C’est plus fréquent, mais la cybersécurité est encore trop souvent négligée dans la stratégie business, y compris au sein du BEL20. C’est ce qui ressort d’une analyse du profil des membres des conseils d’administration des sociétés du BEL20 par la société de cybersécurité, Toreon. « Des connaissances techniques insuffisantes au sein des conseils d’administration des entreprises montrent que les risques liés à la cybersécurité sont sous-estimés et que les organisations restent vulnérables », déclare Sébastien Deleersnyder, CEO de Toreon. Les récentes attaques par ransomware, ou rançongiciel en français, contre des entreprises belges montrent que la cybercriminalité n’est pas un phénomène purement international. Le ransomware bloque les accès à l’infrastructure IT, les données étant bloquées en échange d’une rançon permettant de les déchiffrer. Le Centre pour la cybersécurité a signalé 4 500 cyberattaques contre des entreprises en 2019, soit trois fois plus que l’année précédente – un nombre encore bien plus élevé en réalité.
Afin d’encadrer la manière dont les entreprises évaluent ces risques, la société de cybersécurité Toreon a effectué une analyse de profil des membres des conseils d’administration des sociétés du BEL20. L’analyse montre, qu’en dehors de la connaissance de la léglislation GDPR, pas un seul membre du conseil d’administration du BEL20 n’a une expérience claire en sécurité de l’information et en cybersécurité. Dans une entreprise sur quatre du BEL 20, il n’est pas certain que les membres du conseil d’administration aient jamais été en contact avec la sécurité informatique. Les entreprises spécialisées, telles que celles du secteur des sciences de la vie, choisissent souvent uniquement des experts de leur propre domaine pour siéger au conseil d’administration.
Selon Toreon, l’insuffisance des connaissances techniques au sein du conseil d’administration implique que les risques liés à la cybersécurité soient insuffisamment évalués. Ceci est également confirmé par des recherches internationales antérieures, qui montrent qu’il y a un manque de collaboration entre les responsables de la cybersécurité (CISO) et le conseil d’administration.
Sébastien Deleersnyder, CEO de Toreon : « Il incombe au conseil d’administration d’évaluer les risques et d’en informer le management. Nous constatons souvent qu’en raison d’un manque d’expérience, la cybersécurité est trop peu prise en compte ou que les préoccupations du CTO ne sont pas suffisamment entendues. Or, les conséquences d’une cyber-attaque ou d’une violation de données peuvent être catastrophiques ».
Selon M. Deleersnyder, il faudrait investir davantage dans les connaissances en matière de cybersécurité au sein des conseils d’administration et, si possible, composer un conseil aussi hétérogène que possible, dans lequel les membres ayant une expérience de la cybersécurité soient également représentés.
« La cybersécurité doit faire partie intégrante de la stratégie business d’une entreprise et est de préférence déterminée au niveau le plus haut. Non seulement les entreprises du BEL20, mais aussi toutes les entreprises qui traitent des données commerciales sensibles et des données personnelles dans un environnement numérique doivent être conscientes des risques. Tant que la cybersécurité ne fera pas partie intégrante des priorités du conseil d’administration, les entreprises resteront vulnérables », déclare M. Deleersnyder.
Toreon recommande que les cadres des entreprises qui traitent beaucoup de données soient formés à la cybersécurité. À court terme, un meilleur compte rendu du CISO ou du CTO au conseil d’administration peut apporter un certain réconfort. L’agence de cybersécurité belge Toreon s’est muée rapidement en un partenaire indépendant fiable qui accompagne les entreprises et les agences gouvernementales pour pouvoir agir en confiance dans un environnement numérique sécurisé en identifiant les risques digitaux au sein des entreprises et les accompagner pour éliminer ce risque.