Les entités régulatrices et les investisseurs s’intéressent à la gouvernance de la surveillance des risques en cybersécurité des entreprises
Le Harvard Law School Forum on Corporate Governance soulève la pertinence d’améliorer la gouvernance de la surveillance des risques liés à la sécurité de l’information à un moment où les technologies numériques sont devenues une composante incontournable de la création de valeur des entreprises.
Cette surveillance doit être structurelle et pilotée par les hauts gestionnaires et les responsables de la conception organisationnelle de l’entreprise, y compris le conseil d’administration. Même si les tendances en matière de divulgation suggèrent que les entreprises réduisent l’écart par rapport aux attentes de sécurité des parties prenantes, il y aurait, apparemment, des pistes d’amélioration pour de nombreuses entreprises.
Puisque les failles de cybersécurité peuvent causer des dommages considérables aux opérations, entraînant des coûts et des dommages importants, le Harvard Law School Forum on Corporate Governance souligne que les consultants, les régulateurs et les investisseurs s’intéressent de plus en plus aux programmes et aux pratiques des entreprises en cette matière.
À ce propos, on signale qu’en juillet 2023, la Securities and Exchange Commission (SEC) a annoncé de nouvelles règles en matière de sécurité de l’information pour les entreprises cotées en bourse. Dorénavant, celles-ci doivent divulguer chaque année leurs stratégies de gestion des risques de sécurité de l’information, ainsi que leurs pratiques de gouvernance, et signaler rapidement l’occurrence d’un incident de cybersécurité d’importance. On pense que l’entrée en vigueur graduelle de ces règles devra encourager les entreprises à développer une solide gouvernance en matière de sécurité de l’information.
Il est à noter que déjà avant les nouvelles exigences de la SEC, les entreprises faisaient des efforts pour rassurer leurs parties prenantes par rapport à l’efficacité de leurs stratégies de cybersécurité. Il est signalé que presque toutes les sociétés de l’Index Russell 3000 – qui mesure la performance des plus grandes sociétés représentant environ 96 % du marché boursier américain – fournissent des informations où l’on trouve au moins une approche générale de l’atténuation des risques liés à la sécurité de l’information. D’ailleurs, la moitié d’entre elles incluent une divulgation détaillée des risques liés à la sécurité de l’information, ainsi que des stratégies ou des plans pour les atténuer.
Apparemment, les entreprises devront désormais proposer au minimum un programme de formation à la sécurité de l’information censé sensibiliser les employés, les cadres ou les administrateurs au sujet des menaces à la cybersécurité et atténuer leur impact. Les experts signalent que les intrusions peuvent survenir à n’importe quelle étape de la chaîne de valeur. C’est pourquoi la capacité d’alerter rapidement les employés quant au risque posé par l’erreur humaine ou la faiblesse des informations d’identification s’avère l’une des méthodes de prévention les plus efficaces.
Le Harvard Law School Forum on Corporate Governance soulève la pertinence d’améliorer la gouvernance de la surveillance des risques liés à la sécurité de l’information à un moment où les technologies numériques sont devenues une composante incontournable de la création de valeur des entreprises.
Cette surveillance doit être structurelle et pilotée par les hauts gestionnaires et les responsables de la conception organisationnelle de l’entreprise, y compris le conseil d’administration. Même si les tendances en matière de divulgation suggèrent que les entreprises réduisent l’écart par rapport aux attentes de sécurité des parties prenantes, il y aurait, apparemment, des pistes d’amélioration pour de nombreuses entreprises.
Puisque les failles de cybersécurité peuvent causer des dommages considérables aux opérations, entraînant des coûts et des dommages importants, le Harvard Law School Forum on Corporate Governance souligne que les consultants, les régulateurs et les investisseurs s’intéressent de plus en plus aux programmes et aux pratiques des entreprises en cette matière.
À ce propos, on signale qu’en juillet 2023, la Securities and Exchange Commission (SEC) a annoncé de nouvelles règles en matière de sécurité de l’information pour les entreprises cotées en bourse. Dorénavant, celles-ci doivent divulguer chaque année leurs stratégies de gestion des risques de sécurité de l’information, ainsi que leurs pratiques de gouvernance, et signaler rapidement l’occurrence d’un incident de cybersécurité d’importance. On pense que l’entrée en vigueur graduelle de ces règles devra encourager les entreprises à développer une solide gouvernance en matière de sécurité de l’information.
Il est à noter que déjà avant les nouvelles exigences de la SEC, les entreprises faisaient des efforts pour rassurer leurs parties prenantes par rapport à l’efficacité de leurs stratégies de cybersécurité. Il est signalé que presque toutes les sociétés de l’Index Russell 3000 – qui mesure la performance des plus grandes sociétés représentant environ 96 % du marché boursier américain – fournissent des informations où l’on trouve au moins une approche générale de l’atténuation des risques liés à la sécurité de l’information. D’ailleurs, la moitié d’entre elles incluent une divulgation détaillée des risques liés à la sécurité de l’information, ainsi que des stratégies ou des plans pour les atténuer.
Apparemment, les entreprises devront désormais proposer au minimum un programme de formation à la sécurité de l’information censé sensibiliser les employés, les cadres ou les administrateurs au sujet des menaces à la cybersécurité et atténuer leur impact. Les experts signalent que les intrusions peuvent survenir à n’importe quelle étape de la chaîne de valeur. C’est pourquoi la capacité d’alerter rapidement les employés quant au risque posé par l’erreur humaine ou la faiblesse des informations d’identification s’avère l’une des méthodes de prévention les plus efficaces.