Syda Productions - stock.adobe.c
Guide du RSSI pour faire son rapport au conseil d’administration
Un rapport efficace sur la cybersécurité influe sur la prise de décision au plus haut niveau. Apprenez à rédiger un rapport qui trouve un écho auprès des administrateurs de l’entreprise.
Dans l’environnement numérique actuel, où les menaces sont nombreuses, les actionnaires et le public attendent des conseils d’administration des entreprises qu’ils comprennent les problèmes de cybersécurité et ce qu’ils signifient pour les résultats.
Depuis 2023, la Commission américaine des opérations de bourse (SEC) exige des entreprises publiques qu’elles divulguent les pratiques de leur conseil d’administration en matière de surveillance des cyber-risques, étant donné que ces informations peuvent raisonnablement influencer les décisions des investisseurs.
Le mandat de la SEC souligne l’importance de rapports clairs, concis et informatifs sur la cybersécurité. Bien plus que de satisfaire aux exigences réglementaires, ces rapports peuvent guider les décisions stratégiques, démontrer la gouvernance en matière de cybersécurité et favoriser la continuité des activités en fonction des risques.
Voici quelques suggestions à l’intention des RSSI qui souhaitent rédiger des rapports de cybersécurité convaincants et conformes, à destination de leur conseil d’administration.
Qu’est-ce qu’un rapport de cybersécurité ?
Le rapport du conseil d’administration sur la cybersécurité est un document rédigé par les responsables de la sécurité, généralement le RSSI ou l’équipe de sécurité, à l’intention des administrateurs de l’entreprise. Ce document a trois objectifs principaux :
- Il donne aux administrateurs d’entreprise une vue d’ensemble de la position de l’organisation en matière de sécurité et des perspectives en matière de cyber-risques.
- Il les informe sur les initiatives et les investissements clés en matière de sécurité.
- Il fournit des recommandations stratégiques de la part du RSSI.
Les RSSI doivent rédiger les rapports du conseil d’administration sur la cybersécurité dans un langage que les administrateurs comprennent, en traduisant des informations techniques complexes et en les reliant aux objectifs de l’entreprise.
Pourquoi les rapports sur la cybersécurité destinés au conseil d’administration sont-ils importants ?
On attend désormais des conseils d’administration qu’ils comprennent, interrogent et orientent les stratégies de cybersécurité de leur entreprise afin d’optimiser les résultats commerciaux. Mais de nombreux administrateurs d’entreprise ne disposent que de peu d’expertise en matière de cybersécurité et d’une compréhension limitée des programmes de sécurité de leur organisation.
Des rapports de cybersécurité clairs, transparents et exploitables donnent aux conseils d’administration les informations dont ils ont besoin pour comprendre que les risques cyber sont des risques d’entreprise et pour s’acquitter de leurs responsabilités en matière de surveillance. Cela renforce à la fois la résilience de l’entreprise et la confiance des parties prenantes.
Les rapports du conseil d’administration donnent également aux RSSI l’occasion d’accroître leur influence, de faire avancer leurs programmes stratégiques et de combler le fossé entre leurs programmes de sécurité et les hauts responsables de l’entreprise. Une étude, réalisée en 2023 par la Harvard Business Review, a révélé que 69 % seulement des membres des conseils d’administration déclaraient être d’accord avec leurs RSSI (une statistique qui souligne la nécessité d’un engagement efficace avec les décideurs exécutifs).
Principaux éléments d’un rapport de cybersécurité
La responsabilité première du conseil d’administration est de faciliter la réussite financière à long terme de l’entreprise. À ce titre, les administrateurs ont besoin d’une vue d’ensemble stratégique de la posture de sécurité de l’organisation et des perspectives en matière de risques cyber, plutôt que d’un compte-rendu tactique et opérationnel.
Dans cette optique, envisagez d’organiser le rapport du comité de cybersécurité en sections thématiques, comme suit.
Résumé
Fournir une brève vue d’ensemble des idées clés, des conclusions, des recommandations et des mesures à prendre. Le résumé doit présenter de manière cohérente les perspectives actuelles de l’organisation en matière de cyber-risques et ce qu’elles impliquent pour les objectifs de l’entreprise.
Aperçu des risques en cybersécurité
Aligner la vue d’ensemble des cyber-risques sur le programme de gestion des risques de l’entreprise et la replacer dans le contexte plus large des risques de l’entreprise. Les conseils d’administration doivent avant tout comprendre comment les risques cyber se recoupent avec les risques financiers, opérationnels et de conformité pour influer sur les résultats de l’entreprise.
Décrire les principaux risques en cybersécurité auxquels l’organisation est confrontée – y compris ceux provenant de partenaires tiers – et évaluer l’efficacité des contrôles existants. Inclure des analyses de scénarios de ces dangers ou des résumés de tests de résistance afin d’illustrer l’influence de la cybersécurité sur la continuité des activités et les résultats.
Pour mesurer et suivre les niveaux de ces risques dans les rapports des conseils d’administration au fil du temps, il convient d’envisager les mécanismes suivants :
- Quantification des cyber-risques.
- Modèles ou cadres de maturité en matière de cybersécurité.
- Critères de référence pour l’industrie.
Le paysage des menaces
Fournir un résumé de haut niveau de l’environnement des menaces de l’entreprise, y compris les nouvelles tendances en matière d’attaques, les principales attaques contre des organisations homologues et les développements géopolitiques pertinents.
Principaux indicateurs de risque
Présenter des indicateurs clés de risque (KRI) et des indicateurs clés de performance (KPI) pertinents, tels que les taux de réussite du phishing, les tentatives d’intrusion, les calendriers de correction des vulnérabilités et les alertes de menaces internes.
Choisissez avec soin les indicateurs clés de performance et les indicateurs clés de risque que vous incluez ; ne communiquez que ceux que vous pouvez directement relier aux objectifs de l’entreprise. La cybersécurité pour la cybersécurité ne doit pas être l’objectif, et les données superflues peuvent surcharger le lecteur et le détourner des principaux enseignements.
Aperçu de la réponse aux incidents
Résumer le plan de réponse aux incidents de l’organisation, y compris les seuils et les processus d’implication du conseil d’administration. Décrire les mécanismes par lesquels le conseil d’administration est informé des cyberincidents actifs, tels que les réunions d’information sur les menaces, les tableaux de bord des événements et les protocoles formels d’escalade.
Décrire les incidents récents, les réponses, les résultats et les efforts de remédiation après l’incident.
Mises à jour réglementaires
Signaler toute modification des lois sur la cybersécurité, ou des normes industrielles, qui pourrait avoir une incidence sur la conformité réglementaire ou la sécurité opérationnelle. Compte tenu de l’évolution rapide du paysage des menaces en matière de cybersécurité, les mises à jour réglementaires sont fréquentes, en particulier dans les États à forte intensité technologique.
Les RSSI des sociétés soumises à des obligations réglementaires doivent également inclure des informations relatives à celles-ci, telles que ci-dessous :
- Responsabilité du contrôle. Examiner quelle entité du conseil d’administration (comité, sous-comité ou administrateur individuel) est responsable de la supervision de la cybersécurité. En règle générale, cette responsabilité incombe au comité des risques, ce qui permet de positionner la cybersécurité comme un risque d’entreprise et non comme un simple problème informatique.
- Fréquence de l’engagement. Précisez la fréquence à laquelle le conseil d’administration ou le sous-groupe qu’il a désigné rencontre le RSSI. La meilleure pratique consiste à organiser des discussions trimestrielles avec le conseil d’administration, ainsi que des réunions mensuelles avec le comité compétent (par exemple, le comité des risques). Des réunions supplémentaires peuvent être organisées de manière ad hoc, en cas d’incidents de sécurité importants.
Initiatives stratégiques
Souligner les progrès réalisés sur les points de la feuille de route en matière de cybersécurité, tels que la mise en œuvre du « sans-confiance », l’amélioration de la posture de sécurité dans le cloud ou l’évaluation des risques par des tiers.
Illustrer comment la cybersécurité est intégrée dans la stratégie de l’entreprise, par exemple dans les fusions-acquisitions, la transformation numérique et les évaluations des risques liés à la chaîne logistique.
Actions et recommandations du Conseil
Formuler des recommandations stratégiques et de nouvelles demandes budgétaires, en veillant à les positionner en termes de risque d’entreprise et d’objectifs commerciaux. Inclure les ressources pertinentes, telles que les investissements actuels et prévus en matière de sécurité, le retour sur investissement, les niveaux d’effectifs et les autres lacunes et recommandations en matière de ressources.
Meilleures pratiques pour informer le conseil d’administration sur la cybersécurité
Pour que les rapports de cybersécurité à destination du conseil d’administration soient aussi utiles et influents que possible, il convient de prendre en compte les bonnes pratiques suivantes :
- Se concentrer sur les risques de l’entreprise. Une approche basée sur les risques garantit que le rapport est pertinent, compréhensible et utile pour le conseil d’administration.
- Être clair et concis. Le conseil d’administration d’une entreprise typique jongle avec de nombreuses priorités concurrentes, ce qui laisse à ses membres peu de temps et d’attention à consacrer à un seul sujet. C’est pourquoi un rapport efficace sur la cybersécurité doit être concis, ciblé et structuré de manière intuitive.
- Inclure des résumés. Présentez les principales conclusions et les points à retenir dans un résumé pour pouvoir vous y référer rapidement et facilement.
- Utiliser des éléments visuels. Utilisez des éléments visuels, tels que des tableaux et des graphiques, pour capter l’attention des lecteurs et illustrer les points clés.
- Mettre en évidence les tendances. Construire un récit cohérent sur l’état de la sécurité en notant les tendances clés – dans les KRI, les KPI, les repères industriels et l’activité des menaces – et ce qu’elles signifient pour l’entreprise.
- Éviter le jargon technique. Le jargon et les acronymes peuvent aliéner les membres non techniques du conseil d’administration et saper l’influence du RSSI au niveau de la direction.
- Rendre compte au conseil d’administration tous les trimestres. Selon les meilleures pratiques, le conseil d’administration devrait discuter officiellement de la cybersécurité au moins une fois par trimestre, et le comité des risques une fois par mois. Organisez des réunions supplémentaires si nécessaire en cas d’incidents importants.
- Documenter les initiatives d’engagement du conseil d’administration en matière de cybersécurité. La compétence en matière de cybersécurité au niveau du conseil d’administration n’est plus facultative. Envisagez d’utiliser le rapport pour documenter les initiatives de formation continue du conseil d’administration, sa participation à des exercices de simulation et sa collaboration avec des experts externes en cybersécurité.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
Comment calculer le ROI de la cybersécurité pour le PDG et le conseil d’administration
Par: Jerald Murphy
-
![]()
Étude : les biais cognitifs qui minent les décisions des conseils d’administration en cybersécurité
-
![]()
Cloud : Microsoft veut affirmer son soutien aux Européens
Par: Caroline Donnelly
-
![]()
Cyberattaques : la banalisation non assumée
Par: Valéry Rieß-Marchive
