Les conseils d'administration, demain en première ligne face aux risques cyber

La multiplication exponentielle des connexions entre les entreprises, longtemps considérée comme une vertueuse source de croissance, apparaît de plus en plus comme une source de risques.

Directive NIS-2 et règlement Dora pour Digital Operational Resilience Act, voici les nouveaux acronymes auxquels seront soumis tous les conseils d’administration dans les mois à venir.

Ces réglementations, loin d’être anecdotiques, traduisent de nouvelles réalités. La multiplication exponentielle des connexions entre les entreprises, longtemps considérée comme une vertueuse source de croissance, apparaît de plus en plus comme une source de risques.

Par ailleurs, les entreprises sont plus que jamais au cœur d’enjeux géostratégiques, justifiant pour les États la mise en place de réglementations parfois complexes pour les protéger, ainsi que l'économie et la société entière.

Dans un paysage numérique toujours plus distribué, la cybersécurité est devenue l’enjeu stratégique. Toutes les entreprises du secteur financier, de l’énergie, du transport, de la santé, de l’industrie, et notamment celles offrant des services critiques, sont aujourd’hui confrontées à la nécessité d’accroitre la résilience de leurs systèmes d’information afin d'assurer la continuité et la reprise des opérations et se protéger contre les cyberattaques. Les nouvelles réglementations à venir ont pour objectif de mettre en place des protocoles de gestion des données et d'atténuation des risques, en limitant les possibilités de perturbation par des acteurs malveillants et en planifiant la reprise après sinistre.

La multiplication des réglementations, réponse aux cyber-menaces

Face à la recrudescence des cybermenaces, les autorités publiques ont donc décidé de renforcer les exigences de sécurité informatique pour les entreprises critiques. Ces exigences illustrent la ferme volonté des États de protéger les entreprises privées qui sont aujourd’hui, par le biais des cyberattaques, au cœur de combats géostratégiques. Une prise de conscience qui s’est accélérée pendant la période COVID, durant laquelle les entreprises ont massivement ouvert leurs systèmes informatiques, renforçant ainsi leur vulnérabilité.

La directive NIS-2 et le règlement Dora font partie de ces nouveaux textes conférant aux conseils d’administration des responsabilités nouvelles dans la stratégie de cybersécurité des entreprises. Ces nouvelles règlementations font notamment d’eux les responsables ultimes de la stratégie de cyber-résilience. Ceci inclut l'identification, la qualification et la mise en œuvre de plans de prévention et de reprise après incident, affirmant ainsi leur rôle central dans la cyber-résilience.

Définir dès aujourd’hui les protocoles de gestion des risques cyber

Devant ces évolutions et ces nouvelles charges, la plupart des acteurs économiques doivent dès maintenant s'engager à déterminer et à anticiper les transformations structurelles et culturelles requises par ces réglementations.

Lorsqu'il est bien conçu, un programme de gestion des risques permet d'accompagner les dirigeants de l'entreprise en leur donnant les moyens de comprendre, d'atténuer ou de transférer les risques en toute confiance.

Cette nouvelle gouvernance place les dirigeants sont désormais en première ligne dans la mise en place d’une stratégie de gestion des risques cybers. Loin d'être une fonction organisationnelle isolée, la gestion de ces risques doit s'appuyer sur les stratégies commerciales et métiers, les règles de conformité et la culture de l'entreprise, ainsi que l’ensemble de ses parties prenantes. En conséquence, il est essentiel que les entreprises investissent dans la formation continue de leur personnel à ces nouvelles réalités de cybergouvernance, assurant ainsi une compréhension et une réponse efficaces face aux défis émergents.

Dans un monde complexe et incertain, la mauvaise gestion du risque cyber est un risque systémique 

Ces changements réglementaires, reflet de la complexification de notre monde, représentent un risque important pour les entreprises qui ne sauront pas mettre en place de meilleures pratiques efficacement et rapidement. Dans un environnement où les cybermenaces évoluent rapidement, les PDG et les dirigeants les plus habiles seront ceux qui non seulement pourront réagir au moment opportun, mais aussi anticiper activement les tendances en matière de cybersécurité, en collaborant étroitement avec des experts pour développer des stratégies de résilience numérique robustes. Cela implique un engagement proactif et continu non seulement pour s’adapter, mais aussi pour anticiper les exigences réglementaires et les défis de cybersécurité à venir.

Dans l’univers ouvert et concurrentiel actuel, les entreprises qui tarderont à mettre en place les bonnes pratiques de sécurité seront confrontées à un risque structurel pour leurs activités et verront rapidement leurs concurrents gagner des parts de marché.