Nouvelles

Retourner à la liste des nouvelles

Le 7 novembre 2018

Cybersécurité et responsabilités des administrateurs

Si la vitesse d’intégration des technologies aux différents modèles d’affaires varie d’une entreprise à l’autre, force est d’admettre que la numérisation des procédés et des processus n’est pas une mode passagère. Essentielles au succès de cette transformation, les données recueillies et produites sont de plus en plus à risque d’être consultées, modifiées ou volées. Alors, comment faire pour les protéger?

 

Cybersécurité - Concept de sécurité: cadenas fermé sur fond numérique

 

Lyne Bouchard, Vice-rectrice aux ressources humaines de l'Université Laval et professeure agrégée de FSA ULaval, notamment en gouvernance d’entreprises et en cybersécurité, a accepté de répondre à nos questions sur le sujet.

La cybersécurité consiste à mettre en place les mesures de sécurité qui vont permettre de protéger l’information et les équipements informatiques quand on est relié à Internet.

 

Quelles sont les menaces liées à Internet?

 

Les menaces sont les mêmes sur Internet que si on mettait un ordinateur au milieu d’une place publique. Les gens vont vouloir entrer voir les informations, les consulter, les copier ou les voler. Et, ce qui est pire à mon avis, c’est qu’ils vont vouloir les modifier.

 

Puis, au passage, certains attaquants peuvent détruire les équipements. Particulièrement, les disques durs. Alors, ils peuvent abimer la technologie comme telle ou plutôt s’intéresser seulement aux informations. C’est pourquoi il faut protéger nos actifs, que ce soient des actifs physiques ou des actifs informationnels.

C’est important parce qu’aujourd’hui l’immense majorité des organisations dépendent du bon fonctionnement de l’informatique.

 

Si je réussis à pénétrer dans le réseau d’un hôpital et à modifier les dossiers des patients, ou si je réussis à pénétrer dans les réseaux d’une société d’investissement pour modifier à la baisse la limite d’un financement accordé, comment vont réagir les gens à l’extérieur de cette entreprise?

 

Si un article de journal circule sur les réseaux sociaux et dévoile qu’une entreprise s’est fait voler tous ses numéros de cartes de crédit et toutes les coordonnées des clients associés à ces numéros de cartes de crédit ? même si les numéros de cartes de crédit n’ont pas été utilisés ? La confiance est brisée. La réputation est atteinte. Est-ce que les gens vont alors perdre confiance au point de pousser l’entreprise en faillite?

Je répondrais plutôt par: pourquoi les protéger? Il faut se poser la question: «s’il y avait des données qui étaient volées chez nous, quelle serait la conséquence pour mes clients, pour mes partenaires, pour mes actionnaires?» Et chacune de ces parties prenantes entraînera une réponse différente et nous indiquera quelles données devraient être protégées.

En définitive, la première responsabilité du conseil d’administration est simple: c’est de voir à la préservation des actifs de l’organisation et à son développement. Si, en cours de route, il y a des événements, comme un incident de cybersécurité, qui surviennent et qui menacent la survie de l’organisation, sa croissance, la réalisation de ses plans d’affaires, l’intérêt des partenaires, des employés, et bien tout cela devrait préoccuper fortement le conseil d’administration.

 

Le conseil d’administration doit faire en sorte que la direction de l’organisation puisse lui expliquer les risques de cybersécurité auxquels celle-ci fait face. Il faut que l'on comprenne les risques et leurs conséquences de façon à prendre de bonnes décisions.

 

L’administrateur doit se demander: qu’est-ce que l’organisation fait pour prévenir ces risques-là, pour les gérer s’ils se présentaient et pour récupérer d’un incident de cybersécurité.

Oui, tout à fait. Par exemple, quand Target s’est fait voler ses numéros de cartes de crédit dans la période de Thanksgiving aux États-Unis en 2013, il y a eu des poursuites en recours collectif, dont certaines contre le conseil d’administration pour négligence. Éventuellement, le CA a dû se défendre et démontrer qu’en collaboration avec la direction, il avait fait preuve de rigueur dans son travail pour évaluer les risques et se protéger suffisamment.

Il faut prouver qu’on en a discuté avec la direction qui a eu à démontrer tout le sérieux requis ? par les documents archivés, par les analyses faites, peut-être par des tests de cybersécurité ? et que la décision qu’on a prise était logique en fonction de l’information que l’on possédait à ce moment-là.

Le premier conseil serait de mettre à l’ordre du jour du conseil d’administration une discussion avec l’équipe de direction pour savoir comment celle-ci perçoit les menaces de cybersécurité dans l’organisation. Cette discussion nous amènerait à discuter de comment on se prémunit des menaces et comment on gérerait une attaque. Cette discussion devrait apparaître l’ordre du jour tous les trois mois.

 

Le deuxième conseil serait de garder une préoccupation sur ce qui se passe dans notre industrie en question par rapport à la cybersécurité, d’effectuer une veille.

 

On peut programmer des alertes par mot-clé dans Google, par exemple, pour recevoir automatiquement des nouvelles sur les incidents de cybersécurité dans notre industrie, par exemple, et lire les magazines propres à notre secteur pour se faire une opinion et comprendre les défis que ça représente. Mais un administrateur ne doit pas devenir un expert. L’objectif, c’est d’avoir un administrateur qui est bienveillant, qui a une préoccupation générale vis-à-vis des risques auxquels fait face son organisation, y compris les risques liés à la sécurité.

 

Si l’administrateur ne se sent pas à l’aise pour parler de cybersécurité, il y a deux options. La première: on pose nos questions à la direction, c’est notre premier devoir. La deuxième: on peut faire venir un expert qui réalisera des tests de pénétration informatiques ou un audit de cybersécurité, ou qui nous accompagnera dans des dossiers précis.

Même si on jugeait qu’il y a peu de risques qu’on subisse les conséquences négatives d’une brèche informatique, il faut se demander:

 

  • Qu’est-ce qu’on va faire si ça se produit?
  • À partir de quel moment le responsable informatique devra-t-il aviser le président ou la présidente de l’organisation?
  • À partir de quel moment le président ou la présidente devrait-il appeler le président ou la présidente du conseil d’administration?
  • À partir de quand devrait-on contacter les autorités? La police?
  • Quand va-t-on émettre un communiqué de presse, et que devrait-il contenir comme messages-clés? Et pour quelles raisons devrait-on l’émettre?

 

C’est beaucoup de questions, mais quelle est la conséquence d’un silence sur la réputation de l’organisation? Par exemple, Facebook a pris beaucoup de temps à dévoiler qu’il y avait eu un accès non éthique aux données de ses usagers par Cambridge Analytica. L’entreprise n’a pas fait faillite, mais ce fut une grande crise à gérer. Lorsqu’un vol de données s’est produit en septembre dernier, elle l’a communiqué sans attendre.

 

Le conseil d’administration doit s’assurer que l’organisation est capable de survivre et de se développer de façon constante, et les menaces de cybersécurité sont des menaces réelles qui peuvent détruire une entreprise. Alors, il doit s’en préoccuper. Ce n’est pas une option!

 

LYNE BOUCHARD

LYNE BOUCHARD

Vice-rectrice aux ressources humaines et professeure agrégée à la faculté des sciences de l’administration de l’Université Laval, Lyne Bouchard dirige également l’Observatoire en gouvernance des technologies de l’information à l’Université Laval.

 

 

Mme Bouchard a occupé de nombreux postes pour les sociétés LGS, Informission, Gartner, Montréal International et Fujitsu Canada/DMR, et a également été vice-rectrice aux technologies de l’information pour l’Université de Sherbrooke, ainsi que
sous-ministre associée à la Direction générale des services à l’organisation du ministère de la Justice du Gouvernement du Québec.

Partager

Contactez votre expert

Isabelle Fontaine

Directrice principale, Affaires publiques et gouvernementales, Montréal

Contactez votre expert

Isabelle Fontaine

Directrice principale, Affaires publiques et gouvernementales, Montréal