〈   Responsabilités du conseil d’administration
Travailler sur les risques d’attaques cyber au niveau du conseil d’administration

Chapitre 2.3

Sept questions pour adopter une bonne approche


Grâce aux nouvelles façons d’assumer leur responsabilité fiduciaire envers les actionnaires, et leur 

responsabilité de surveillance de la gestion des risques commerciaux, les administrateurs peuvent se poser sept questions majeures pour appréhender les enjeux de cybersécurité :

  1. La cybersécurité ne se limite pas à la protection des données. 

Quelle est la politique de l’entreprise en la matière et ses actions ? Faut-il se limiter aux obligations de la LPD ou du RGPD ? Des mesures plus poussées sont-elles prises ? Des risques spécifiques justifient-ils une démarche plus avancée ?

  1. Les CA doivent participer en connaissance de cause à la surveillance de la cybersécurité. 

En cas d’activités sur d’autres marchés que la Suisse, le RGPD et d’autres réglementations posent des exigences. Il convient donc de se poser la question de comment le conseil d’administration va participer à cette surveillance.

  1. Les CA doivent se concentrer sur le risque, la réputation et la continuité des activités. 

Il s’agit d’un message à faire passer, car les équipes opérationnelles vont vouloir défendre l’activité, ce qui va générer une surcharge de stress pour les équipes IT, voire chez des prestataires externes quand cette mission leur est confiée. Il faut donc se poser la question de comment évaluer ces prestataires externes et comment valider la qualité de leurs prestations ? Il relève de la responsabilité de l’entreprise, de se justifier, en cas de crise, d’avoir choisi un prestataire ou un autre.

  1. Quels sont les plans d’intervention en cas d’incident ? 

À travers cette question, il importe de se demander quels impacts peuvent atteindre le conseil d’administration et ses membres, qui va devoir s’impliquer dans la gestion de crise, et comment celle-ci va se déclencher.

  1. Quel est le rôle du conseil d’administration en cas d’incident ? 

En amont de la crise, il faut se poser la question de la composition la plus judicieuse de la cellule de crise et de ses procédures internes.

  1. Quels sont les plans de reprise d’activité en cas de cyber incident ? 

Avec un Plan de continuité de l’activité (PCA), il est possible de prévoir des alternatives en cas de paralysie d’une partie de l’activité. Matériel de réserve, lieu de repli, logiciels et réseaux sécurisés… Autant de pistes pour ne pas voir une crise annihiler toute possibilité de maintenir l’activité.

  1. Notre investissement en matière de cybersécurité est-il suffisant ? 

Au regard des éléments (apportés par des experts IT, des sous-comités ou une personne du CA chargée de ce sujet), évaluer les risques, les vulnérabilités et les impacts potentiels et adopter un arsenal à la hauteur de ces questions.

2023 © Trust Valley. Tous droits réservés.