Les compétences en cybersécurité des conseils d’administration des entreprises américaines attirent l’attention du gouvernement des États-Unis
Commentant l’état de la cybersensibilisation au sein des conseils d’administration, le Harvard Law School Forum on Corporate Governance souligne que les entreprises dépensent chaque année plus d’argent pour tenter de se défendre des cyberpirates. Selon une enquête du cabinet de conseil PricewaterhouseCoopers, 48 % des PDG prévoient d’augmenter leurs investissements dans la cybersécurité et la confidentialité des données, alors même que les entreprises sont confrontées à des budgets plus serrés.
Les experts estiment que les cyberattaques pourraient se traduire par des pertes mondiales évaluées à environ 10 500 milliards de dollars d’ici 2025. Cependant, les données du Diligent Institute révèlent que la cybersécurité reste le domaine de surveillance le plus difficile pour les dirigeants d’entreprise. D’ailleurs, le gouvernement fédéral des États-Unis commence à s’intéresser aux stratégies de mitigation des risques des entreprises au vu de la montée des nouvelles technologies, comme l’intelligence artificielle (IA), qui pourraient rendre les cyberattaques encore plus redoutables.
Dans ce contexte, le Harvard Law School Forum on Corporate Governance met en relief les travaux de NightDragon et Diligent, deux compagnies qui ont analysé la composition des conseils d’administration du S&P 500, dans le but de déterminer s’ils possédaient les compétences requises pour mettre en œuvre des stratégies de gouvernance plus efficaces pour gérer les cyberrisques.
Les découvertes de NightDragon et Diligent suggèrent qu’il y aurait lieu d’améliorer les compétences mentionnées plus haut. Plus précisément :
- 12 % des entreprises sont dans la catégorie 1. Elles comptent au moins un « cyber expert » actuel ou ancien au sein de leur conseil d’administration. Il peut s’agir d’un directeur de la sécurité de l’information, d’un directeur informatique d’une entreprise qui propose un service de cybersécurité ou d’un PDG actuel ou ancien d’une entreprise proposant des services de cybersécurité.
- 31 % des entreprises se trouvent dans la catégorie 2. Il s’agit des entreprises qui ont une expertise technologique dans leur conseil d’administration, mais qui ne comptent pas nécessairement un spécialiste de la cybersécurité. Parmi ces professionnels, on trouve des directeurs de l’informatique d’entreprises qui n’offrent pas de services de cybersécurité, des directeurs technologiques, des vice-présidents principaux de l’informatique ou des personnes ayant travaillé dans un poste de cybersécurité.
- 52 % se trouvent dans la catégorie 3. Ce sont des entreprises qui comptent au moins un membre du conseil d’administration ayant un lien avec le monde cybernétique, mais aucune expérience directe dans un rôle de praticien de la cybersécurité ou de la technologie.
- Enfin, 5 % des entreprises sont dans la catégorie 4. Ces entreprises ne répondent à aucun des critères ci-dessus.
Commentant l’état de la cybersensibilisation au sein des conseils d’administration, le Harvard Law School Forum on Corporate Governance souligne que les entreprises dépensent chaque année plus d’argent pour tenter de se défendre des cyberpirates. Selon une enquête du cabinet de conseil PricewaterhouseCoopers, 48 % des PDG prévoient d’augmenter leurs investissements dans la cybersécurité et la confidentialité des données, alors même que les entreprises sont confrontées à des budgets plus serrés.
Les experts estiment que les cyberattaques pourraient se traduire par des pertes mondiales évaluées à environ 10 500 milliards de dollars d’ici 2025. Cependant, les données du Diligent Institute révèlent que la cybersécurité reste le domaine de surveillance le plus difficile pour les dirigeants d’entreprise. D’ailleurs, le gouvernement fédéral des États-Unis commence à s’intéresser aux stratégies de mitigation des risques des entreprises au vu de la montée des nouvelles technologies, comme l’intelligence artificielle (IA), qui pourraient rendre les cyberattaques encore plus redoutables.
Dans ce contexte, le Harvard Law School Forum on Corporate Governance met en relief les travaux de NightDragon et Diligent, deux compagnies qui ont analysé la composition des conseils d’administration du S&P 500, dans le but de déterminer s’ils possédaient les compétences requises pour mettre en œuvre des stratégies de gouvernance plus efficaces pour gérer les cyberrisques.
Les découvertes de NightDragon et Diligent suggèrent qu’il y aurait lieu d’améliorer les compétences mentionnées plus haut. Plus précisément :
- 12 % des entreprises sont dans la catégorie 1. Elles comptent au moins un « cyber expert » actuel ou ancien au sein de leur conseil d’administration. Il peut s’agir d’un directeur de la sécurité de l’information, d’un directeur informatique d’une entreprise qui propose un service de cybersécurité ou d’un PDG actuel ou ancien d’une entreprise proposant des services de cybersécurité.
- 31 % des entreprises se trouvent dans la catégorie 2. Il s’agit des entreprises qui ont une expertise technologique dans leur conseil d’administration, mais qui ne comptent pas nécessairement un spécialiste de la cybersécurité. Parmi ces professionnels, on trouve des directeurs de l’informatique d’entreprises qui n’offrent pas de services de cybersécurité, des directeurs technologiques, des vice-présidents principaux de l’informatique ou des personnes ayant travaillé dans un poste de cybersécurité.
- 52 % se trouvent dans la catégorie 3. Ce sont des entreprises qui comptent au moins un membre du conseil d’administration ayant un lien avec le monde cybernétique, mais aucune expérience directe dans un rôle de praticien de la cybersécurité ou de la technologie.
- Enfin, 5 % des entreprises sont dans la catégorie 4. Ces entreprises ne répondent à aucun des critères ci-dessus.