Questions liées à la cybersécurité que les CA devraient | KPMG | CA

La cybersécurité, une question cruciale à l’ordre du jour des comités d’audit

Questions liées à la cybersécurité que les CA devraient

Les comités d’audit qui assument une responsabilité en matière de cybersécurité ont beaucoup de matière à réflexion.

Contacts

Contenu connexe

tr-cyber-security

Alors que la cybersécurité peut sembler être la « saveur du mois » pour certains, les conséquences d’une mauvaise gestion de la cybersécurité peuvent être considérables, comme d’autres l’ont découvert. C’est une chose, pour les comités d’audit (« CA »), d’accepter la responsabilité de la surveillance des cyberrisques dans le cadre de l’accroissement général de leurs responsabilités liées aux risques. C’en est une autre que d’entamer des discussions approfondies sur la manière dont l’organisation gère réellement les données, sur le niveau de sécurité de ses systèmes, sur la question de savoir si la cybersécurité devrait être gérée par le conseil d’administration et, le cas échéant, si le conseil est suffisamment organisé pour traiter ces questions efficacement. Peu importe l’angle sous lequel vous analysez la question ou le secteur au sein duquel vous travaillez, les CA sont au cœur des discussions portant sur les risques liés à la cybersécurité, et ils sont confrontés à plusieurs questions et enjeux cruciaux.

Attribution de la responsabilité de surveillance

Certaines organisations confient la question de la cybersécurité au conseil d’administration plutôt que de la déléguer au CA ou de mettre sur pied un comité distinct chargé de la gestion de ces risques. L’un des avantages de cette approche est que généralement, le conseil d’administration possède déjà, grâce à la variété des compétences de ses membres, une expertise en technologie de l’information (« TI ») dans des domaines tels que la mise en œuvre de systèmes, la transformation de la technologie et la gestion des données, alors qu’un comité pourrait devoir aller chercher cette expertise à l’externe. Néanmoins, de nombreux CA verront la cybersécurité s’ajouter à leur gamme de responsabilités, et ils doivent être prêts à assumer ce nouveau rôle.

Engagement envers la direction et les TI : poser les bonnes questions, obtenir des réponses précises

Une fois que l’organisation a établi la structure de la surveillance, la question de l’exécution de la surveillance se pose. Quel est le niveau d’engagement du CA envers la direction, et quelles questions le CA devrait-il poser? Le CA doit prendre l’initiative de s’assurer que la direction a mis en place un programme de cybersécurité complet couvrant la prévention, la détection et l’intervention.

La planification de l’intervention est particulièrement cruciale. Les organisations doivent se préparer à différentes éventualités et tester divers scénarios afin de cerner les aspects où il pourrait y avoir des lacunes en ce qui concerne l’intervention. Les CA qui assument une responsabilité en matière de cybersécurité doivent se tenir constamment au courant des activités et des plans de la direction dans ces domaines. Ils doivent également rester au fait des exigences, des normes et des pratiques exemplaires sectorielles et territoriales qui s’appliquent en matière de sécurité, de protection des données et de confidentialité.

« Dans les cas des sociétés menant des activités en Europe, y compris celles établies en Amérique du Nord, le règlement général sur la protection des données de l’Union européenne (« UE ») devant être adopté sous peu aura des répercussions importantes. Dans le cas d’une infraction majeure à la sécurité, l’autorité chargée de la protection des données de l’UE pourra infliger aux sociétés des amendes allant jusqu’à 5 % de leur chiffre d’affaires annuel global - le montant de la pénalité pourrait donc être colossal. »

Les CA doivent poser des questions sur la cybersécurité

Pour s’assurer que la cybersécurité est traitée adéquatement, les comités d’audit devraient à l’avenir poser certaines questions clés.

  • Devrions-nous être responsables de la cybersécurité ou cette responsabilité devrait-elle revenir au conseil d’administration?
  • Si nous en sommes responsables, possédons-nous une expérience technique et des compétences en matière de TI qui soient appropriées pour remplir ce mandat?
  • Les discussions sur la cybersécurité figurent-elles à l’ordre du jour des réunions du comité, que ce soit sur une base annuelle ou trimestrielle, ou encore à chacune des réunions?
  • Des examens indépendants sont-ils régulièrement prévus et exécutés?
  • Avons-nous un bon niveau de communication et d’engagement avec la direction?La direction et les services des TI sont-ils bien pourvus en personnel?
  • Recevons-nous des rapports et des analyses appropriés concernant la gouvernance des TI, la sécurité des données, les tests de pénétration, etc.?
  • Possédons-nous les informations adéquates pour cerner les aspects où il pourrait y avoir des lacunes et pour établir une comparaison par rapport aux indicateurs clés de performance (« ICP »)?
  • Avons-nous établi un plan qui sera mis en œuvre si quelque chose tourne mal?
  • Avons-nous pris en compte toutes les exigences réglementaires et les autres exigences?

Les membres du conseil d’administration auraient également intérêt à se demander s’ils savent vraiment si leur organisation a déjà été la cible d’une attaque. D’après notre expérience, de nombreux administrateurs n’en sont pas certains, et de telles attaques se produisent plus fréquemment qu’on le croit. Ainsi, même si vous croyez que votre organisation est à l’abri des attaques, il vaut la peine d’examiner plus en détail ses antécédents en matière de cybersécurité.

Institutions financières sous haute surveillance

Dans le cas des institutions financières dont les activités sont intimement liées à l’économie mondiale et au bien-être financier global, les conséquences d’un laxisme sur le plan de la cybersécurité pourraient être particulièrement graves. En effet, les autorités de réglementation perçoivent la cybersécurité comme un risque de premier plan comportant des aspects complexes qui émergent et qui évoluent constamment. Ainsi, les autorités discutent avec les institutions financières du pays des systèmes et des procédures qu’elles ont mis en place pour gérer la cybersécurité.

« Dans le cas des institutions financières, les autorités de réglementation tiennent des discussions directes avec les CA et d’autres parties prenantes au risque, de sorte qu’elles placent la barre encore plus haut en ce qui concerne la cybersécurité. »

Le secteur des services financiers, aux prises avec un éventail de questions liées à la croissance de l’information, à l’accélération de l’innovation technologique et à la hausse de la cybercriminalité, prend également la cybersécurité de plus en plus au sérieux, cette question figurant régulièrement parmi les cinq principaux points à son ordre du jour. Compte tenu des enjeux économiques et réglementaires potentiels, il est essentiel que les CA des institutions financières traitent ces questions le plus tôt possible. Les CA qui prennent de telles mesures peuvent faire plus que de simplement pallier aux lacunes potentielles en matière de conformité. Ils peuvent également préparer le terrain en vue d’atténuer les risques de façon plus efficace dans un monde des affaires de plus en plus axé sur la technologie.

Pour de plus amples renseignements sur les pratiques exemplaires des CA du secteur des services financiers, lisez notre article « Les pratiques exemplaires prennent tout leur sens » etvisionnez notre vidéo sur les sujets d’actualité en audit.

Communiquez avec nous

 

Appel d’offres

 

Soumettre