Signaler les cyber-risques aux conseils d'administration
Les conseils d'administration ont l'obligation légale de surveiller correctement les risques. Les cyber-risques constituent désormais un risque commercial critique et potentiellement important. Cependant, la plupart des conseils d'administration sont mal équipés pour faire face au cyber-risque. Ils considèrent la cybernétique comme trop technique, se contentant d'approuver les ressources et de déléguer le risque.
Pour les risques commerciaux traditionnels, il existe une pratique établie sur la manière dont les informations doivent être rapportées et une division acceptée de la responsabilité/délégation. Pour les cyber-risques, cela n'existe pas actuellement. Les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité et à fournir une assurance raisonnable que le risque cybernétique restant est inférieur à l'appétit de risque de l'entreprise. De nombreux CISO ne parlent pas le "langage du conseil" et ne sont pas invités à faire des rapports.
Nous vous proposons deux rapports ci-dessous.
- Le premier document est destiné aux responsables de la sécurité des informations (CISO). Il décrit comment ils peuvent au mieux surveiller, mesurer et signaler les cyberrisques à leur conseil d'administration.
- Le second document est destiné aux conseils d'administration eux-mêmes. Il complète le premier document.