Voici le résumé d’un article paru dans le Wall Street Journal le 21 juillet 2015, basé sur un billet de NACD In The News*.

Les administrateurs doivent être au fait de la situation de l’entreprise eu égard à la sécurité informatique. Cependant, la plupart des administrateurs ne savent pas trop comment s’y prendre pour s’assurer qu’ils s’acquittent de leurs responsabilités.

L’article propose six questions que les administrateurs devraient poser à l’équipe de la sécurité informatique de l’entreprise afin de mieux saisir la problématique de la sécurité cyber informatique.

Ces questions ne couvrent certainement pas tous les angles mais elles ont l’avantage de contribuer à une meilleure connaissance, partagée par tous les administrateurs.

Les questions suggérées sont vraiment percutantes :

What was our most significant cybersecurity incident in the past quarter? What was our response?

What was our most significant near miss? How was it discovered?

How is the performance of the security team evaluated?

Do you have relationships with law enforcement, such as the FBI and Interpol?

Do you work with business leaders on due diligence of acquisition targets? With supply chain leaders on security protocols of vendors and other partners?

What process is in place to ensure you can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies?

               * Source: National Association of Corporate Directors (NACD)

Bonne lecture !

Cybersecurity: Boards Must Ask Sharper, Smarter Questions

Boards are trying to build more productive, transparent relationships with cybersecurity chiefs to decrease the risk of attack. But directors can by stymied by a lack of basic security knowledge.

New guidance from the National Association of Corporate Directors suggests asking more searching questions of chief information security officers, including how they measure their teams and technology and whether they have ongoing contacts with the Federal Bureau of Investigation and other law enforcement bodies that investigate attacks.

The most common question directors ask of CISOs is whether their company is vulnerable to breaches similar to those at Target Corp., Anthem Inc. and the U.S. Office of Personnel Management, said Phil Ferraro, a former CISO at Las Vegas Sands Corp. who now consults with boards. But that approach is simplistic, he said. “Directors don’t understand that no security is ever perfect.”

More productive are conversations about how to decrease the risk of attack and the process for managing one when it occurs, Mr. Ferraro said. For example, the NACD suggests boards continuously ask about the most significant cybersecurity incident in the prior quarter and how the security team handled it, so that the discussion may lead to better practices.

Key Questions Directors Must Ask Cybersecurity Chiefs

1. What was our most significant cybersecurity incident in the past quarter? What was our response?
2. What was our most significant near miss? How was it discovered?
3. How is the performance of the security team evaluated?
4. Do you have relationships with law enforcement, such as the FBI and Interpol?
5. Do you work with business leaders on due diligence of acquisition targets? With supply chain leaders on security protocols of vendors and other partners?
6. What process is in place to ensure you can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies?

Still, there is no single set of questions directors can ask to uncover all cybersecurity weak spots, said Tom Glocer, a director at Morgan Stanley and Merck & Co. Inc., and the former CEO of Thomson Reuters Corp.

“My experience is that the horribly dangerous cyber threats are the ones you don’t even know about,” said Mr. Glocer, who chairs Morgan Stanley’s board-level technology committee.

But directors should engage CISOs in continuous discussion to let management know that the board “cares and is watching,” he said. Security is a regular agenda item at Morgan Stanley board meetings, discussed boardwide and in the risk and technology committees. Morgan Stanley is one of just 15 of the Fortune 100 with a formal technology committee at the board level.

At boards less versed in technology and cybersecurity, CISOs must often first educate directors about the range of potential security problems because many members “simply don’t know,” Mr. Ferraro said.

Just 11% of board members across industries say they have a “high level” of knowledge about the topic, according to a recent NACD survey of 1,034 directors.

An important check is for CISOs to talk with board members about developing a process to ensure they can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies, the NACD advised. “That’s something boards have got to pay attention to, because they’re on the line as much as management when something bad happens,”  Mr. Ferraro said.

Auteur : Gouvernance des entreprises | Jacques Grisé

Ce blogue fait l’inventaire des documents les plus pertinents et récents en gouvernance des entreprises. La sélection des billets, « posts », est le résultat d’une veille assidue des articles de revue, des blogues et sites web dans le domaine de la gouvernance, des publications scientifiques et professionnelles, des études et autres rapports portant sur la gouvernance des sociétés, au Canada et dans d’autres pays, notamment aux États-Unis, au Royaume-Uni, en France, en Europe, et en Australie. Chaque jour, je fais un choix parmi l’ensemble des publications récentes et pertinentes et je commente brièvement la publication. L’objectif de ce blogue est d’être la référence en matière de documentation en gouvernance dans le monde francophone, en fournissant au lecteur une mine de renseignements récents (les billets quotidiens) ainsi qu’un outil de recherche simple et facile à utiliser pour répertorier les publications en fonction des catégories les plus pertinentes. Jacques Grisé est professeur titulaire retraité (associé) du département de management de la Faculté des sciences de l’administration de l’Université Laval. Il est détenteur d’un Ph.D. de la Ivy Business School (University of Western Ontario), d’une Licence spécialisée en administration des entreprises (Université de Louvain en Belgique) et d’un B.Sc.Comm. (HEC, Montréal). En 1993, il a effectué des études post-doctorales à l’University of South Carolina, Columbia, S.C. dans le cadre du Faculty Development in International Business Program. Il a été directeur des programmes de formation en gouvernance du Collège des administrateurs de sociétés (CAS) de 2006 à 2012. Il est maintenant collaborateur spécial au CAS. Il a été président de l’ordre des administrateurs agréés du Québec de 2015 à 2017. Jacques Grisé a été activement impliqué dans diverses organisations et a été membre de plusieurs comités et conseils d'administration reliés à ses fonctions : Professeur de management de l'Université Laval (depuis 1968), Directeur du département de management (13 ans), Directeur d'ensemble des programmes de premier cycle en administration (6 ans), Maire de la Municipalité de Ste-Pétronille, I.O. (1993-2009), Préfet adjoint de la MRC l’Île d’Orléans (1996-2009). Il est présentement impliqué dans les organismes suivants : membre de l'Ordre des administrateurs agréés du Québec (OAAQ), membre du Comité des Prix et Distinctions de l'Université Laval. Il préside les organisations suivantes : Société Musique de chambre à Ste-Pétronille Inc. (depuis 1989), Groupe Sommet Inc. (depuis 1986), Coopérative de solidarité de Services à domicile Orléans (depuis 2019) Jacques Grisé possède également une expérience de 3 ans en gestion internationale, ayant agi comme directeur de projet en Algérie et aux Philippines de 1977-1980 (dans le cadre d'un congé sans solde de l'Université Laval). Il est le Lauréat 2007 du Prix Mérite du Conseil interprofessionnel du Québec (CIQ) et Fellow Adm.A. En 2012, il reçoit la distinction Hommage aux Bâtisseurs du CAS. En 2019, il reçoit la médaille de l’assemblée nationale. Spécialités : Le professeur Grisé est l'auteur d’une soixantaine d’articles à caractère scientifique ou professionnel. Ses intérêts de recherche touchent principalement la gouvernance des sociétés, les comportements dans les organisations, la gestion des ressources humaines, les stratégies de changement organisationnel, le processus de consultation, le design organisationnel, la gestion de programmes de formation, notamment ceux destinés à des hauts dirigeants et à des membres de conseil d'administration. Voir tous les articles par Gouvernance des entreprises | Jacques Grisé