L’impact des menaces et des incidents de cybersécurité ne concerne pas seulement les services informatiques. Leur effet se fait ressentir dans toute l’entreprise et touche à la fois les opérations, la stratégie de cybersécurité et la réputation de la marque. La surveillance et la gestion de ces risques, dont le conseil d’administration a la charge, sont de plus en plus complexes et stratégiques, comme le reflètent les nouveaux textes législatifs et réglementaires.
Le risque cyber est sans conteste un risque métier. Le conseil d’administration et la direction doivent s’assurer que les stratégies liées au cyber risque sont alignées sur leurs objectifs métiers de sorte à déployer les bonnes ressources en vue de protéger les ressources et l’infrastructure critiques de l’entreprise. En présentant des rapports orientés données et basés sur le risque au conseil d’administration, vous vous assurez que l’équipe de direction sera bien informée au moment de prendre les décisions relatives au budget IT et de renforcer la surveillance de la cybersécurité.
Si les membres du conseil d’administration peuvent avoir été sensibilisés aux cyber risques, ils ne comprennent bien souvent pas toute l’étendue des questions de cybersécurité complexes.
Le manuel du directeur 2023 pour la supervision du cyber risque (Director’s Handbook on Cyber-Risk Oversight) du National Association of Corporate Directors (NACD) indique toutefois que le niveau de sensibilisation des conseils d’administration est en augmentation.
Les RSSI et les équipes IT peuvent s’appuyer sur la CRQ pour faire le lien avec le conseil. Cette approche permet de produire des préconisations orientées données et de présenter les risques cyber en termes financiers aux instances décisionnaires.
La quantification des risques cyber utilise un langage commun de sorte à homogénéiser l’interprétation des cybermenaces, de l’appétence au risque, de la tolérance et les définitions des degrés d’importance du risque. Cette communication homogène garantit un bon alignement à tous les échelons, ce qui contribue à améliorer la gouvernance et la supervision de la cybersécurité.
Les réglementations émergentes telles que DORA et les règles édictées par la SEC ou l’IDW en Allemagne imposent certaines pratiques et obligations de divulgation. En communiquant le risque de manière efficace au conseil d’administration, les entreprises sont en mesure de garder une longueur d’avance sur les exigences réglementaires.
La CRQ permet d’associer les objectifs IT et les objectifs métiers en produisant des rapports orientés données basés sur le risque, qui permettent aux décisionnaires d’optimiser la sécurité et la rentabilité des investissements.
La CRQ tient compte de votre appétence au risque au moment d’évaluer l’impact financier des cyber incidents et de déterminer les contrôles à mettre en œuvre pour réduire leur impact potentiel, ce qui renforce la valeur de votre stratégie de cybersécurité.
Gardez l’esprit tranquille : nos solutions et services de CRQ vous aident non seulement à respecter, et même à dépasser, les exigences des nouveaux règlements applicables, quelle que soit la région du monde où vous opérez.
Débloquez toute la puissance des informations orientées données fournies par la quantification des risques cyber. Assurez-vous que vos instances dirigeantes disposent de perspectives claires et faciles à traduire en actions pour s’adapter aisément aux évolutions du paysage numérique.
En mettant en œuvre la CRQ basée sur le risque et en tirant les enseignements du Manuel du directeur 2023 (Director’s Handbook on Cyber-Risk Oversight) pour la supervision du cyber risque du NACD, les conseils d’administration sont en mesure de satisfaire à toutes les exigences de conformité réglementaire les plus récentes.
DORA s’applique aux tiers critiques qui fournissent des services liés aux technologies de l’information et des communications (TIC) aux entreprises financières. Ces sociétés doivent s’assurer qu’elles sont en mesure de résister, réagir et surmonter tous les types de perturbations et de menaces liées aux TIC.
Les entreprises cotées en bourse ont l’obligation de divulguer les risques importants susceptibles d’affecter leur situation financière ou leurs opérations. La SEC impose également le signalement de tout cyber incident important dans les quatre jours qui suivent son identification.
Selon le règlement IDW PS 340, les entreprises cotées en bourse en Allemagne doivent identifier et quantifier les risques en termes financiers, et signaler tous les risques en utilisant des méthodes de CRQ, dont les simulations Monte Carlo, afin de renforcer leur résilience et de se préparer aux futurs risques cyber.
Lorsque le risque technologique fait l’objet d’une communication claire basée sur des mesures financières, le conseil d’administration est mieux informé et la gouvernance de la cybersécurité s’en trouve renforcée. Nous identifions et quantifions les risques cyber en termes financiers.
Nous vous répondrons dans les plus brefs délais.
Le conseil d’administration a pour mission de piloter le suivi et la gouvernance de la cybersécurité. Il est également responsable de l’allocation des ressources, de la planification de la réponse aux incidents et de la conformité de la cybersécurité.
Le Forum économique mondial, en collaboration avec PwC, a publié un rapport sur le risque cyber et le conseil d'administration en 2021, qui comprend six principes destinés à soutenir la surveillance du conseil d'administration et à construire une organisation cyber-résiliente :
1. La cybersécurité est un catalyseur stratégique pour les entreprises
2. Comprendre les moteurs économiques et l'impact du cyber-risque
3. Aligner la gestion des cyber-risques sur les besoins de l'entreprise
4. Veiller à ce que la conception de l'organisation soutienne la cybersécurité
5. Intégrer l'expertise en cybersécurité dans la gouvernance des conseils d'administration
6. Encourager la résilience systémique et la collaboration
Les méthodes de CRQ peuvent être utilisées pour communiquer efficacement avec le conseil d'administration. Expliquer l'impact potentiel des décisions en matière de investissement cyber sur les résultats de l'organisation. Utilisez des données pour donner une image claire des pertes financières potentielles, de l'atteinte à la réputation ou des temps d'arrêt opérationnels associés à diverses cybermenaces. Proposer des solutions qui démontrent comment les investissements en cybersécurité atténueront les risques, amélioreront l'efficacité opérationnelle et contribueront en fin de compte à la croissance et à la stabilité financières de l'organisation.
C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nous proposons des solutions de CRQ, des services de conseil et des formations à la quantification des risques.
