FR
FR EN DE JA AR ES
Accueil | Blog | Comment s'y retrouver dans les réunions du conseil d'administration : Un guide pour les RSSI

Comment s'y retrouver dans les réunions du conseil d'administration : Un guide pour les RSSI

Écrit par : Orlaith Traynor

9 min lire - 28 août 2024

Les responsables de la sécurité des systèmes d'information (RSSI) sont les garants de la cybersécurité de chaque organisation. Et lorsqu'il s'agit de la salle du conseil d'administration, chaque RSSI doit être en mesure de communiquer clairement tous les aspects de la gestion des risques au conseil d'administration.

Les conversations au niveau du conseil d'administration et de la direction sont l'occasion de partager l'expertise en matière de cybersécurité, de signaler les vulnérabilités et de contribuer à la prise de décision.

Dans cette FAQ, vous apprendrez à vous préparer à une réunion du conseil d'administration d'une entreprise, afin de pouvoir partager vos idées en toute confiance et de tenir les chefs d'entreprise informés.

1. Quel est le rôle du RSSI dans les réunions du conseil d'administration ?

Le RSSI est en quelque sorte le "pont" qui relie la cybersécurité d'une organisation à la gouvernance d'entreprise et à la législation. En d'autres termes, le RSSI a pour mission de veiller à ce que chaque entreprise gère ses cyberrisques dans le respect des règles.

Lorsqu'il s'agit d'informer les membres du conseil d'administration, le RSSI doit partager :

  • Menaces émergentes : Il s'agit de tous les cyberrisques auxquels l'entreprise pourrait être confrontée, tels que les attaques de ransomware ou les perturbations de la chaîne d'approvisionnement.
  • Vulnérabilités actuelles : Les cyber-risques les plus probables, compte tenu des mesures de sécurité actuelles de l'organisation.
  • Stratégies de gestion des risques : Les initiatives prises pour contrer ces cyber-risques
  • Conformité : si l'entreprise est actuellement en conformité avec la législation et les normes industrielles (plus d'informations à ce sujet dans la section suivante)
  • Tendances futures et points de repère : Comment le paysage de la cybersécurité évolue, par exemple avec l'IA générative, la transformation numérique ou l'Internet des objets (IoT), et ce que l'entreprise peut faire pour être prête.

2. Quelle législation américaine les RSSI doivent-ils connaître ?

Chaque pays a ses propres règles et réglementations, mais voici quelques lois spécifiques aux États-Unis que tout RSSI doit connaître pour être prêt à affronter le conseil d'administration.

  1. La loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA): Une loi pour protéger la confidentialité des informations sur la santé des patients.
  2. La loi Gramm-Leach-Bliley (GLBA): Une législation qui exige que toutes les institutions financières communiquent sur la manière dont elles partagent les informations et protègent les données de leurs clients.
  3. La loi Sarbanes-Oxley (SOX): Ensemble de règles financières et d'audit auxquelles doivent se conformer les entreprises publiques.
  4. La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS): Une série de normes et de ressources en matière de sécurité des données pour faciliter la sécurité des paiements pour tous.

Cette liste n'est pas exhaustive, car chaque secteur d'activité dispose de son propre ensemble de normes. Chaque RSSI et chaque expert en cybersécurité devrait avoir une connaissance approfondie de ces normes, car cela guidera ses initiatives et ses prises de décision.

3. Comment les RSSI doivent-ils se préparer aux réunions du conseil d'administration ?

Les réunions avec les directeurs d'entreprise peuvent sembler intimidantes, mais avec une bonne préparation préalable, n'importe quel RSSI ou équipe de sécurité peut les mener à bien.

Premièrement, ils doivent recueillir des données pertinentes en matière de cybersécurité. L'utilisation des données aidera à convaincre les administrateurs des meilleures stratégies et initiatives pour l'avenir. (Nous reviendrons sur les mesures dans la FAQ #6).

Deuxièmement, ils doivent se préparer à répondre à d'éventuelles questions que les membres du conseil d'administration pourraient poser. En anticipant les questions et les objections, ils peuvent d'emblée partager en toute confiance leur cyber-expertise.

Enfin, les RSSI doivent être conscient de l'évolution de la cybersécurité. En restant au fait des dernières informations, le conseil d'administration et les parties prenantes auront l'esprit tranquille, sachant qu'ils ont une longueur d'avance.

Par exemple, vous pouvez lire l'article de CybelAngel intitulé Rapport 2024 sur la cybersécurité pour comprendre le paysage actuel et l'utiliser pour élaborer votre stratégie pour cette année.

Lire l'article de CybelAngel Rapport 2024 sur la cybersécurité pour comprendre le paysage actuel de la cybersécurité.

4. Quels sont les éléments essentiels de la présentation d'un RSSI ?

Voici un questionnaire qui vous aidera à préparer plus en détail votre présentation aux sièges du conseil d'administration.

  1. Mesures de cybersécurité: Que révèlent les données (par exemple, le nombre d'incidents de sécurité ou les délais de réponse) ? Faut-il changer quelque chose ?
  2. Le paysage des menaces : Quels sont les principaux risques cybernétiques à prendre en compte à l'heure actuelle ? Quelles sont les tendances qui se dessinent ?
  3. Mesures actuelles de cybersécurité : Que faisons-nous pour éviter ces cyberrisques ? Quelles sont nos forces et nos faiblesses ?
  4. Plans d'intervention en cas d'incident : Que se passe-t-il en cas de cyberattaque ? Comment l'attaquer de front ? Et avons-nous déjà effectué des simulations à ce sujet ?
  5. Mise à jour des efforts de mise en conformité : Sommes-nous en conformité avec la gouvernance d'entreprise et les lois en vigueur ? Quand avons-nous procédé à un audit, une certification ou une évaluation pour la dernière fois ?
  6. Perspectives d'avenir : Quelles sont les initiatives prévues pour les mois à venir ? Comment s'alignent-elles sur les objectifs commerciaux plus larges du conseil d'administration ?

5. Quels sont les indicateurs que les RSSI doivent communiquer au conseil d'administration ?

Vous devez mettre en évidence les indicateurs de cybersécurité qui sont pertinents pour les membres du conseil d'administration, notamment (mais pas exclusivement) :

  • Nombre et gravité des incidents de sécurité : Cela montre l'efficacité de vos mesures actuelles
  • Temps de réponse en cas d'incident : Il s'agit d'un indicateur de l'efficacité avec laquelle vous pouvez détecter et résoudre une menace.
  • Mesures de conformité : Ils indiquent dans quelle mesure vous respectez la législation en vigueur.
  • Exposition au risque des actifs critiques : Cela révèle la probabilité que vos données soient compromises
  • Retour sur investissement (ROI) en matière de cybersécurité : Cela permet de justifier le recours à des mesures de cybersécurité et de montrer les avantages financiers pour l'entreprise.

6. Comment les RSSI peuvent-ils communiquer efficacement avec le conseil d'administration ?

N'oubliez pas que tout le monde n'a pas une formation supérieure en cybersécurité ! Les membres du conseil d'administration peuvent ne pas comprendre toute votre expertise technique, il est donc essentiel de décomposer l'information d'une manière accessible et relatable.

Tout d'abord, assurez-vous que vous utiliser un langage clair. Les mots techniques à la mode peuvent vous sembler intelligents, mais ils n'aideront pas votre public. Ne soyez pas condescendant avec le conseil d'administration, mais veillez également à ce que vos explications soient claires et simples afin d'éviter toute confusion.

En outre, vous devez toujours essayer de donner des exemples et des aides visuelles pour présenter votre travail. De plus, vous pouvez partager des études de cas. Par exemple, même les Microsoft a subi une cyberattaque en janvier, et LinkedIn a eu une fuite de données pour 500 millions d'utilisateurs l'année dernière - ce qui prouve que personne n'est à l'abri ! De telles histoires soulignent l'importance de votre rôle.

Enfin, renvoyer aux principaux objectifs de l'entreprise. Le conseil d'administration ne comprendra peut-être pas tous les aspects de la cybersécurité. Mais si vous pouvez l'associer à des objectifs plus larges, tels que la rentabilité ou l'expansion, vos idées auront beaucoup plus d'impact. Nous approfondirons ce point dans la FAQ #11.

7. Quels sont les défis les plus courants auxquels les RSSI sont confrontés lors des réunions du conseil d'administration ?

Les RSSI, les DSI et les responsables de la sécurité sont souvent confrontés à des problèmes de sécurité. durée limitée de partager leur cyber-expertise. La solution consiste à être succinct et à se concentrer sur les principales idées et recommandations.

En outre, un le manque d'expertise technique entre les membres du conseil d'administration peut être un inconvénient pour les RSSI. Comme indiqué dans la dernière section, ils doivent trouver des moyens de communiquer clairement, sans être condescendants.

Enfin, certains membres du conseil d'administration peuvent ne veulent pas investir dans la cybersécurité. En général, c'est parce qu'ils ne comprennent pas sa rentabilité. Vous apprendrez comment résoudre ce problème dans la FAQ #11.

8. Comment les RSSI peuvent-ils répondre aux préoccupations des membres du conseil d'administration en matière de cybersécurité ?

Les membres du conseil d'administration peuvent se demander si la cybersécurité en vaut la peine ou si elle a vraiment un impact. En outre, seulement 3 directeurs sur 10 se sentent confiants dans la capacité de leur conseil d'administration à gérer efficacement une crise cybernétique. 60% des personnes interrogées dans le cadre de l'enquête de Spencer Stuart ont cité la cybersécurité comme un sujet bénéfique pour le développement, la formation et l'éducation des administrateurs.

Voici trois façons d'y remédier.

  1. Donnez des exemples de menaces pour la cybersécurité : Racontez des histoires réelles d'incidents de cybersécurité et parlez des conséquences d'une attaque.
  2. Démontrer le retour sur investissement des initiatives de cybersécurité : Présenter les économies de coûts et la réduction des risques. Par exemple, les services de cybersécurité coût 8% de la dépense moyenne pour se remettre d'une attaque de ransomware. En d'autres termes, mieux vaut prévenir (et moins cher) que guérir.
  3. Sensibilisez votre entreprise de manière proactive : Organiser des séances d'information ou des sessions pour aider les membres du conseil d'administration à comprendre plus en détail les principes et l'importance de la cybersécurité.

9. Quelles sont les meilleures pratiques pour dialoguer avec le conseil d'administration en dehors des réunions officielles ?

S'engager avec les membres du conseil d'administration en dehors de ces réunions n'est pas seulement encouragé, c'est essentiel ! Plus les RSSI sont communicants, plus ils peuvent rester en phase avec le conseil d'administration.

Les RSSI doivent encourager les membres du conseil d'administration à organiser des réunions individuelles, des séances d'information et des sessions de formation quand ils le souhaitent. Cela permettra à tout le monde de rester sur la même longueur d'onde et renforcera l'importance de la cybersécurité dans l'ensemble de l'entreprise.

10. Comment les RSSI doivent-ils gérer les incidents de cybersécurité sensibles lors des réunions du conseil d'administration ?

Les incidents de cybersécurité peuvent être délicats et les RSSI doivent trouver un équilibre entre la transparence, la confidentialité et une communication efficace.

Voici cinq bonnes pratiques pour vous aider à y parvenir.

  1. Restez calme et professionnel : Les émotions peuvent facilement s'exacerber dans les moments de stress. Mais au lieu de cela, restez calme et réaffirmez votre conviction que l'incident peut être géré.
  2. Partager des mises à jour de haut niveau : Donnez un aperçu de ce qui s'est passé, des conséquences possibles et des mesures prises pour y remédier.
  3. Mentionnez les implications juridiques et de confidentialité : Décrivez les obligations légales pendant cette période et rappelez au conseil d'administration qu'il doit à tout prix respecter les règles de confidentialité.
  4. Rassurer et indiquer les prochaines étapes : Confirmez que le problème est géré comme une priorité absolue et décrivez comment vous atténuez les dommages et empêchez qu'il ne se reproduise.
  5. Fournir des mises à jour régulières : Tenez le conseil d'administration informé de tous les progrès réalisés. Cela renforcera la confiance et les tiendra au courant de l'évolution de la situation.

11. Comment les RSSI peuvent-ils aligner les initiatives de cybersécurité sur les objectifs de l'entreprise ?

L'alignement de vos initiatives en matière de cybersécurité sur la stratégie globale de l'entreprise contribuera à obtenir l'adhésion de tous.

Par exemple, vous pouvez :

  • Passez en revue vos objectifs commerciaux : Et décrire comment la cybersécurité complétera et préservera ces objectifs.
  • Partager les indicateurs de réussite : Établissez des indicateurs de performance clés pour montrer comment vos efforts complètent les résultats commerciaux, tels que l'amélioration de la confiance des clients.
  • Se concentrer sur l'impact commercial, et non sur l'aspect technique : Communiquer en termes commerciaux aura plus d'impact sur les membres du conseil d'administration
  • Démontrer le retour sur investissement : Montrer que l'investissement dans la cybersécurité est beaucoup moins coûteux que le coût d'une violation de données et qu'il peut protéger la valeur et la réputation de l'entreprise.
  • Faites participer tout le monde : Veiller à ce que chaque service s'investisse dans la cybersécurité, par exemple en proposant régulièrement des sessions de formation et des séances d'information.

12. Quelles ressources peuvent aider les RSSI à se préparer aux réunions du conseil d'administration ?

Se préparer à une réunion du conseil d'administration peut être stressant. Voici donc 7 ressources pour simplifier l'ensemble du processus.

Le cadre de cybersécurité du NIST.
  1. Le cadre de cybersécurité du NIST : Ensemble de lignes directrices en matière de cybersécurité établies par l'Institut national américain des normes et de la technologie (National Institute of Standards and Technology).
  2. EC-Council : Une plateforme de certification pour les RSSI, conçue pour les aider à "se former pour la suite".
  3. Gartner : Obtenez les derniers rapports et feuilles de route conçus pour les RSSI en 2024.
  4. Lecture sombre : Un site d'information communautaire sur la cybersécurité pour se tenir au courant des derniers développements dans le monde.
  5. CSOonline : Un site web d'information sur la cybersécurité pour vous tenir au courant des tendances et des histoires les plus récentes.
  6. TechTarget - Search CIO : Un site d'actualités sur la transformation numérique, l'informatique et la gestion des risques destiné aux directeurs des systèmes d'information (DSI).
  7. Le blog de CybelAngel : Un blog consacré à la cyberveille de l'EASM, qui couvre tous les sujets, du "domain squatting" au "dark web" et au-delà.

13. Quelles sont les conséquences d'un manque de communication efficace avec le conseil d'administration ?

Le rôle de tout RSSI repose sur la communication, la communication... et encore la communication. Lorsqu'un RSSI ne parvient pas à communiquer efficacement avec le conseil d'administration, cela peut avoir des conséquences pour l'ensemble de l'entreprise.

Premièrement, l'organisation sera plus vulnérables aux cybermenaces. Si le conseil d'administration ne comprend pas les risques liés à la cybersécurité, il peut être moins enclin à investir dans des initiatives de sécurité, ce qui rend l'entreprise plus vulnérable aux violations de données, aux attaques de ransomware, etc.

Deuxièmement, l'entreprise peut être plus susceptibles de faire l'objet d'amendes et de sanctions réglementaires. Si le conseil d'administration ne donne pas la priorité à la conformité, certaines normes risquent de passer entre les mailles du filet, ce qui pourrait entraîner des amendes et des atteintes à la réputation par la suite.

Les actionnaires de Yahoo ont pris des mesures en 2019 avec la New York Times Les anciens dirigeants et administrateurs de Yahoo ont accepté de payer $29 millions d'euros à la Commission européenne. régler accusés d'avoir manqué à leurs obligations fiduciaires dans le traitement des données de leurs clients lors d'une série de cyberattaques entre 2013 et 2016".

Troisièmement, de l'entreprise la réputation pourrait en souffrir. Sans les mesures de cybersécurité adéquates, une marque pourrait perdre son intégrité, ce qui pourrait à son tour affecter la confiance des clients et des investisseurs, ainsi que les opportunités commerciales futures.

14. Comment les RSSI peuvent-ils améliorer leur profil en vue des réunions du conseil d'administration ?

Pour vous positionner en tant qu'expert et gagner la confiance des membres du conseil d'administration, il est important de soigner votre image professionnelle, à la fois pendant et entre les réunions.

Par exemple, vous pouvez...

  • Développez votre réseau : Assister à des événements du secteur, s'engager auprès de la communauté des RSSI et entrer en contact avec des personnalités influentes dans votre domaine.
  • Demandez à rester pendant toute la durée de la réunion : Cela signifie que vous pouvez établir des relations avec le conseil d'administration et mieux comprendre les objectifs généraux de l'entreprise.
  • Travaillez vos compétences en matière de leadership et de communication : Ces connaissances vous aideront à vous démarquer et à vous faire entendre dans la salle du conseil d'administration.

En augmentant votre liste de contacts, en étant présent tout au long de la réunion et en développant vos compétences relationnelles, vous pouvez renforcer votre expertise technique et instaurer un climat de confiance avec le conseil d'administration.

15. Que se passe-t-il si un RSSI n'est pas invité aux réunions du conseil d'administration ?

Les voix des RSSI sont largement sous-représentées dans les réunions des conseils d'administration. En fait, une étude récente a révélé que seulement 1,4% des entreprises ont un RSSI dans leur conseil d'administration, même si la cybersécurité peut littéralement "faire ou défaire" l'image d'une marque.

Cela signifie que Les RSSI doivent s'efforcer de participer aux réunions des conseils d'administration pour s'assurer que la cybersécurité reste une priorité. Il peut s'agir de travailler en réseau avec les membres du conseil d'administration pour soulever la question. Il peut également s'agir de préparer une présentation pour justifier votre présence à ces réunions.

Prenez des mesures proactives pour souligner l'importance de votre rôle et les raisons pour lesquelles le conseil d'administration devrait également s'en préoccuper. N'oubliez pas que la réussite de l'ensemble de l'entreprise en dépend - n'ayez donc pas peur d'insister pour obtenir un siège au conseil d'administration.

(Ils vous en remercieront plus tard).

Conclusion

Malgré les tendances actuelles, les RSSI devraient participer à toutes les réunions du conseil d'administration. Leur expertise technique aidera les administrateurs à prendre les bonnes décisions et à assurer la sécurité de leur entreprise.

Si vous êtes RSSI et que vous vous préparez à une réunion du conseil d'administration, n'oubliez pas de.. :

  • Se concentrer sur les objectifs de l'entreprise : Lorsque vos initiatives en matière de cybersécurité sont alignées sur les objectifs de l'entreprise, le conseil d'administration est plus enclin à y prêter attention.
  • Donner la priorité à la collaboration et à la transparence : Entretenez vos liens avec les membres du conseil d'administration et encouragez-les à vous contacter à tout moment.
  • Communiquer clairement : Éviter le jargon technique et tout expliquer en termes clairs et simples pour que tout le monde soit sur la même longueur d'onde.

Et n'oubliez pas que si vous n'êtes pas invité aux réunions du conseil d'administration, c'est l'occasion d'y remédier. L'expertise du RSSI est essentielle au fonctionnement de toute entreprise, et les membres du conseil d'administration bénéficieront de vos connaissances.

À propos de l'auteur

Orlaith Traynor

Orlaith est une stratège en marketing de contenu B2B basée à Paris, spécialisée dans la cybersécurité et la technologie, avec une expertise approfondie en SEO, AEO, planification éditoriale et gestion CMS. Après avoir dirigé le contenu d'entreprises telles que CybelAngel et PhantomBuster, elle aide les marques de technologie à créer des stratégies de contenu qui favorisent la visibilité organique et la confiance des acheteurs sur des marchés concurrentiels.

lire tous les articles