Par M. Murali Vijendran, CMA, CS, CISA, CISSP, CCSK

À l’heure de l’adoption généralisée de l’intelligence artificielle (IA) et de la transformation numérique, et dans un contexte d’escalade des cybermenaces, la cybersécurité est une priorité absolue. Alors que le marché mondial de la cybersécurité devrait dépasser les 500 milliards de dollars américains, il est évident qu’il est essentiel de protéger les actifs numériques. La cybersécurité étant fermement inscrite à l’ordre du jour des conseils d’administration, il est urgent que ces derniers acquièrent une compréhension nuancée des risques liés à la cybernétique et à l’IA – et des risques commerciaux associés – afin d’établir un cadre de sécurité rentable et aligné sur l’activité de l’entreprise. Les étapes suivantes sont cruciales pour atteindre cet impératif.

1. Obtenir une vision plus claire du cyberrisque
Les conseils d’administration sont de plus en plus conscients des défis de cybersécurité auxquels sont confrontées leurs organisations. Toutefois, la complexité de ces défis peut parfois obscurcir les actions que les conseils d’administration doivent entreprendre. Pour résoudre ce problème, les conseils d’administration ne doivent pas se contenter d’examiner des rapports de haut niveau sur la cybersécurité; ils doivent aussi se faire une idée du cyberrisque de leur entreprise. La compréhension de ces éléments et de leur impact permettra aux conseils d’administration de superviser efficacement la cybersécurité.

2. Demander des mesures de sécurité orientées vers l’entreprise
La visibilité et le contrôle de la cybersécurité à l’échelle du conseil d’administration sont primordiaux. Les conseils d’administration doivent avoir accès à des indicateurs de sécurité alignés sur les objectifs de l’entreprise. Les mesures doivent porter sur l’efficacité financière des investissements en matière de sécurité, l’efficacité des mesures correctives, la conformité de la sécurité, le rendement des investissements en matière de cybersécurité, le degré d’alignement des activités et l’état de préparation à l’audit, entre autres. Ces mesures, complétées par des capacités d’approfondissement permettant d’obtenir des informations sur chaque initiative de la fonction de sécurité, fourniraient une vision globale de l’impact de la cybersécurité sur l’organisation.

3. Aligner la sécurité sur la croissance de l’entreprise
Il est essentiel de comprendre la position de la cybersécurité dans le contexte des priorités de l’entreprise. La fonction de cybersécurité n’est pas une entité statique, mais une entité dynamique qui doit contribuer de manière proactive à la croissance de l’entreprise tout en s’adaptant aux nouvelles menaces et occasions. Par conséquent, chaque initiative commerciale et les risques qui y sont associés doivent être pris en compte lors de l’élaboration et de la mise en œuvre d’une stratégie de sécurité. Les responsables de la sécurité doivent mieux comprendre les objectifs et les plans de l’entreprise et concevoir en conséquence des politiques, des contrôles, des technologies et des opérations de sécurité.

4. Devenir économiquement efficace grâce à la cybersécurité
L’efficacité économique dans le domaine de la cybersécurité va au-delà de la réduction des coûts. Il s’agit de faire de la sécurité un outil au service de l’entreprise, d’en faire un facteur de différenciation concurrentielle et, dans la mesure du possible, de transformer la sécurité d’un centre de coûts en un centre de profits. Cette approche améliore rapidement la valeur de la fonction de sécurité tout en justifiant un retour optimal sur les investissements en matière de sécurité.

5. Comprendre les exigences de sécurité spécifiques à un secteur
Les besoins en matière de sécurité varient d’un secteur à l’autre. Les secteurs hautement réglementés tels que la finance, les soins de santé et l’assurance exigent souvent des mesures de sécurité renforcées. Les conseils d’administration doivent adapter leurs stratégies de cybersécurité aux besoins spécifiques de chaque secteur, en reconnaissant que la conformité n’est qu’une facette d’une sécurité globale.

6. Utiliser l’IA pour la cybersécurité
L’IA, y compris l’IA générative telle que ChatGPT, est essentielle à la cybersécurité. Ces technologies permettent de prévoir les cyberrisques, de projeter les postures de sécurité futures, de fournir des informations approfondies à partir des informations de sécurité, d’identifier de manière proactive les vulnérabilités potentielles et de réduire les faux positifs. L’IA peut donc améliorer considérablement la cybersécurité d’une organisation. Les conseils d’administration doivent être conscients de la manière dont ces technologies peuvent faciliter les activités de l’entreprise et la fonction de cybersécurité.

7. Gérer les risques liés à l’IA
Les organisations qui adoptent l’IA, y compris les solutions d’IA générative, que ce soit à l’interne ou auprès de fournisseurs tiers, doivent mettre en place une solide gestion des risques liés à l’IA. Cette gestion comprend l’évaluation des risques d’IA liés à la partialité, l’explicabilité, la robustesse, la conformité et les opérations d’apprentissage automatique. Une gestion efficace des risques liés à l’IA implique des politiques, des technologies, des pratiques opérationnelles et des contrôles bien définis.

8. Favoriser une culture de la sécurité
Une solide culture de la sécurité constitue le fondement d’une cybersécurité efficace. Les organisations doivent inculquer un sentiment de responsabilité en matière de sécurité à tous les niveaux, des employés de première ligne aux cadres. Cette culture permet la mise en œuvre de défenses solides tout en favorisant la croissance de l’entreprise. Le conseil d’administration doit comprendre les exigences de la culture de la sécurité et mettre en place les mesures correspondantes dans l’ensemble de l’organisation de manière efficace.

Conclusion
La cybersécurité n’est pas seulement une question technique, il s’agit d’un impératif commercial. À mesure que le paysage numérique évolue, les conseils d’administration doivent adapter leur approche de cette fonction essentielle. En établissant des directives claires en matière de cybersécurité, en saisissant les mesures de sécurité centrées sur l’entreprise et en exploitant les capacités de l’IA, les conseils d’administration peuvent renforcer leur organisation, optimiser les investissements en matière de sécurité et favoriser une culture de la cybersécurité. À une époque où les cybermenaces se multiplient, l’engagement sans faille du conseil d’administration en faveur d’une cybersécurité efficace est essentiel à la réussite d’une organisation.

M. Murali Vijendran, CMA, CS, CISA, CISSP, CCSK, est le fondateur et le chef de la direction de SigmaRed Technologies, une entreprise de transformation de la cybersécurité à l’échelle du conseil d’administration et de la plateforme de gestion des risques liés à l’IA. Expert en transformation de la cybersécurité à l’échelle des directeurs de l’expérience client et titulaire de plusieurs certifications, M. Vijendran possède une vaste expérience mondiale dans ce domaine. Vous pouvez contacter M. Vijendran par courriel à l’adresse murali@sigmared.ai.