de dollars US par incident dans le monde. Les spécialistes en cybersécurité sont donc d’avis que la résilience numérique des organisations nécessite une bonne gouvernance. Cette gouvernance semble être, par ailleurs, une composante essentielle d’une nouvelle approche d’investissement responsable qui met l’accent sur la dimension environnementale, sociale et de gouvernance (ESG).
Dans cet ordre d’idées, on note la multiplication des cadres réglementaires. Rien qu’aux États-Unis, trois nouvelles réglementations ont été publiées récemment, à savoir, la règle de cybersécurité de la SEC, la loi sur les rapports d’incidents cybernétiques pour les infrastructures critiques et la loi sur les rançongiciels et la stabilité financière de 2021.
Quoiqu’aucune entreprise ne soit à l’abri, le Harvard Law School Forum on Corporate Governance souligne que certaines industries – les entreprises manufacturières, les assurances et les finances ainsi que les services professionnels et aux entreprises – sont particulièrement vulnérables. Confrontées à un environnement aussi instable, les entreprises prennent des initiatives qui soulèvent le besoin d’une nouvelle gouvernance.
Par exemple, on note que les entreprises délaissent les centres de données sur place et entament leur transition vers l’infonuagique. Cependant, les spécialistes mettent en relief de nouvelles sources d’inquiétude. D’abord, par rapport à l’infrastructure, car les entreprises semblent ne pas savoir comment évaluer efficacement la multitude de solutions en cybersécurité qui leur sont offertes par les fournisseurs. Ensuite, dans un contexte de pénurie de main-d’œuvre, les entreprises font face au défi de se procurer les ressources humaines qui doivent faire fonctionner les systèmes de cybersécurité et gérer la structure de gouvernance censée maintenir l’intégrité de ces systèmes.
Enfin, il semble qu’un grand nombre d’entreprises soient accablées par les coûts très élevés associés à la résilience en cybersécurité. Ceci s’explique, d’un côté, par les modifications que certains employés effectuent de leur propre chef aux systèmes d’information, et d’un autre, par les coûts d’entretien excessifs proposés par les fournisseurs. Enfin, on note que les assureurs réduisent la portée des indemnités lorsque les entreprises ajoutent de nouveaux fournisseurs informatiques ou lorsqu’elles font des ajouts à leurs systèmes d’information.
La cybersécurité et la sécurité des données sont devenues des sujets brûlants dans tous les secteurs de l’économie et de la société. Alors que les cyberattaques se multiplient et évoluent constamment, le Harvard Law School Forum on Corporate Governance note que la cybersécurité n’est pas une priorité pour de nombreux investisseurs. Les risques de cette inattention sont déjà connus et très sérieux : des pertes financières, des pénalités et une érosion de la réputation qui peut compromettre l’avenir d’une entreprise.
Les coûts associés aux cyberattaques sont colossaux. Selon les données du Ponemon Institute et d’IBM Security, le coût des atteintes à la sécurité des données a atteint en 2022 un record de 4,4 millions de dollars US par incident dans le monde. Les spécialistes en cybersécurité sont donc d’avis que la résilience numérique des organisations nécessite une bonne gouvernance. Cette gouvernance semble être, par ailleurs, une composante essentielle d’une nouvelle approche d’investissement responsable qui met l’accent sur la dimension environnementale, sociale et de gouvernance (ESG).
Dans cet ordre d’idées, on note la multiplication des cadres réglementaires. Rien qu’aux États-Unis, trois nouvelles réglementations ont été publiées récemment, à savoir, la règle de cybersécurité de la SEC, la loi sur les rapports d’incidents cybernétiques pour les infrastructures critiques et la loi sur les rançongiciels et la stabilité financière de 2021.
Quoiqu’aucune entreprise ne soit à l’abri, le Harvard Law School Forum on Corporate Governance souligne que certaines industries – les entreprises manufacturières, les assurances et les finances ainsi que les services professionnels et aux entreprises – sont particulièrement vulnérables. Confrontées à un environnement aussi instable, les entreprises prennent des initiatives qui soulèvent le besoin d’une nouvelle gouvernance.
Par exemple, on note que les entreprises délaissent les centres de données sur place et entament leur transition vers l’infonuagique. Cependant, les spécialistes mettent en relief de nouvelles sources d’inquiétude. D’abord, par rapport à l’infrastructure, car les entreprises semblent ne pas savoir comment évaluer efficacement la multitude de solutions en cybersécurité qui leur sont offertes par les fournisseurs. Ensuite, dans un contexte de pénurie de main-d’œuvre, les entreprises font face au défi de se procurer les ressources humaines qui doivent faire fonctionner les systèmes de cybersécurité et gérer la structure de gouvernance censée maintenir l’intégrité de ces systèmes.
Enfin, il semble qu’un grand nombre d’entreprises soient accablées par les coûts très élevés associés à la résilience en cybersécurité. Ceci s’explique, d’un côté, par les modifications que certains employés effectuent de leur propre chef aux systèmes d’information, et d’un autre, par les coûts d’entretien excessifs proposés par les fournisseurs. Enfin, on note que les assureurs réduisent la portée des indemnités lorsque les entreprises ajoutent de nouveaux fournisseurs informatiques ou lorsqu’elles font des ajouts à leurs systèmes d’information.