Les conseils d’administration jouent un rôle important en matière de cyberrésilience, selon un sondage du Canadian HR Reporter

Patricia Kosseim

Le 4 septembre 2018

Un récent sondage mondial mené par l’Economist Intelligence Unit auprès de 453 administrateurs, dont 50 au Canada et 100 aux États-Unis, révèle qu’un tiers des organisations ont vécu un cyberincident « grave » au cours de la dernière année. Dans son article paru dans le Canadian HR Reporter, John Dujay examine cet aspect et d’autres principales conclusions du sondage, notamment le rôle important des conseils d’administration pour favoriser la cyberrésilience dans leur organisation. Comme l’explique l’article, la plupart des sociétés ont un plan de cybersécurité, mais peu d’entre elles mettent l’accent sur la cyberrésilience, soit la capacité d’assurer une certaine normalité et de poursuivre leurs activités après un cyberincident. Patricia Kosseim, avocate-conseil au sein du groupe sur le respect de la vie privée et gestion de l’information d’Osler et coresponsable de la plateforme AccessPrivacy du cabinet, fait de nombreuses observations sur la façon dont les conseils peuvent participer à l’élaboration de la stratégie d’une organisation en matière de cyberrésilience.

« Il est important que les conseils d’administration déterminent le niveau de ressources que l’organisation consacre à la sécurité technique, au matériel et aux logiciels. Mais il est également important, ajoute Patricia, que le conseil pose des questions pour s’assurer que la direction sente qu’elle a les compétences ou la capacité techniques nécessaires pour s’adapter à l’évolution du paysage de la cybersécurité. »

Selon Patricia, il est essentiel que les sociétés améliorent leur cyberrésilience en répartissant la responsabilité.

« Les sociétés partent souvent de l’hypothèse erronée que la cyberrésilience repose entièrement sur les épaules du responsable de la sécurité des systèmes d’information, explique-t-elle. En réalité, une structure de gouvernance saine favorisera un partage des responsabilités entre le responsable de la sécurité des systèmes d’information et le responsable de la confidentialité. Dans certaines organisations qui ont vraiment réfléchi à tout cela, les titulaires de ces deux postes de direction pourraient coprésider une équipe multifonctionnelle réunissant des gens des communications, des finances, de l’audit et surtout des RH. »

Apprenez-en plus sur la cyberrésilience en lisant l’article complet de John Dujay, « Boards of directors play important role maintaining cyber resilience » (en anglais seulement) dans l’édition de l’été 2018 du Canadian HR Reporter.