[ad_1]
Pavoir une semaine sans cyberattaque à grande échelle, avec des organisations bloquées, des rançons et des fuites de données. La sécurité informatique est devenue une préoccupation centrale et le gouvernement vient d’annoncer un plan pour aider les PME et ETI à se protéger. Mais attention, les plus grandes entreprises sont également soumises à ce risque. Nos recherches montrent que leurs dirigeants ont du mal à aborder le sujet de front.
Au sein des conseils de surveillance, ces enjeux de cybersécurité sont le plus souvent placés en fin d’ordre du jour, traités rapidement, marginalisés, même si le préjudice potentiel peut s’avérer considérable (« Framing Dialogues on Cyber-Resilience on Boards », par Sven-Volker Rehm, Laura Georg Schaffner et Lakshmi Goel, « Actes de la Conférence internationale sur les systèmes d’information (ICIS) », n° 10, 2021).
Manque de transparence
Les grandes entreprises, quant à elles, désinforment leurs actionnaires. Les entreprises du CAC40, notamment, y consacrent très peu de place dans leurs rapports annuels. Deux tiers des entreprises que nous avons étudiées traitent le problème de manière générique sans préciser leur propre exposition au risque et leur politique.
Seuls 10% d’entre eux fournissent des données clés, comme la couverture d’assurance en cas d’incident (« Cyber Risk Disclosure: How transparent are CAC40 Companies in Their Annual Reports? », par Laura Georg Schaffner, Elodie Behnam et Jessie Pallud, « Actes de l’association information et gestion (AIM) », 2021). Ce manque de transparence sur un sujet critique pose question, même si l’on imagine que certaines données sont sensibles.
Des recherches complémentaires menées en Allemagne entre 2005 et 2018 dans des entreprises du DAX 30 ont également mis en évidence le manque de réaction des comités exécutifs après des incidents de sécurité majeurs (« Corporate Management Boards’ Information Security Orientation », de Laura Georg Schaffner et Enrico Prinz, Revue de Management et de Gouvernance2022).
Seul un quart de ces cabinets ont procédé à des réorganisations, mais le plus souvent pour renforcer la conformité plus que la cybersécurité elle-même, autrement dit, non pas vraiment pour se prémunir contre des attaques, mais pour mieux gérer le risque juridique qu’elles pourraient comporter a posteriori !
Ils ne parlent pas la même langue
Pourquoi les dirigeants des grandes entreprises ne consacrent-ils pas plus d’énergie à ces questions devenues vitales pour les organisations ? Le point crucial est, selon nous, la mauvaise qualité de leur communication avec les responsables informatiques.
Il vous reste 47,88% de cet article à lire. Ce qui suit est réservé aux abonnés.
[ad_2]
Source link
