Mise à jour des informations sur les facteurs de risque dans le rapport annuel


Je reproduis ici la version française de l’article publié par Maia Gez, Era Anagnosti, Melinda Anderson de la firme White & Case, paru dans HLS Forum  on Corporate Governance.

Nous entrons dans une nouvelle ère eu égard aux risques envisagés par les entreprises. Il est donc très important de revoir systématiquement les énoncés de risque dans le rapport annuel.

Voici dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel.

Bonne lecture !

Updating Annual Report Risk Factors

 

Updating Annual Report Risk Factors: Key Developments and Drafting Considerations for Public Companies | White & Case LLP

 

La saison des rapports annuels approchera bientôt, et il est important d’évaluer dès le départ les facteurs de risque d’une entreprise et de déterminer si les développements récents, y compris ceux liés aux conditions macroéconomiques, géopolitiques et de santé publique, ont eu (ou devraient avoir) une incidence importante sur les activités, la situation financière et les résultats d’exploitation d’une entreprise. [1] Bien que chaque société devra évaluer ses propres risques importants et adapter sa divulgation des facteurs de risque à sa situation particulière, cette alerte fournit une liste de 10 développements clés dans  la partie I  et quatre considérations rédactionnelles importantes dans  la partie II  que toutes les sociétés ouvertes devraient considérer lorsqu’ils mettent à jour leurs facteurs de risque.

I. Dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel

  1. Conditions du marché : Les changements dans les conditions économiques mondiales, y compris la volatilité des marchés des capitaux propres, peuvent avoir une incidence négative sur les activités, les revenus et les bénéfices d’une entreprise. De telles conditions pourraient avoir une incidence sur les plans de croissance d’une entreprise et sur sa capacité à accéder aux marchés des capitaux pour lever des fonds à des fins générales ou en contrepartie de fusions et d’acquisitions. Une entreprise doit évaluer tous les risques importants liés à ces développements et s’ils doivent être divulgués dans ses facteurs de risque.
  2. Inflation et taux d’intérêt : Les entreprises doivent envisager de divulguer ou de mettre à jour tout risque lié à l’inflation et à la hausse des taux d’intérêt, y compris leur impact sur les revenus ou les bénéfices. Ces risques pourraient inclure des augmentations actuelles et futures des coûts d’exploitation, tels que le carburant et l’énergie, le transport et l’expédition, les matériaux, les salaires et les coûts de main-d’œuvre, ainsi qu’un impact négatif sur les revenus en raison de la baisse de confiance des consommateurs et des dépenses discrétionnaires. De plus, la hausse des taux d’intérêt pourrait avoir un impact sur une entreprise en raison des changements dans la disponibilité du financement, du coût de la dette et des fluctuations des taux de change. [2]
  3. Impact de la COVID-19: Alors que nous entrons dans la troisième année de la pandémie, il est peut-être encore trop tôt pour éliminer complètement les facteurs de risque spécifiques au COVID-19, mais les entreprises pourraient être en mesure de rationaliser considérablement leurs divulgations. Les entreprises devraient revoir leur divulgation actuelle des facteurs de risque COVID-19 et la mettre à jour pour tenir compte des risques actuels auxquels elles sont confrontées, notamment en éliminant ou en minimisant les risques qui ne devraient plus être importants. Par exemple, toutes les entreprises sont confrontées au risque d’émergence de nouvelles souches virales, à la disponibilité de traitements efficaces et aux effets réglementaires et macroéconomiques potentiels découlant de tels impacts. Cependant, en dehors de la Chine, les confinements, les restrictions d’abris sur place et les mandats de vaccination, qui prévalaient aux premiers stades de la pandémie, ont été levés pour la plupart des entreprises.
  4. Questions environnementales, ESG et de durabilité : Des questions telles que le changement climatique continuent de recevoir une attention particulière de la part de la SEC et des investisseurs. Le 22 septembre 2021, la SEC a publié un modèle de lettre de commentaires aux entreprises, [3]   près de six mois (jour pour jour) avant de publier ses propositions de règles de divulgation sur le changement climatique qui obligeraient les entreprises publiques à divulguer des informations détaillées sur le climat dans leurs Dépôts auprès de la SEC. [4] Le modèle de lettre de commentaires de la SEC sur le changement climatique contenait des exemples de commentaires concernant la divulgation des entreprises sur le climat ou l’absence d’une telle divulgation, y compris des commentaires demandant des informations sur les effets importants des risques de transition liés au changement climatique. [5]  Suite à cet exemple de lettre de commentaires, notre examen des récentes lettres de commentaires de la SEC entre mars 2021 et août 2022 a révélé que la SEC avait émis 334 commentaires liés au changement climatique à plus de 100 entreprises au cours de cette période, avec plus de 50 de ces commentaires (15 %) liés à divulgation des facteurs de risque. [6]   Ces commentaires de la SEC comprenaient des demandes de description des effets importants des risques de transition, [7]   des risques de litige importants liés au changement climatique, [8]   et une description de la considération accordée à l’inclusion des informations et des risques divulgués dans les rapports de développement durable. [9]  De plus, notre enquête sur les formulaires 10-K 2022 de 50 entreprises du Fortune 100 a révélé que 30 % (ou 15 entreprises) ont ajouté des facteurs de risque entièrement nouveaux consacrés aux impacts liés au climat, et 28 % supplémentaires (ou 14 entreprises) ont augmenté références aux impacts liés au climat dans leurs facteurs de risque existants. [dix]La divulgation des facteurs de risque liés aux questions environnementales doit être adaptée aux circonstances particulières de l’entreprise et tenir compte des risques importants propres à l’entreprise. Les sujets peuvent inclure les risques liés à l’impact du changement climatique sur les activités d’une entreprise, tels que les risques d’augmentation des coûts ou de réduction de la demande de produits ; les risques physiques liés aux phénomènes météorologiques violents, à l’élévation du niveau de la mer et à d’autres conditions naturelles ; les risques de transition liés au changement climatique attribuables aux changements réglementaires, technologiques, de marché ou de tarification ; le risque de responsabilité légale et les frais de défense ; les risques de réputation, y compris ceux liés à l’examen minutieux des parties prenantes sur les questions ESG ou le risque de ne pas atteindre les objectifs et cibles annoncés ; et/ou des contrôles internes inadéquats liés à la divulgation des données ESG.
  5. Conflit en Ukraine : Alors que le conflit entre l’Ukraine et la Russie se poursuit, les entreprises doivent tenir compte de leurs éventuelles obligations de divulgation supplémentaires liées aux impacts directs ou indirects que les actions en cours de la Russie en Ukraine et la réponse internationale ont ou peuvent avoir sur leurs activités et comment elles ont changé depuis le le conflit a commencé. Notamment, la SEC peut exiger des divulgations même par des entreprises qui n’ont pas d’activités en Russie, en Ukraine ou en Biélorussie. Le 10 mai 2022, la SEC a publié un modèle de lettre aux entreprises soulignant les obligations de divulgation potentielles des entreprises liées aux impacts directs ou indirects que les actions de la Russie en Ukraine et la réponse internationale ont ou pourraient avoir sur leurs activités. [11]  La SEC a spécifiquement noté que, dans la mesure du possible, les entreprises devraient fournir des informations détaillées sur les risques liés aux perturbations réelles ou potentielles des chaînes d’approvisionnement et sur les risques nouveaux ou accrus de cyberattaques potentielles par des acteurs étatiques ou autres. Notre examen des lettres de commentaires a révélé que la SEC avait émis 117 commentaires liés à l’Ukraine à plus de 60 entreprises entre mars et septembre 2022. Ces commentaires comprenaient des demandes d’ajout de divulgation des facteurs de risque concernant les opérations en Ukraine et les impacts matériels liés au conflit, [12]   demandes de divulguent spécifiquement tout risque accru de cyberattaques, [13]   les risques liés aux perturbations potentielles de la chaîne d’approvisionnement [14]  et les demandes de divulgation des risques de réputation potentiels liés aux opérations de l’entreprise en Russie. [15]   Les divulgations supplémentaires que les entreprises devraient envisager incluent les sanctions russes ; hausses des prix des produits de base; impacts sur la disponibilité et le coût de l’énergie; impacts sur les vendeurs et les fournisseurs ; impacts sur la réputation ; et les impacts continus sur la situation économique mondiale.
  6. Cybersécurité : Alors que les incidents de cybersécurité, l’utilisation abusive des données et les attaques de rançongiciels continuent de proliférer et de devenir plus sophistiqués, le personnel de la SEC s’est concentré sur les divulgations de cybersécurité et de confidentialité et a fourni des commentaires à ce sujet. La SEC a publié des directives en 2018 qui comprenaient des considérations pour évaluer la divulgation des facteurs de risque de cybersécurité, [16]   et en mars 2022, la SEC a proposé des règles de divulgation obligatoires en matière de cybersécurité liées aux incidents matériels, à la gouvernance et à la stratégie de risque. [17]  La SEC a également publié des directives en décembre 2019 appelant spécifiquement les entreprises à évaluer les risques liés au vol ou à la compromission potentiels de leur technologie, de leurs données ou de leur propriété intellectuelle (« PI ») dans le cadre de leurs opérations internationales et à les divulguer le cas échéant. [18]   La SEC devrait continuer à être agressive dans l’examen de la divulgation par les entreprises publiques des incidents de cybersécurité, et en mai 2022, la SEC a presque doublé la taille de l’unité chargée de surveiller les divulgations des entreprises. [19]   En outre, la SEC a intenté des actions coercitives contre des entreprises publiques concernant le moment et le contenu des divulgations d’incidents de cybersécurité. [20]  Celles-ci font suite à d’autres mesures d’application très médiatisées pour des divulgations présumées inadéquates ou trompeuses, [21]   qui témoignent toutes de l’attention continue de la SEC sur la manière dont les entreprises publiques réagissent et divulguent les incidents et les risques importants en matière de cybersécurité. De plus, en 2021, le neuvième circuit a constaté que la divulgation d’une grande entreprise technologique selon laquelle des risques de cybersécurité « peuvent » ou « pourraient » se produire était trompeuse alors que l’entreprise était prétendument déjà au courant d’une violation de la cybersécurité. [22]  La plupart des entreprises incluent déjà la divulgation des facteurs de risque de cybersécurité, mais les entreprises devraient envisager de mettre à jour ces divulgations, y compris s’il existe une augmentation des risques liés à la cybersécurité en raison des technologies liées à la pandémie qu’elles peuvent avoir adoptées pour permettre le travail à distance ou en relation avec le conflit en cours. en Ukraine (voir ci-dessus). [23]
  7. Perturbations de la chaîne d’approvisionnement : les pénuries d’approvisionnement ou les retards d’expédition peuvent devoir être divulgués comme un risque, d’autant plus qu’ils continuent d’être courants en raison de l’impact persistant du COVID-19 ou du conflit en Ukraine, ainsi que d’un ralentissement économique mondial. Les entreprises doivent évaluer si elles ont subi ou pourraient subir à l’avenir des perturbations de la chaîne d’approvisionnement qui devraient être divulguées comme un risque important. Cela inclut tous les risques liés à la pénurie mondiale actuelle de puces à semi-conducteurs, qui pourrait avoir un impact sur le développement, la production et la fabrication de logiciels, entre autres, selon le secteur d’activité de l’entreprise.
  8. Capital humain et questions de main-d’œuvre: Les risques importants auxquels les entreprises peuvent être confrontées en matière de capital humain comprennent les risques liés à la capacité d’attirer et de retenir des employés qualifiés, les problèmes de santé et de sécurité des employés, les augmentations des coûts de main-d’œuvre et l’augmentation du roulement du personnel. Bien que le marché du travail ait ralenti et que plusieurs entreprises du Fortune 100 aient commencé à annoncer des licenciements, les pénuries de main-d’œuvre qualifiée peuvent devoir être divulguées comme un risque important pour certaines entreprises, car ces problèmes continuent d’être courants en raison des impacts liés au COVID-19. ainsi que les retombées de « la grande démission ». De plus, la volatilité du cours des actions d’une entreprise pourrait avoir une incidence négative sur la valeur des attributions d’actions aux employés et sur la capacité d’une entreprise à conserver ses employés et dirigeants clés. Les entreprises devraient évaluer si elles ont, ou pourraient avoir à l’avenir, des problèmes liés aux pénuries de main-d’œuvre,
  9. Réglementation : Les changements et les changements potentiels dans la loi, la réglementation, la politique et/ou le leadership politique, y compris le programme réglementaire de l’administration Biden, peuvent nécessiter des modifications de la divulgation des facteurs de risque pour certaines entreprises. L’un de ces changements réglementaires que les entreprises devraient envisager est la loi sur la réduction de l’inflation (l' »IRA »), qui comprend plusieurs dispositions potentiellement impactantes, telles que : (i) une taxe d’accise de 1 % sur les rachats d’actions des entreprises, qui peut affecter les décisions des entreprises en ce qui concerne aux marchés des capitaux et aux opérations de fusions et acquisitions, entre autres, [24] (ii) un impôt minimum de remplacement sur les sociétés (applicable aux entreprises dont le revenu moyen des états financiers ajustés est supérieur à 1 milliard de dollars au cours des trois dernières années) égal à l’excédent de 15 % du revenu des états financiers ajustés d’une société, et (iii) une taxe sur l’énergie crédits, qui créent des incitations fiscales pour l’énergie verte. Les entreprises doivent se demander si l’IRA crée des risques qui justifient la divulgation. D’autres exemples incluent les changements actuels et potentiels des politiques d’immigration, du salaire minimum, des tarifs, des taxes, des politiques environnementales, des soins de santé et d’autres développements politiques.
  10. Risques liés à la conduite d’affaires avec des entreprises dans des régions soumises à des sanctions commerciales : les entreprises doivent divulguer tout risque important lié à des relations commerciales avec des entreprises dans des régions soumises à des sanctions ou à des interdictions commerciales. Par exemple, toute entreprise recevant des marchandises produites dans la région autonome ouïghoure du Xinjiang en Chine, ou par certaines entités identifiées, doit divulguer les risques liés au fait que, aux fins de la loi sur la prévention du travail forcé ouïghour, qui renforce les mesures disponibles pour faire respecter une loi existante mesure préventive de l’article 307 du Tariff Act de 1930, ces marchandises sont présumées avoir été fabriquées avec du travail forcé et sont donc soumises à une interdiction d’importation aux États-Unis. [25]Le service des douanes et de la protection des frontières des États-Unis peut donc détenir, exclure ou saisir des marchandises et imposer des sanctions pécuniaires, à moins que des « preuves claires et convaincantes » ne montrent qu’aucun travail forcé, situé n’importe où dans la chaîne d’approvisionnement, n’a produit une partie des marchandises (et que les importateurs se conforment aux autres exigences spécifiées dans les directives publiées de l’agence). Il est important de noter que la loi ne contient aucune exception de minimis et rien ne garantit qu’une entreprise sera en mesure de prouver l’absence de travail forcé tout au long de la chaîne d’approvisionnement. Toute chaîne d’approvisionnement potentielle ou d’autres impacts de ces développements qui sont importants pour une entreprise doivent être divulgués.

II. Quatre considérations rédactionnelles importantes lors de la mise à jour des informations annuelles sur les facteurs de risque

  1. Une note sur les hypothétiques . Il est essentiel que les entreprises examinent les déclarations hypothétiques dans leurs informations existantes sur les facteurs de risque (par exemple, les déclarations selon lesquelles un événement « pourrait » ou « pourrait » se produire plutôt que « s’est » ou « s’est » produit dans le passé). La SEC a intenté des actions en justice et les actionnaires ont déposé des réclamations en vertu de l’article 10 (b) de la Securities Exchange Act de 1934, telle que modifiée, alléguant que les déclarations dans les facteurs de risque d’une entreprise étaient matériellement trompeuses parce qu’une entreprise a déclaré qu’un événement seulement « peut » ou « pourrait » se produire, lorsque l’événement n’était plus hypothétique au moment de la divulgation. Par conséquent, une entreprise doit examiner attentivement le libellé de ses facteurs de risque hypothétiques et clarifier si un risque potentiel divulgué s’est effectivement produit dans une certaine mesure. [26]
  2. Remarque sur les déclarations prospectives. En plus d’être légalement requis, des facteurs de risque bien rédigés peuvent protéger une entreprise de toute responsabilité pour ses déclarations prospectives et servir de forme d’assurance responsabilité gratuite pour protéger une entreprise lorsqu’elle divulgue à la fois des projections en ce qui concerne les informations financières et les informations non financières. , y compris les objectifs et cibles liés à l’ESG. En particulier, les entreprises doivent tenir compte des modèles financiers qui étayent leurs projections et confirmer que les risques importants liés à ces projections, y compris les modèles financiers, les bases et les hypothèses qui les étayent, sont suffisamment divulgués. De plus, dans le cas d’objectifs ESG net zéro et d’autres objectifs et plans de transition liés à l’ESG, les entreprises doivent déterminer si leur divulgation des facteurs de risque doit inclure une divulgation relative aux défis potentiels pour atteindre ces objectifs et plans,
  3. Note sur la présentation des risques . Bien que l’article 105 du règlement SK n’exige pas que les facteurs de risque soient classés en fonction de celui qui est le plus important ou qui a le plus grand impact potentiel, il est considéré comme une bonne pratique de le faire. [27]  L’article 105 stipule que les risques doivent être « organisés logiquement », de sorte que les entreprises doivent considérer l’ordre qui a le plus de sens pour les investisseurs. En outre, les entreprises sont tenues d’organiser les facteurs de risque en groupes de facteurs de risque connexes sous des «rubriques pertinentes» et de fournir des sous-titres pour chaque facteur de risque. En outre, pour tous les facteurs de risque qui s’appliquent de manière générique à toute personne inscrite ou à toute offre, la société doit soit (i) adapter ces facteurs de risque pour souligner la relation spécifique du risque avec la société, soit (ii) divulguer les facteurs de risque génériques à la fin de la section des facteurs de risque sous la rubrique « Facteurs de risque généraux ». Ces exigences sont en vigueur depuis 2020 et les entreprises doivent revoir chaque année leurs regroupements et leurs rubriques pour confirmer toute mise à jour ou modification de l’organisation de leur section des facteurs de risque.[28]
  4. Remarque sur les résumés des facteurs de risque . Si la section sur les facteurs de risque d’une entreprise dépasse 15 pages, elle doit inclure une série d’énoncés concis, à puces ou numérotés ne dépassant pas deux pages résumant les principaux facteurs de risque et placer ce résumé au « avant » ou au début de la Formulaire 10-K ou Formulaire 20-F. Un certain nombre d’entreprises ont choisi de combiner cette divulgation avec leurs légendes de déclarations prospectives afin d’éviter les répétitions, et les entreprises peuvent envisager cette approche tant que la légende est intitulée pour refléter son double objectif (c. Déclarations prospectives et résumé des facteurs de risque »).

III. Conclusion

Compte tenu du nombre de vents contraires auxquels les entreprises peuvent être confrontées dans cet environnement économique et géopolitique difficile, ainsi que des exigences réglementaires, de la surveillance et de l’application nouvelles et en évolution, les entreprises gagneraient à prendre dès maintenant une longueur d’avance sur la mise à jour des facteurs de risque de leur rapport annuel. Il est essentiel que les entreprises divulguent comment elles sont spécifiquement affectées par les tendances macroéconomiques, plutôt que de se fier à une divulgation générique. En outre, les entreprises ne doivent pas perdre de vue la mise à jour de leurs facteurs de risque pour tenir compte des risques uniques auxquels elles sont confrontées au-delà de ces tendances macroéconomiques qui pourraient avoir un impact négatif sur leurs activités, leur situation financière et leurs résultats d’exploitation.

Notes de fin

1 Voir l’article 105 du règlement SK, disponible  ici .(retourner)

2 Pour plus d’informations, consultez notre alerte précédente, « L’inflation et la hausse des taux d’intérêt remodèlent les marchés financiers à effet de levier aux États-Unis ».(retourner)

3  Pour plus d’informations, consultez notre alerte précédente,  » La SEC publie un exemple de lettre de commentaires alors qu’elle intensifie l’examen des divulgations climatiques « .(retourner)

4  Pour plus d’informations, consultez notre alerte précédente, « La SEC propose des règles de divulgation sur le changement climatique attendues depuis longtemps ». Le 7 octobre 2022, la SEC a rouvert la période de commentaires pour 11 propositions de réglementation, y compris les règles de divulgation proposées sur le changement climatique, avec des commentaires attendus d’ici le 1er novembre 2022.(retourner)

5 Les risques de transition liés au changement climatique sont liés à des développements tels que des changements politiques et réglementaires qui pourraient imposer des charges opérationnelles et de conformité et des tendances du marché ou des prix susceptibles de modifier les opportunités commerciales, les risques de crédit et les changements technologiques.(retourner)

6 Par exemple, « [i]l semble que vous ayez identifié votre « stratégie d’électrification » comme un risque de transition lié au changement climatique. Dites-nous comment vous avez envisagé de fournir des informations plus détaillées sur les facteurs susceptibles d’affecter votre intention d’apporter une électrification supplémentaire à votre … portefeuille (par exemple, la disponibilité des matériaux nécessaires, le rythme des changements technologiques, etc.) et l’effet potentiel sur votre entreprise, la situation financière et les résultats d’exploitation. De plus, décrivez les autres risques de transition liés au changement climatique que vous avez pris en compte, tels que ceux liés à vos politiques environnementales, et comment vous avez envisagé de les aborder dans votre formulaire 10-K.(retourner)

7 Par exemple, « Divulguer les effets significatifs des risques de transition liés au changement climatique qui peuvent affecter votre entreprise, votre situation financière et vos résultats d’exploitation, tels que les changements de politique et de réglementation qui pourraient imposer des charges opérationnelles et de conformité, les tendances du marché qui peuvent modifier des opportunités, des risques de crédit ou des changements technologiques.(retourner)

8 Par exemple, « Divulguer tout risque important de litige lié au changement climatique et expliquer l’impact potentiel sur l’entreprise ».(retourner)

9 Par exemple, « Nous notons que vous avez fourni des informations plus détaillées dans votre rapport sur la RSE que dans vos documents déposés auprès de la SEC. Veuillez nous indiquer dans quelle mesure vous avez envisagé de fournir le même type de divulgation liée au climat dans vos documents auprès de la SEC que celui que vous avez fourni dans votre rapport RSE. »(retourner)

10 Pour plus d’informations, consultez notre alerte précédente, « ESG Disclosure Trends in SEC Filings – Annual Survey 2022 ».(retourner)

11 Pour plus d’informations, consultez notre alerte précédente, « La SEC publie un exemple de lettre de commentaires sur les obligations de divulgation liées aux actions de la Russie en Ukraine ».(retourner)

12 Par exemple, « Dans la mesure où elles sont importantes, veuillez divulguer toute tendance ou incertitude connue qui a eu ou est raisonnablement susceptible d’avoir une incidence importante sur votre liquidité, votre situation financière ou vos résultats d’exploitation découlant du conflit entre la Russie et l’Ukraine.(retourner)

13 Par exemple, « [d]ans la mesure du possible, divulguer tout risque nouveau ou accru de cyberattaques potentielles par des acteurs étatiques ou autres depuis l’invasion de l’Ukraine par la Russie ».(retourner)

14 Par exemple, « [v]euillez indiquer si et comment vos secteurs d’activité, produits, gammes de services, projets ou opérations sont matériellement affectés par les perturbations de la chaîne d’approvisionnement, en particulier à la lumière de l’invasion de l’Ukraine par la Russie. Par exemple, discutez si vous avez ou prévoyez d’être… exposé au risque de la chaîne d’approvisionnement à la lumière de l’invasion de l’Ukraine par la Russie et/ou des tensions géopolitiques connexes.(retourner)

15 Par exemple, « [d]ans les prochains dépôts, veuillez réviser les éléments suivants en ce qui concerne vos activités en Russie et en Ukraine : divulguez tout risque important pour la réputation qui pourrait avoir un impact négatif sur votre entreprise associé à votre réponse à l’invasion russe de l’Ukraine , par exemple en relation avec une action ou une inaction résultant du conflit ou en rapport avec celui-ci ».(retourner)

16 Pour plus d’informations, consultez notre alerte précédente, « SEC Issues Interpretive Guidance on Public Company Cybersecurity Disclosures: Greater Engagement Required of Officers and Directors ».(retourner)

17 Pour plus d’informations, consultez notre alerte précédente, « SEC Proposes Mandatory Cybersecurity Disclosure Rules ».(retourner)

18 Les  directives de la SECencourage les entreprises à examiner une série de questions lors de l’évaluation de ces risques, y compris si elles opèrent dans des juridictions étrangères où la capacité de faire respecter les droits sur la propriété intellectuelle est limitée en tant que question légale ou pratique, et si elles ont mis en place des contrôles et des procédures pour protéger de manière adéquate technologie et propriété intellectuelle. Le personnel a également souligné que la divulgation des risques importants doit être spécifiquement adaptée et que lorsque la technologie, les données ou la propriété intellectuelle d’une entreprise sont (ou ont été) matériellement compromises, la divulgation hypothétique des risques potentiels n’est pas suffisante pour satisfaire aux obligations de déclaration de l’entreprise. Par conséquent, les entreprises doivent continuer à tenir compte de ce domaine de risque en évolution et mettre à jour régulièrement les informations fournies pour refléter les circonstances actuelles dans la mesure où elles sont importantes.(retourner)

19 Voir le communiqué de presse de la SEC, « SEC Nearly Doubles Size of Enforcement’s Crypto Assets and Cyber ​​Unit ».(retourner)

21En août 2021, la SEC a conclu un accord avec une société d’édition et de services éducatifs pour son incapacité à divulguer de manière adéquate une violation importante de la cybersécurité et pour avoir fait des déclarations trompeuses dans ses documents déposés auprès de la SEC. Plus précisément, la SEC a constaté que : (i) plusieurs mois après la violation, la société a émis un formulaire 6-K qui faisait référence à un risque général de violation de données/incident de cybersécurité, mais ne faisait pas spécifiquement référence à la violation qui s’était produite ; et (ii) le communiqué de presse de la société ne faisait référence qu’à « l’accès non autorisé » et à « l’exposition de données » qui « peuvent [avoir] inclus » des dates de naissance et des e-mails, même si la société savait que des données personnelles importantes avaient été téléchargés, et n’ont fait aucune mention du volume de données piratées ni des autres vulnérabilités critiques du système. En juin 2021, la SEC a réglé avec une société de services de règlement immobilier pour son prétendu manquement à divulguer de manière adéquate une vulnérabilité de sécurité qui pourrait être utilisée pour compromettre les systèmes informatiques de la société. En mai 2019, la société a été informée d’une vulnérabilité logicielle qui exposait des données personnelles et financières, après quoi elle a publié une déclaration et fourni un formulaire 8-K, indiquant qu’elle avait pris des « mesures immédiates » pour mettre fin à l’accès externe aux données. Cependant, les dirigeants responsables de la déclaration et du formulaire 8-K n’ont pas été informés que le personnel de sécurité de l’information de l’entreprise était au courant de la vulnérabilité depuis janvier 2019 ou que l’entreprise n’avait pas remédié à cette vulnérabilité en temps opportun conformément à ses politiques. Selon la SEC, les conclusions de janvier 2019 « auraient été pertinentes pour l’évaluation par la direction de la réponse de la société en matière de divulgation… et de l’ampleur du risque qui en résulte » et la société n’a pas maintenu les contrôles et procédures de divulgation pour s’assurer que la direction disposait de toutes les informations pertinentes avant de faire ses divulgations . En ce qui concerne la cybersécurité, la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans révélant qu’une violation massive de données s’était en fait déjà produite. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible ici . Pour plus d’informations, consultez notre alerte précédente,  » La SEC inflige une amende de 35 millions de dollars à Yahoo pour défaut de divulgation en temps opportun d’une cyber-violation « .(retourner)

22 Pour plus d’informations, consultez notre alerte « Il est temps de revoir les facteurs de risque dans les rapports périodiques ».(retourner)

23 Une enquête de White & Case LLP sur les divulgations faites par les entreprises du Fortune 50 a révélé que chaque entreprise incluait au moins un facteur de risque lié à la cybersécurité dans son formulaire 10-K 2022, et 42 des 50 entreprises incluaient des facteurs de risque détaillés discutant de l’impact que qu’un incident de cybersécurité ou une violation de données pourrait avoir sur les résultats d’exploitation ou la situation financière de l’entreprise.(retourner)

24For more information, see our prior alert, “New 1% Excise Tax on Stock Buybacks May Have Far-Reaching Consequences for Capital Markets, SPAC and M&A Transactions.”(go back)

25For more information, see our prior alert, “Uyghur Forced Labor Prevention Act: Commercial Implications, Compliance Challenges and Responses.”(go back)

26 Disclosure may be required whether or not the degree of occurrence is material on its own. For more information, see our prior alerts, “Time to Revisit Risk Factors in Periodic Reports” and “Key Considerations for the 2022 Annual Reporting and Proxy Season Part I: Form 10-K Considerations.”(go back)

27The Form 20-F also states that “companies are encouraged, but not required, to list the risk factors in the order of their priority to the company.” See Part I, Item 3.D of Form 20-F. In addition, Item 105 applies to foreign private issuers to the extent their Form 20-F is incorporated by reference into a registration statement, such as a Form F-1, F-3, or F-4.(go back)

28For more information, see our prior alert “SEC Adopts Amendments to Modernize Disclosures and Adds Human Capital Resources as a Disclosure Topic: Key Action Items and Considerations for U.S. Public Companies.”(go back)

Pour une gouvernance efficace de la cybersécurité


 

Voici un article majeur publié par Orla Cox et Hetal Kanji*, de FTI Consulting, paru sur le site du Forum de la Harvard Law School on Corporate Governance.

Compte tenu de l’importace croissante de la cybersécurité et des responsabilités accrues des administrateurs dans ce domaine, j’ai opté pour un billet qui présente l’ensemble de la publication. Cependant, la premièere partie constitue un résumé de la problématique soulevée.

Cet article présente, en détail, toutes les mesures que les conseils d’administration doivent connaître et mettre en oeuvre pour pallier les cyber-risques de plus en plus prévalents. Les auteurs présentent un état des lieux eu égard à la cybersécurité.

J’ai corrigé la version traduite par Google, et le résultat final me semble très acceptable.

Bonne lecture !

 

Cybersécurité Entreprise : Audit Sécurité Informatique & Sécurité Réseau

Résumé

La numérisation a changé la façon dont les entreprises fonctionnent et a donné lieu à un ensemble de risques en évolution rapide auxquels les entreprises sont confrontées et auxquelles elles doivent se préparer — les risques de cybersécurité. La prévalence croissante des cyberattaques, notamment les rançongiciels, associée à la diminution de la disponibilité de la cyberassurance, expose de plus en plus les entreprises aux impacts souvent importants d’un incident de cybersécurité. Il y a naturellement un coût financier à court terme — les recherches d’IBM [1] révèlent que le coût total moyen d’une violation de ransomware en 2022 est de 4,54 millions de dollars — mais, sur le plan de la réputation, l’impact d’un incident peut être plus durable.

Conscients de la façon dont les entreprises sont de plus en plus exposées à la cybersécurité, les gouvernements, les régulateurs et les investisseurs augmentent la pression sur les organisations pour qu’elles améliorent leurs mesures de cybersécurité, augmentent la transparence autour des divulgations et mettent en place des structures de gouvernance et de gestion qui démontrent que la cybersécurité est une priorité aux plus hauts niveaux du monde.

Veiller à ce que des structures de surveillance soient en place au niveau du conseil d’administration est un élément clé de la cybergouvernance. En tant que risque important affectant les entreprises, les conseils d’administration sont de plus en plus tenus responsables de s’assurer que l’équipe de direction prend les mesures appropriées pour atténuer le risque d’attaque de cybersécurité, et également de s’assurer que l’organisation réagit de manière appropriée en cas d’incident. Souvent, les conseils d’administration ont peu ou pas d’expérience dans ce domaine, et bien que la nature dynamique du cyberrisque signifie que les membres du conseil d’administration ne sont pas censés être des cyberexperts — bien qu’il y ait un mérite à avoir une expertise au sein du conseil d’administration — ils sont censés être capables de interpeller la direction sur ce sujet et informer les actionnaires sur les mesures mises en place pour atténuer l’impact des incidents de cybersécurité.

Pour de nombreuses entreprises, le Chief Information Security Officer (CISO) est l’exécutif responsable du cyberrisque. Les investisseurs et les régulateurs faisant pression pour une plus grande surveillance au niveau du conseil d’administration, le RSSI devra communiquer les cyberrisques et les mesures en des termes qui résonnent avec le conseil d’administration, et les structures de gouvernance devront donner la priorité à l’engagement avec le RSSI sur les cyberrisques.

La cybersécurité fait également de plus en plus partie de l’examen minutieux des entreprises par les investisseurs et les conseillers en vote. Nos recherches indiquent que les investisseurs considèrent désormais la cybersécurité comme une priorité essentielle, les cyberattaques étant systématiquement citées comme la préoccupation ou le domaine de risque le plus important pour les investisseurs. Parallèlement à cela, les principaux gestionnaires d’actifs mondiaux fournissent plus de détails sur ce qu’ils attendent en termes de divulgation — y compris un désir de détails sur les structures en place pour gérer le cyberrisque, mais aussi le nombre et l’ampleur des cyber-incidents affectant une entreprise.

La manière dont les entreprises communiquent leur gouvernance du risque cyber aux investisseurs est donc de plus en plus importante. Lors de l’annonce des règles proposées par la SEC sur la divulgation de la cybersécurité, le président de la SEC, Gary Gensler, a déclaré : « Je pense que les entreprises et les investisseurs gagneraient à ce que ces informations soient requises de manière cohérente, comparable et utile à la prise de décision. » Cela met en évidence un manque de transparence autour des cyberrisques et de la divulgation des incidents ; et un indicateur clair que la réglementation ne va que dans un sens.

Dans l’évaluation de l’environnement réglementaire ; l’examen de l’attention accrue de la communauté des investisseurs ; et compte tenu des avantages d’une plus grande transparence, nous estimons qu’il peut être avantageux pour les entreprises d’aborder la cybersécurité d’une manière similaire à la façon dont le groupe de travail sur les informations financières liées au climat (TCFD) aborde le risque climatique. Celui-ci est construit autour de quatre piliers et permettra aux conseils d’administration et aux investisseurs des entreprises de reconnaître les risques posés par la cybersécurité d’une manière plus holistique couvrant i) la gouvernance ; ii) Stratégie ; iii) gestion des risques ; iv) Paramètres et cibles.

En fin de compte, une combinaison de réglementation et d’exigence d’une plus grande transparence signifiera un changement radical dans la divulgation pour les entreprises. Cependant, il est probable qu’il y ait un avantage clair — financier et de réputation — pour les entreprises qui sont les premières à adopter une approche plus proactive de la gouvernance et de la surveillance du cyberrisque et de la divulgation.

Introduction

Le Forum économique mondial a classé la cybersécurité parmi les cinq principaux risques mondiaux [2] et a appelé les entreprises à intégrer les considérations de cybersécurité dans leur gestion des risques ESG. Avec la croissance des menaces de cybersécurité et l’augmentation significative du nombre d’attaques de ransomwares et de logiciels malveillants, la cybersécurité reste en tête du registre des risques pour de nombreuses entreprises. Malgré une prise de conscience accrue, un incident de cybersécurité continue d’être une affaire coûteuse, les recherches d’IBM estimant que le coût total moyen d’une violation de ransomware en 2022 était de 4,54 millions de dollars . [3]

Avec la numérisation croissante des entreprises, le travail à distance et l’évolution du paysage géopolitique, ainsi que l’augmentation du volume et de la gravité des cyberattaques, les pratiques de gestion des risques des entreprises et la surveillance efficace du cyber et de la technologie font l’objet d’un examen accru de la part des investisseurs, tandis que les régulateurs continuent d’accélérer la mise en œuvre des cadres de surveillance nécessaires. Les entreprises qui ne parviennent pas à mettre en œuvre une bonne gouvernance en matière de cybersécurité ou à utiliser des outils et des mesures appropriés seront considérées comme « moins résilientes et moins durables » , a déclaré le WEF.

État des lieux de la cybersécurité

Un paysage de menaces en constante expansion

L’année 2021 a été sans précédent tant par l’ampleur que par l’impact des cyberattaques. Une grande attention a été accordée, à juste titre, aux rançongiciels et a été motivée par des attaques de grande envergure menées par des groupes professionnels de la cybercriminalité dotés des compétences et des ressources nécessaires pour infiltrer les grandes organisations et les infrastructures étatiques. La prévalence des ransomwares continue d’augmenter d’année en année, mais a fait un bond significatif en 2021 lorsqu’elle a augmenté de 13 %  [4] — une augmentation équivalente aux cinq années précédentes combinées.

La prolifération des ransomwares a été facilitée par le modèle commercial « Ransomware en tant que service » dans lequel les développeurs vendent leur souche de ransomwares à des affiliés, en échange d’une réduction des bénéfices. L’utilisation de la double extorsion (menacer de divulguer des données) et de la triple extorsion (menacer d’autres parties prenantes telles que les employés et les clients) a également augmenté les enjeux pour les organisations qui réagissent à un incident.

Le paysage géopolitique changeant de 2022 a également signifié que les entreprises se sont retrouvées dans la ligne de mire non seulement des cybercriminels, mais aussi des acteurs des États-nations [5]  menant des cyberattaques parallèlement aux activités militaires traditionnelles. Les hacktivistes [6]  ont également ciblé des organisations pour des raisons idéologiques, par exemple celles qui continuent à faire des affaires en Russie. Alors que nous entrons dans une période de « cyberguerre froide », les inquiétudes concernant les attaques potentielles contre les secteurs dits critiques — tels que les industries, les services financiers et les services publics — se sont considérablement accrues, car les impacts plus larges et systémiques de ces attaques prennent une nouvelle dimension.

Parallèlement à cette activité de menace accrue, les organisations voient également leur surface d’attaque s’élargir en raison de la numérisation accélérée, de l’augmentation de l’activité en ligne et des chaînes d’approvisionnement numériques complexes. Cela signifie que les risques auxquels sont confrontées les organisations augmentent et changent constamment, tandis que la sophistication avec laquelle les acteurs externes peuvent mener des attaques augmente.

Les régulateurs et les investisseurs sont de plus en plus conscients de ce risque croissant de cybersécurité et du coût élevé d’un incident d’un point de vue commercial, financier et de réputation, et mettent en place des mesures qui obligeront les entreprises à mettre en œuvre une surveillance appropriée de la cybersécurité et, par conséquent, à tenir leurs conseils d’administration et leurs cadres supérieurs responsables.

Disponibilité et abordabilité de la cyberassurance

Ces dernières années, les entreprises avaient recours à la cyberassurance pour gérer les retombées d’un incident de cybersécurité. Cependant, l’incidence accrue des cyberattaques, en particulier les rançongiciels, combinée à l’augmentation des demandes de rançon, a entraîné un plus grand volume de réclamations d’assurance.

Les assureurs ont augmenté les prix [7]  en réponse à l’augmentation des sinistres, la compagnie d’assurance Marsh rapportant [8]  que le prix de la couverture au quatrième trimestre 2021 a augmenté de 130 % aux États-Unis et de 92 % au Royaume-Uni, et a augmenté de 110 % supplémentaires aux États-Unis et de 102 % au Royaume-Uni au premier trimestre 2022. L’augmentation des sinistres a été si importante que de nombreuses compagnies d’assurance limitent leur couverture ou ne proposent tout simplement plus de cyber-assurance. En août 2022, Lloyds of London a publié un bulletin  [9] à ses membres déclarant qu’à partir du 31 mars 2023, en raison du risque systémique pour les marchés de l’assurance posé par les cyber-polices, toutes les cyber-polices autonomes nouvellement rédigées doivent exclure la responsabilité pour les pertes résultant de toute cyber-attaque soutenue par l’État.

Environnement réglementaire plus strict

C’est dans le contexte d’une prévalence et d’une gravité accrues des attaques que les gouvernements et les régulateurs continuent d’augmenter la pression sur les organisations pour qu’elles améliorent leur position en matière de cybersécurité tout en augmentant la transparence grâce à une plus grande divulgation de la cybersécurité. Le non-respect de la réglementation peut être coûteux pour les entreprises ; le coût d’une violation de données en particulier est supérieur de plus de 50 % [10]  pour les organisations présentant un niveau élevé d’échecs de conformité. Ces augmentations de coûts sont principalement le résultat d’amendes, de pénalités et de poursuites.

L’Europe

La réglementation de la cybersécurité en Europe se concentre principalement sur la protection des données personnelles et le maintien de l’intégrité des infrastructures, systèmes et services critiques. Le RGPD, qui couvre le traitement des données personnelles et la notification des violations de données dans l’UE, est bien établi et, pour l’essentiel, bien compris. Sa mise en œuvre a permis de mettre en évidence les responsabilités des entreprises en tant que dépositaires des données personnelles. La directive sur la sécurité des réseaux et de l’information (NIS) a également fourni des exigences en matière de cybersécurité et de notification pour les fournisseurs de services numériques et les opérateurs de services essentiels tels que la santé, les transports et les services financiers depuis 2018. Avec la nature en constante évolution des cyberrisques et leur fréquence accrue et de sophistication, le Parlement européen a approuvé le NIS2 en décembre 2021, » qui sont critiques pour l’économie et la société » . La politique est conçue dans le but de renforcer les mesures existantes et de rationaliser le reporting des entreprises. Le Royaume-Uni élargit également le champ d’application de sa directive NIS pour inclure un ensemble plus large d’industries.

En outre, la loi imminente sur la résilience des opérations numériques (DORA) augmentera les exigences de divulgation et de déclaration pour le secteur des services financiers et leurs fournisseurs tiers dans l’UE.

États-Unis

Les régulateurs américains se sont concentrés sur la matérialité des incidents, la SEC indiquant depuis 2018 que les cyberattaques représentent des risques commerciaux existentiels et peuvent avoir un impact matériel, justifiant la divulgation. En mars 2022, la SEC a développé ce point et proposé de nouvelles règles  [11]  qui rendraient la divulgation des incidents obligatoire pour les entreprises publiques. Selon les nouvelles règles, les entreprises devraient signaler les incidents matériels de cybersécurité dans les quatre jours suivant leur découverte.

En plus de la divulgation des incidents, les propositions traitent également de la surveillance de la cybersécurité en indiquant que la réglementation obligerait les entreprises « à fournir une divulgation plus cohérente et informative concernant leur gestion et leur stratégie des risques de cybersécurité » . Les propositions consacrent une section entière à la gouvernance de la cybersécurité décrivant les exigences de divulgation liées à la surveillance et à l’expertise du conseil d’administration en matière de cybersécurité, le rôle et l’expertise de la direction dans la gestion des risques de cybersécurité et la manière dont le risque de cybersécurité est pris en compte par rapport à la stratégie commerciale, à la gestion des risques et à la surveillance financière. Les détails partagés par la SEC à la suite de récents règlements ont également révélé le niveau de contrôle actuellement exercé sur les incidents de cybersécurité. Les manquements décrits dans les règlements comprennent :

  • Retards dans les notifications aux investisseurs
  • Absence de processus et de contrôles de divulgation internes entraînant des déclarations inexactes de la part des cadres supérieurs
  • Politiques de sécurité écrites qui n’ont pas été mises en œuvre dans la pratique
  • Langage trompeur, inexactitudes et omissions dans les notifications

Bien que ces propositions soient encore en phase de consultation, il est tout à fait clair que la SEC considère la cybersécurité comme un risque important pour les entreprises. Les entreprises seront non seulement évaluées sur les structures en place pour gérer et superviser le cyberrisque, mais également sur la manière dont elles réagissent immédiatement après un incident.

Gouvernance d’entreprise et cybersécurité

La croissance du cyberrisque a entraîné une prise de conscience accrue et des attentes plus élevées concernant les problèmes de cybersécurité, les entreprises étant évaluées sur leur état de préparation, leur résilience et leur réaction à la suite d’un incident. Alors que les entreprises doivent bien comprendre les bases et avoir une compréhension claire de leurs obligations de divulgation au niveau du marché et du secteur industriel, les régulateurs et les investisseurs attendent également des conseils d’administration qu’ils mettent en place une structure de gouvernance qui donne la priorité à la cybersécurité. Une gouvernance appropriée est considérée comme essentielle à la fois pour atténuer les risques, répondre aux incidents de cybersécurité et démontrer la préparation.

Les nouvelles orientations proposées par la SEC sur la gestion des risques de cybersécurité, la stratégie, la gouvernance et les règles de divulgation des incidents augmenteront la responsabilité des conseils d’administration en matière de cyberrisque. Étant donné que les propositions exigeront que les incidents matériels soient signalés dans les quatre jours, les entreprises devront évaluer rapidement l’impact total d’un incident. Afin de répondre à ces exigences strictes et d’éviter les sanctions, les conseils d’administration devront avoir une compréhension complète de leur cyberrisque et de l’impact financier potentiel d’un incident, avant qu’il ne se produise. De nombreuses entreprises comptaient sur la cyberassurance pour gérer certains éléments de leur exposition aux risques, mais les fournisseurs limitant de plus en plus leur couverture, les entreprises sont effectivement auto-assurées pour la majorité des coûts associés à un cyberincident.

Ce nouvel environnement de risque, combiné à une réglementation exigeant transparence et responsabilité, accompagné d’une pression croissante des actionnaires pour mieux comprendre comment le risque cyber est atténué, signifie que l’accent est désormais mis sur le rôle des administrateurs dans la surveillance du risque cyber. .

Élargir le rôle et l’importance du RSSI

Avoir un Chief Information Security Officer (CISO) dédié, qui est séparé et distinct du rôle de Chief Information Officer (CIO), est devenu de plus en plus important avec la transformation numérique accélérée et les risques de sécurité associés que la pandémie et les problèmes géopolitiques ont apportés. Un RSSI habilité et digne de confiance est également essentiel lors d’une véritable crise informatique, lorsque des décisions doivent être prises et communiquées rapidement, non seulement pour protéger les opérations et la réputation, mais aussi pour éviter de futures sanctions réglementaires.

Les lignes directrices en matière de gouvernance dans les directives de la SEC exigent une discussion sur les points suivants :

  • Si l’ensemble du conseil d’administration, des membres spécifiques du conseil d’administration ou un comité du conseil d’administration sont responsables de la surveillance des risques de cybersécurité ;
  • Les processus par lesquels le conseil est informé des risques de cybersécurité et la fréquence de ses discussions sur ce sujet ; et
  • si et comment le conseil ou le comité du conseil considère les risques de cybersécurité dans le cadre de sa stratégie commerciale, de sa gestion des risques et de sa surveillance financière.

Le bureau du RSSI a peut-être été traditionnellement considéré comme une fonction informatique, mais les implications profondes d’un incident de cybersécurité signifient que la cybersécurité doit être considérée comme un risque commercial. Garner [12] prévoit qu’au moins 50 % des cadres de niveau C auront des exigences de performance liées au cyberrisque d’ici 2026, ce qui renforce la façon dont la responsabilité du cyberrisque est passée d’une simple responsabilité informatique à une responsabilité des chefs d’entreprise dans tous les segments d’une entreprise. Historiquement, ces dirigeants n’ont peut-être pas pris en compte le cyberrisque dans leur prise de décision et leurs priorités, et le RSSI devra donc s’assurer que ces dirigeants d’entreprise disposent des connaissances et de la capacité de prendre des décisions appropriées en matière de risque, dans le cadre de la gestion plus large des risques de l’entreprise.

Ce changement, combiné à un paysage réglementaire qui pousse la responsabilité de la surveillance au niveau du conseil d’administration, signifie que le RSSI moderne doit être capable de communiquer les cyberrisques dynamiques et en évolution rapide en termes qui résonnent à la fois avec l’entreprise et le conseil d’administration. Les mesures doivent être définies en termes d’impact commercial et financier pour redéfinir la cybersécurité comme un investissement obligatoire et non comme un coût opérationnel. Cependant, une nouvelle enquête de FTI Consulting auprès de 165 RSSI aux États-Unis a révélé que 58 % ont du mal à communiquer avec la haute direction. [13]

Surveillance du conseil

Alors que le CISO joue un rôle important dans la préparation de la stratégie globale de cybersécurité d’une entreprise, s’assurer que les mesures de cybersécurité d’une entreprise sont adéquates devrait également faire partie des responsabilités de surveillance du conseil d’administration. La cybersécurité doit faire partie de l’ordre du jour récurrent des réunions du conseil d’administration.

Il est de pratique courante que la fonction de surveillance des cyberrisques fasse partie des attributions du comité d’audit du conseil d’administration. Cette décision concernant la structure de surveillance la plus efficace doit être basée sur la structure de chaque entreprise. En outre, à mesure que les investisseurs institutionnels et les conseillers en vote se concentrent davantage sur la surveillance de la cybersécurité, les conseils d’administration — et pas seulement la direction — doivent être préparés à un dialogue régulier avec les actionnaires sur ces questions.

Il est essentiel que le CISO alimente régulièrement les discussions du conseil d’administration afin de communiquer les risques de cybersécurité auxquels une entreprise est confrontée et les investissements nécessaires pour atténuer ces risques, et que le conseil d’administration soit prêt à poser des questions pertinentes sur la stratégie de cybersécurité.

L’enquête RSS de FTI Consulting a révélé que 53 % des RSSI estiment que les priorités en matière de cybersécurité ne sont pas complètement alignées sur celles de la haute direction. Un CISO sera souvent confronté à des intérêts concurrents de l’entreprise et, par conséquent, il est important que le conseil d’administration contribue à favoriser une culture où la cybersécurité est prioritaire et ne perd pas face à des intérêts concurrents (par exemple, en la reconnaissant comme un investissement et non comme un coût). Bien que le RSSI soit responsable de la conception et de la mise en œuvre du programme de cybersécurité de l’entreprise, il appartient au conseil d’administration de s’assurer que la stratégie appropriée a été élaborée et mise en œuvre par l’équipe de direction.

Compétences du conseil

Bien que des rapports solides au conseil d’administration de la part d’un RSSI ou d’un autre cadre améliorent la surveillance des risques de cybersécurité, tout comme le fait d’avoir un sens aigu des finances au sein du conseil d’administration, il est tout aussi important que le conseil lui-même ait l’expertise et les compétences appropriées pour comprendre les rapports et les risques en matière de cybersécurité. Les conseils d’administration doivent faire appel à l’industrie externe et à d’autres conseils ainsi qu’à l’expertise en cybersécurité de leurs collègues administrateurs, de tiers et de ressources internes pour superviser efficacement la cybersécurité de l’organisation au sein d’une structure appropriée axée sur la surveillance. Dans un paysage en évolution rapide, les réalisateurs gagneraient à chercher continuellement à élargir leurs propres connaissances sur ce sujet.

En outre, établir des relations en interne avec des parties prenantes capables de fournir une expertise pour guider les décisions stratégiques en matière de cybersécurité ; rechercher des conseillers tiers externes qui font régulièrement rapport au conseil ; et la mise en œuvre d’audits périodiques et/ou d’analyses comparatives par des tiers jouent un rôle important dans le renforcement des compétences du conseil dans ce domaine. À mesure que la compréhension du cyberrisque se développe, de nombreuses entreprises ont séparé les équipes informatiques et de sécurité de l’information dans le cadre de leur stratégie de gouvernance. Compte tenu de la fréquence et du risque accru de faire face à une cyberattaque ou à une défaillance de la cybersécurité, il est devenu de plus en plus important de disposer d’une expertise en cybersécurité à la disposition du conseil d’administration. Nos recherches précédentes, basées sur les données de 2020 [14], ont indiqué qu’un manque d’expertise technologique au sein d’un conseil crée une lacune réelle et significative dans l’ensemble des compétences du conseil. Sur la base de ces données, seuls 8,5 % des administrateurs des indices FTSE 350 et ISEQ20 ont été jugés avoir une expertise technologique. En ce qui concerne les données de 2022, ce nombre est tombé à 7,2 %, avec la diminution du nombre d’administrateurs ayant une expertise technologique dans l’ensemble du FTSE350 et une augmentation de 1 % dans l’ISEQ20, comme détaillé dans le tableau.

Dans la lignée du ralentissement macroéconomique qui a caractérisé les deux dernières années, la légère diminution du nombre d’administrateurs ayant une expertise technologique au sein des conseils d’administration des entreprises britanniques et irlandaises entre 2020 et 2022 ne doit pas être considérée comme une diminution de l’importance accordée aux sujets de la cybersécurité par les investisseurs.

Intérêt des investisseurs

Alors que les régulateurs tentent de mettre en place des cadres qui serviront à protéger les investisseurs, certains de ces mêmes investisseurs prennent également les choses en main.

Selon le rapport sur les Principes d’investissement responsable des Nations Unies, le sujet de la cybersécurité fait de plus en plus partie du programme d’engagement des investisseurs, compte tenu de l’impact négatif potentiel sur les valorisations des portefeuilles et les bénéfices du risque juridique et réglementaire associé aux cyberincidents. L’impact potentiel sur le cours de l’action d’une entreprise, en particulier lorsque ces incidents deviennent de plus en plus probables, fait partie de l’analyse d’une entreprise par les investisseurs, avec des recherches récentes de HSBC [15] soulignant le fait que 73 % des organisations ont sous-performé le marché après une attaque de ransomware. Recherche menée par FTI Consulting qui a sondé c. 204 investisseurs institutionnels en 2021 ont constaté que les cyberattaques sont parmi les plus grandes préoccupations des entreprises dans lesquelles ils sont investis. Alors que les récents bouleversements sociétaux et géopolitiques ont mis en évidence des préoccupations supplémentaires, les cyberattaques sont toujours restées une préoccupation majeure au cours des deux dernières années.

Attentes des investisseurs

Reflétant les préoccupations croissantes et l’examen minutieux des pratiques de cybersécurité des entreprises par les investisseurs, les conseillers en vote ont intégré, dans leurs rapports de recherche, des informations et des points de données supplémentaires sur ce sujet.

En outre, ces informations ont également été intégrées dans l’analyse d’autres tiers et fournisseurs de notation, Refinitiv ayant récemment annoncé l’incorporation de données de cybersécurité de tiers dans ses rapports de diligence raisonnable axés sur les risques. De même, fournisseur d’outils de gouvernance d’entreprise, de rémunération, de durabilité et de cybersécurité, ISS Corporate Solutions s’est associé à une autre plateforme technologique de premier plan qui opérationnalise les risques, la confidentialité et la sécurité des tiers. Grâce à ce partenariat, les entreprises auront accès à une gamme d’informations détaillées et d’évaluations exclusives sur la stratégie/les pratiques de cybersécurité de leurs fournisseurs et de tiers, afin de s’assurer qu’elles contribuent positivement à la réputation et aux opérations commerciales de l’organisation.

En 2021, le conseiller en proxy Glass Lewis a annoncé un partenariat avec une société de notation de sécurité pour fournir des données et des informations sur la cybersécurité dans leurs rapports de recherche. La notation fournie est basée sur une évaluation des données externes disponibles telles que les systèmes compromis, les niveaux de correctifs et les incidents divulgués publiquement. Les entreprises sont ensuite comparées à leur secteur d’activité.

 

La note « ISS ESG QualityScore » comprend désormais également plusieurs questions liées à la gouvernance de la cybersécurité, y compris l’expertise du conseil d’administration en matière de cybersécurité, les politiques et la surveillance publiées en matière de cybersécurité et des détails sur toute violation de la cybersécurité qui fournissent un cadre utile pour mieux comprendre le niveau de pratique actuel d’une entreprise.

Intendance et cybersécurité

À la lumière des complexités et du paysage en constante évolution de la cybersécurité, avec des cadres réglementaires toujours en phase de rattrapage, l’évaluation de la cyberpréparation d’une entreprise est devenue une considération clé pour de nombreux investisseurs institutionnels. Un rapport sur les principes d’investissement responsable (PRI) [16] a  révélé que si les entreprises reconnaissent de plus en plus le cyberrisque, la divulgation ne se développe pas au même rythme. L’étude a révélé que « bien que les entreprises reconnaissent de plus en plus les cyberrisques et leurs impacts, les informations d’entreprise dans le domaine public ne garantissent pas aux investisseurs que les entreprises disposent de structures et de mesures de gouvernance adéquates pour faire face aux défis de la cybersécurité ».. L’information étant au centre de marchés fonctionnant efficacement, le cyberespace peut être une sorte d’angle mort.

ISS inclut une série de questions liées à la cybersécurité lors de la détermination de la note ISS ESG QualityScore :

  • L’entreprise divulgue-t-elle une approche d’identification et d’atténuation des risques de sécurité de l’information ?
  • Quel pourcentage du comité responsable de la sécurité de l’information est indépendant ?
  • À quelle fréquence la haute direction informe-t-elle le conseil d’administration sur les questions de sécurité de l’information ?
  • Combien d’administrateurs ayant une expérience en sécurité de l’information sont membres du conseil d’administration ?
  • L’entreprise a-t-elle connu une violation de la sécurité des informations au cours des trois dernières années ?
  • L’entreprise a-t-elle souscrit une police d’assurance contre les risques liés à la sécurité de l’information ?
  • L’entreprise est-elle auditée en externe ou certifiée selon les normes de sécurité de l’information les plus élevées ?
  • L’entreprise a-t-elle un programme de formation en sécurité de l’information ?
  • Depuis combien de temps la violation de la sécurité des informations la plus récente s’est-elle produite (en mois) ?

Perspectives et mises à jour des investisseurs institutionnels

BlackRock, le plus grand gestionnaire d’actifs au monde, a identifié dans son rapport annuel de gérance 2021  [17]  que la cybersécurité est un risque systémique, étant donné les risques de confidentialité et de sécurité des données qui peuvent affecter les informations personnelles, en tant qu’employés ou clients, ainsi que l’effet d’entraînement qu’elle pourrait par l’intermédiaire du système financier au sens large. Dans son rapport sur les votes de 2022[18] BlackRock a continué d’identifier la confidentialité et la sécurité des données comme un sujet prioritaire pour les entreprises et les investisseurs, à la lumière du rôle croissant de la technologie dans les modèles commerciaux des entreprises et les interactions avec les employés, les clients et les autres parties prenantes. BlackRock considère cette question dans le contexte de l’industrie et du marché des entreprises qu’elle engage  [19] avec et cherche à mieux comprendre comment chaque entreprise est préparée à naviguer au mieux dans ce paysage en évolution.

« Du point de vue d’un investisseur à long terme, cherchant à assurer des rendements durables pour nos clients, l’accès accru aux données personnelles par les entreprises s’accompagne de risques commerciaux importants qui peuvent avoir un impact sur la réputation d’une entreprise et sa capacité à fonctionner. Alors que le coût direct et indirect moyen mondial d’une seule violation de données est estimé à plus de 4 millions de dollars en 2021, le risque financier extrême associé à une violation de données très importante peut atteindre des centaines de millions de dollars. Bien que les méga-brèches ne soient pas l’expérience normale pour la plupart des entreprises, ils peuvent avoir un impact démesuré sur les consommateurs et les industries […] Cependant, les investisseurs peuvent être confrontés à d’importants manques de transparence lorsqu’ils évaluent la gestion de ces risques par les entreprises et leur préparation à un événement de crise. Plus récemment, nous avons constaté des efforts pour combler cette lacune, en mettant davantage l’accent sur les rapports réguliers et la transparence sur les politiques et la surveillance du conseil d’administration, ce que nous saluons compte tenu de la sensibilité associée au sujet ainsi que de la nature relativement nouvelle de ces risques et de la réglementation. »

Source : approche de BlackRock en matière de confidentialité et de sécurité des données

Dans son rapport semestriel sur la gestion des investissements  [20] en 2020, Vanguard a également souligné l’importance de structures de gouvernance d’entreprise solides pour prévenir ou réduire l’impact des risques matériels tels que la cybersécurité sur la valeur à long terme, comme indiqué :

« En fin de compte, les conseils d’administration devraient s’efforcer d’empêcher que les risques ne se transforment en échecs de gouvernance. Nous avons vu de plus en plus de preuves que des risques non traditionnels, mais matériels liés à des sujets environnementaux et sociaux (tels que le changement climatique, la cybersécurité et la gestion du capital humain) peuvent nuire à la valeur à long terme d’une entreprise. Si les pratiques, la culture organisationnelle ou les produits d’une entreprise mettent en danger la santé, la sécurité ou la dignité des personnes, ils peuvent également présenter un risque financier pour les investisseurs. De solides pratiques de surveillance permettent à un conseil d’administration de diriger une entreprise à travers des crises imprévisibles.

Source : Rapport semestriel sur la gestion des investissements de Vanguard 2020

Schröders

Bien qu’il n’y ait pas de méthode définie pour s’engager sur la cybersécurité, Schroders a noté les questions ci-dessous qui guident ses engagements sur la cybersécurité :

  1. Existe-t-il une responsabilité en matière de cybersécurité et de confidentialité des données au niveau du conseil d’administration et de la direction ?
  2. Comment s’organise l’expertise technique de l’entreprise ?
  3. Quels sont les formations et le suivi des employés et des fournisseurs mis en place ?

Engagement actionnarial

Outre l’examen des divulgations et des notations de tiers, les investisseurs ont utilisé l’engagement comme moyen d’acquérir une meilleure compréhension des approches des entreprises face à ce risque important, d’autant plus que les exigences de divulgation sont encore en développement. Les entreprises ont montré une certaine réticence à divulguer des détails importants sur leurs stratégies et cadres de cybersécurité, mais ont, à leur tour, montré leur disponibilité à dialoguer directement avec leurs actionnaires sur leurs pratiques. Le rapport PRI précité, notait également que les entreprises contactées dans le cadre de cet engagement collectif » étaient ouverts au dialogue privé et ont volontairement mis leurs experts — généralement des responsables de la sécurité de l’information ou des directeurs numériques (ainsi que le personnel de leurs équipes de développement durable et de relations avec les investisseurs) — à disposition pour aider les investisseurs à développer une vision plus complète de la manière dont ils gèrent les risques de cybersécurité ».

Cette profondeur d’information, y compris la combinaison d’antécédents et d’idées, n’aurait pas été capturée dans le seul examen des documents publics, et souligne en outre le mérite important de l’engagement des actionnaires pour obtenir une vision plus holistique de l’approche d’une entreprise, et met également en évidence le niveau d’interaction entre le conseil d’administration et l’équipe de direction. À mesure que l’engagement et la gestion de la cybersécurité augmentent, les membres du conseil d’administration devront être préparés à ces conversations. Un engagement régulier avec les RSSI et les équipes de sécurité permettra une meilleure compréhension de l’état de la cybersécurité de l’entreprise. BlackRock a développé son approche pour s’engager avec les entreprises, en particulier celles qui présentent le plus grand risque, sur la confidentialité et la sécurité des données et les objectifs de leur engagement sont détaillés ci-dessous :

BlackRock

L’approche de BlackRock en matière d’engagement en matière de confidentialité et de sécurité des données :

Évaluation de la matérialité

  • Quelle est l’exposition de l’entreprise aux risques liés à la confidentialité et à la sécurité des données en fonction de son modèle commercial, par exemple
  • la quantité, le type et la sensibilité des données qu’il recueille (c.-à-d. utilisateurs vs clients ; particuliers vs entreprises ; privés vs publics, sensibles vs non sensibles) ?
  • Quelles sont les implications financières concrètes pour l’entreprise en matière de confidentialité, de données et de cybersécurité ?
  • Des mesures réglementaires connexes ont-elles été prises ou sont-elles prévues ? Pour une entreprise opérant/cotée dans plusieurs juridictions, comment parvient-elle à se conformer aux multiples réglementations en matière de sécurité/confidentialité des données ?

Surveillance et ressources du conseil

  • Dans quelle mesure le conseil d’administration maintient-il une surveillance et une compréhension complètes des risques importants en matière de confidentialité et de sécurité des données ?
  • Comment ces questions sont-elles prises en compte dans le plan de continuité des activités de l’entreprise ?
  • Quelles sont les ressources dédiées à la gestion des risques cyber et pourquoi sont-elles considérées comme adéquates pour l’entreprise ? Les paramètres liés à la formation des employés sont-ils largement partagés avec les parties prenantes en interne et en externe ?
  • L’entreprise utilise-t-elle un cadre de sécurité de l’industrie et comment se mesure-t-elle par rapport à ce cadre ?
  • Comment l’entreprise identifie-t-elle et traite-t-elle les problèmes de sécurité techniques et organisationnels pour se protéger contre les atteintes à la sécurité des données ?

Surveillance et ressources du conseil

  • Comment l’entreprise détermine-t-elle quelles données sont appropriées pour collecter et équilibrer l’utilisation des informations personnelles des clients pour les opportunités de revenus avec les risques juridiques, réglementaires et de réputation tout en maintenant la confiance des clients ?
  • À mesure que les clients prennent conscience de l’importance et des risques associés à leurs données, comment l’entreprise prend-elle en compte les changements potentiels dans la volonté des clients de partager leurs données à long terme ?
  • Comment l’entreprise s’assure-t-elle que les données collectées sont utilisées aux fins déclarées et qu’il n’y a pas d’écart ?
  • Si l’entreprise applique des algorithmes aux informations personnelles des utilisateurs à des fins de ciblage, quelle est la politique d’examen de ces algorithmes (au niveau de la direction et du conseil d’administration) pour s’assurer qu’il n’y a pas de discrimination perçue fondée sur l’origine ethnique, le pouvoir d’achat ou d’autres catégories démographiques qui pourraient être perçus comme sensibles ?

Gestion des tiers

  • En cas de transfert de données à des tiers, comment l’entreprise s’assure-t-elle que le traitement des données est effectué de manière responsable lors du transfert et conforme aux politiques de protection de l’entreprise ?

Stratégies d’engagement collectif

Une autre approche pour mieux comprendre la gouvernance de la cybersécurité dans différentes entreprises a consisté à utiliser des stratégies d’engagement collectif, qui offrent aux investisseurs un meilleur accès et une meilleure compréhension, mais offrent également une échelle supplémentaire pour influencer les pratiques de l’entreprise. À partir de 2019, le Border to Coast Pensions Partnerships, un fonds de pension du gouvernement local, et Royal London Asset Management, ont mené une initiative collaborative sur la cybersécurité, ce qui leur a permis de faire évoluer leur compréhension des risques et de l’approche de la cybersécurité, notant la valeur significative de ces interactions : « un dialogue approfondi plutôt que des divulgations générales croissantes peut être dans le meilleur intérêt des investisseurs ». À travers les différentes étapes de l’engagement, l’initiative a maintenant détaillé les attentes des investisseurs  [21] sur ce sujet, qui guidera son engagement individuel et ses décisions de vote.

Entre 2017 et 2019, les PRI ont coordonné un programme d’engagement mondial sur la gouvernance de la cybersécurité, avec la participation de 55 investisseurs institutionnels, représentant plus de 12 milliards de dollars d’actifs sous gestion, couvrant 53 entreprises, en mettant l’accent sur les secteurs de la finance, de la santé, des télécommunications, de l’informatique et de la consommation discrétionnaire. Les principaux objectifs de la mission, en particulier compte tenu des niveaux limités de divulgation, étaient les suivants :

  1. Renforcer les connaissances des investisseurs sur la manière dont les sociétés de leur portefeuille sont positionnées pour gérer le cyberrisque (en mettant l’accent sur les politiques et les structures de gouvernance des sociétés) ;
  2. Améliorer la quantité et la qualité de la divulgation sur le cyberrisque et la gouvernance ;
  3. Établir les attentes des investisseurs sur ce que les entreprises peuvent et doivent divulguer concernant la gouvernance des cyberrisques.

Alors que les divulgations publiques des entreprises ont une distance importante à parcourir, le rapport note que les entreprises ont mis leurs experts à la disposition des investisseurs, pour fournir une vue complète de leur approche de la cybersécurité, et à leur tour, ces conversations ont aidé les investisseurs à examiner les pratiques de gouvernance et à discuter des attentes sur ce sujet. En outre, ces dialogues et cette collaboration ont permis d’élaborer des conseils aux investisseurs sur la manière de s’engager dans la cybersécurité.

Approche de gestion d’actifs de la frontière à l’autre et de Royal London

ATTENTES MINIMALES :

  • Identification et surveillance des risques au niveau du conseil
  • Un responsable de la sécurité de l’information (CISO) nommé avec des ressources de soutien.
  • Inclusion de cyber-engagements dans les contrats des fournisseurs et diligence raisonnable efficace.
  • Inclusion de considérations cyber dans les stratégies de croissance inorganique, y compris dans les phases de diligence raisonnable et d’intégration.
  • Divulgation en temps opportun des failles de cybersécurité.
  • Divulgations sur une culture cyber-résiliente, pour inclure une formation sur mesure pour l’ensemble de la main-d’œuvre.

PRATIQUES AVANCÉES :

  • Inclusion de la sécurité de l’information et de la cyber-résilience dans les KPI de la rémunération des dirigeants.
  • Utilisation du NIST Cybersecurity Framework comme référence pour la gestion des risques de cybersécurité.
  • ISO 27000 pour toutes les opérations.

Celles-ci sont mises en évidence dans le rapport PRI [22] qui présente diverses questions d’engagement que les actionnaires peuvent utiliser pour mieux comprendre :

  1. la surveillance du conseil d’administration et la structure de gouvernance soutenant les efforts de cybersécurité ;
  2. Veiller à ce que la cyber-résilience soit intégrée dans la stratégie globale, et quelles sont les principales priorités à cet égard ;
  3. Trouver un langage commun sur la cybersécurité et la manière dont les informations sont transmises au conseil d’administration et dans l’ensemble de l’entreprise ;
  4. Au-delà des contrôles techniques, les entreprises mettent continuellement à jour leur approche autour du cyber, et enfin
  5. définir les attentes en matière de divulgation qui mettent en évidence certains domaines clés où la divulgation a été couramment et de plus en plus mise en œuvre.

Cadre proposé par FTI pour les rapports sur la cybersécurité

Afin de satisfaire les demandes croissantes des investisseurs et des régulateurs en matière de gouvernance et de surveillance renforcées de la cybersécurité, les entreprises, en particulier leurs dirigeants, devront être en mesure de communiquer de manière claire et concise les structures et les contrôles de cybersécurité qu’elles ont mis en place à leurs principales parties prenantes. En fait, lors de l’annonce des règles récemment proposées sur la cybersécurité aux États-Unis, le président de la SEC, Gary Gensler, a déclaré : « Je pense que les entreprises et les investisseurs bénéficieraient si ces informations étaient requises de manière cohérente, comparable et utile à la prise de décision ». Cependant, il y a actuellement un manque d’orientations et de meilleures pratiques établies sur la manière dont ces informations doivent être partagées.

L’état actuel de la cybersécurité fait écho à certaines des conversations qui ont eu lieu ces dernières années concernant le climat et la biodiversité, ainsi que la durabilité plus généralement ; et comment les stratégies et l’impact des entreprises peuvent être communiqués de manière significative aux investisseurs ? La Task Force on Climate-related Financial Disclosures (TCFD) et la Task Force on Nature-related Financial Disclosures (TNFD) ont été créées par le Financial Stability Board (FSB) pour remédier aux incohérences dans les informations sur le climat et la biodiversité tandis que, plus généralement, la Sustainable Accounting Le Conseil des normes (SASB) a publié des normes conçues pour « permettre aux entreprises du monde entier d’identifier, de gérer et de communiquer à leurs investisseurs des informations financières importantes sur la durabilité. “Il est possible de réfléchir aux enseignements tirés de ces cadres de divulgation et de les appliquer à la cybersécurité, étant donné qu’ils mettent l’accent sur des structures de gouvernance robustes et une approche basée sur les risques. En effet, il existe des éléments d’orientation déjà définis dans les cadres existants — le SASB et la Global Reporting Initiative (« GRI »), par exemple — qui peuvent fournir des éléments de base vers un cadre plus spécifique pour le reporting et l’évaluation de la stratégie. Les mesures de cybersécurité décrites dans le cadre SASB fournissent un ensemble clair de mesures comptables qui peuvent fournir une référence d’information significative aux investisseurs sur la façon dont une entreprise aborde son risque de cybersécurité. Comme point de départ, il examine des indicateurs tels que le nombre de violations de données, le pourcentage impliquant des informations personnellement identifiables ou le nombre d’utilisateurs concernés. Pour les entreprises plus lourdes en technologie, qui, avec la prévalence croissante de la numérisation, sont devenues de plus en plus uniformes, les entreprises doivent également décrire leur approche pour identifier et traiter les risques de sécurité des données, et l’utilisation de normes de cybersécurité tierces est également incluse. Cette « double approche » fournit aux entreprises une structure pour divulguer leur approche de la cybersécurité de manière plus significative, quantifiable et harmonisée.

Nous proposons ci-dessous un cadre d’orientation qui tente d’expliquer comment les entreprises, et le conseil d’administration en particulier, peuvent démontrer la surveillance de la cybersécurité, tout en maintenant les niveaux de confidentialité nécessaires. Le cadre est basé sur la structure de rapport recommandée proposée par TCFD et TNFD, mais adaptée pour refléter le paysage réglementaire actuel de la cybersécurité, l’orientation des investisseurs et les pressions générales sur les entreprises. L’intention est que ce cadre fournisse une méthode cohérente et normalisée, ainsi qu’un langage commun, permettant au conseil d’administration et aux responsables de la sécurité de communiquer leur approche de la cybersécurité aux investisseurs et aux autres parties prenantes clés. De nombreuses entreprises craignent de divulguer les détails de leur stratégie de cybersécurité, car elles pensent que cela pourrait les exposer à une attaque potentielle. Nous pensons que ce cadre pourrait permettre aux entreprises de reconnaître les risques posés par la cybersécurité de manière plus globale sans partager de détails qui pourraient être utilisés à mauvais escient par un acteur de cybermenace ou fournir publiquement des informations commercialement sensibles. Cette communication avec les principales parties prenantes relève du conseil d’administration d’une entreprise. Cette approche pourrait également être utilisée comme outil de diagnostic et amorce de conversation entre le conseil d’administration et les équipes de cybersécurité, aidant une entreprise à identifier et à atténuer les risques futurs posés par les menaces de cybersécurité en constante évolution. Cela garantira également un engagement régulier et structuré entre le conseil d’administration et les responsables de la sécurité, ce qui est d’une importance cruciale compte tenu de la nature dynamique de la cybersécurité et du paysage des menaces.

Approche de FTI en matière de risques et d’opportunités en matière de cybersécurité et de divulgation

Gouvernance Stratégie
  • Le conseil est-il directement responsable de la surveillance de la cybersécurité ?
  • Le conseil d’administration comprend-il l’impact de la cybersécurité sur ses responsabilités collectives ?
  • Y a-t-il une expertise appropriée en cybersécurité à bord ?
  • À quelle fréquence la haute direction informe-t-elle le conseil d’administration sur la cybersécurité ?
  • Quel pourcentage du comité responsable de la sécurité de l’information est indépendant ?
  • Quelle couverture de cyber-assurance est en place ?
  • La stratégie décrit-elle clairement les priorités, les risques et les opportunités liés à la cybersécurité ?
  • La stratégie est-elle alignée sur les objectifs de gestion des risques ?
  • La stratégie articule-t-elle l’impact matériel des risques et des opportunités sur la stratégie commerciale et la planification financière de l’organisation, et la diligence raisonnable des fusions et acquisitions ?
  • La stratégie décrit-elle la résilience de l’organisation face à un incident de cybersécurité et la gestion post-infraction ?
Gestion des risques Métriques et cibles
  • Les processus d’identification, d’évaluation et de gestion des risques liés à la cybersécurité sont-ils clairement définis et compris ?
  • Les processus d’identification, d’évaluation et de gestion des risques liés à la cybersécurité sont-ils intégrés dans la gestion globale des risques de l’organisation ?
  • Les procédures de gestion des risques prennent-elles en compte les risques internes et externes, notamment les risques liés à la chaîne d’approvisionnement ?
  • Les menaces de cybersécurité pour l’entreprise sont-elles analysées et comprises pour s’assurer que les efforts défensifs sont pertinents et appropriés ?
  • Des métriques sont-elles définies et utilisées pour évaluer le risque de cybersécurité ?
  • Combien d’incidents se sont produits au cours des 12 derniers mois ?
  • Des contrôles définis sont-ils en place et correspondent-ils aux menaces auxquelles l’organisation est confrontée ?
  • Les investissements dans la cybersécurité peuvent-ils être directement liés à la réduction des risques, à la résilience et à la fiabilité fournies par ces investissements ?
  • Comment les employés, les partenaires, les fournisseurs et les principales parties prenantes sont-ils formés et comment la sensibilisation est-elle maintenue ?
  • La culture de sécurité est-elle mesurée ?

Conclusion

L’augmentation de l’activité des menaces et l’évolution rapide du paysage de l’assurance, combinées à une surveillance accrue des parties prenantes et à un environnement réglementaire plus strict, augmentent la pression sur les entreprises pour qu’elles investissent dans la cybersécurité et mettent en place simultanément des structures de gouvernance et de gestion qui traitent directement de la cybersécurité. Les régulateurs et les investisseurs veulent non seulement voir une meilleure divulgation des incidents, mais veulent également que les entreprises démontrent clairement qu’elles traitent de manière proactive les cyberrisques. Avec une plus grande responsabilisation des conseils d’administration et de la direction pour bien comprendre le cyberrisque et les contrôles en place, il n’y a plus de place pour l’inaction.

Il n’existe pas d’approche unique pour s’assurer que les conseils d’administration sont en mesure de surveiller le cyberrisque et, même s’il n’est pas prévu que les conseils d’administration deviennent des experts en cybersécurité, s’assurer que — en tant que collectif — le conseil d’administration est en mesure de s’engager efficacement et, en fin de compte, de remettre en question le RSSI et la stratégie de cybersécurité de l’entreprise est un impératif. S’il est de la responsabilité des équipes exécutives et opérationnelles d’élaborer et de préparer le plan de préparation à la cybersécurité, le conseil joue un rôle crucial en posant les bonnes questions pour challenger et tester ce processus, et aussi en gérant les tensions entre risque, utilisabilité, sécurité et Coût. Les conseils d’administration doivent être pleinement conscients des infrastructures, des processus et des personnes qui supervisent les risques de cybersécurité, et avoir une solide compréhension des parties de leur organisation qui sont considérées comme présentant un risque plus élevé, quelles sont les vulnérabilités de son cadre de contrôle — en particulier du point de vue de l’erreur humaine — ou si le risque de tiers a été pris en compte dans l’analyse. En outre, afin de gérer l’écart de « connaissances » entre le conseil d’administration et les spécialistes de la cybersécurité, des canaux de communication clairs et cohérents et un engagement avec les équipes exécutives et opérationnelles sur la cybersécurité sont essentiels, ainsi qu’un engagement clair à continuer à développer la compréhension de l’évolution de la cybersécurité., les menaces et les risques liés à l’activité.

Si la cybersécurité est aujourd’hui principalement abordée sous le pilier de la gouvernance, elle peut toucher d’autres aspects de l’ESG, notamment le pilier social. Les incidents de cybersécurité peuvent avoir un impact sociétal de grande envergure lorsqu’ils perturbent les infrastructures critiques et les services essentiels, tandis que les violations de données peuvent causer une détresse importante aux personnes concernées, les employés étant souvent directement touchés. Alors qu’une gouvernance appropriée de la cybersécurité devrait être une priorité, ces structures de gouvernance ne font que jeter les bases de ce qui sera probablement un examen plus approfondi à l’avenir.


*Orla Cox et Hetal Kanji sont directeurs des communications stratégiques, et Simon Onyons est directeur général chez FTI Consulting.

Références

https://www.ibm.com/reports/data-breach (retourner)

https://www.weforum.org/reports/global-risks-report-2022/digest (retourner)

https://www.ibm.com/reports/data-breach (retourner)

https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf (retourner)

https://blogs.microsoft.com/on-the-issues/2022/04/27/hybrid-war-ukraine-russia-cyberattacks/ (retourner)

https://www.wsj.com/articles/nestles-data-leak-shows-war-related-hacktivism-risks-11649151002 (retourner)

https://www.ft.com/content/60ddc050-a846-461a-aa10-5aaabf6b35a5 (retourner)

https://www.marsh.com/uk/services/international-placement-services/insights/global_insurance_market_index.html?utm_source=publicrelations&utm_medium=referral-link&utm_campaign=global-insurance-market-index-q4-2021(retourner)

https://assets.lloyds.com/media/35926dc8-c885-497b-aed8-6d2f87c1415d/Y5381 Market Bulletin – Cyber-attack exclusions.pdf(retourner)

10 https://www.ibm.com/reports/data-breach(retourner)

11 https://www.sec.gov/rules/proposed/2022/33-11038.pdf(retourner)

12 https://www.gartner.com/en/newsroom/press-releases/2022-02-24-gartner-says-the-cybersecurity-leader-s-role-needs-to (retourner)

13 données non encore publiées. Méthodologie de recherche : FTI Consulting a mené une enquête en ligne auprès de n=165 RSSI et responsables de la sécurité de l’information pour de grandes organisations à travers les États-Unis entre les dates du 27 juin et du 5 juillet 2022. Pour les questions liées à la recherche, veuillez contacter cyberbrand@ fticonsulting.com (retourner)

14 https://fticommunications.com/boards-technology-a-gap-in-expertise/ (retourner)

15 https://www.research.hsbc.com/R/36/PX7wVpdT9rsU?sbtv=036b0bcf-0103-11ed-adc0-005056b635ff (retourner)

16 https://www.unpri.org/cyber-security/engaging-on-cyber-security-results-of-the-pri-collaborative-engagement-2017-2019/5680.article (retourner)

17 https://www.blackrock.com/corporate/literature/publication/annual-stewardship-report-2021.pdf (retourner)

18 https://www.blackrock.com/corporate/literature/publication/2022-investment-stewardship-voting-spotlight.pdf (retourner)

19 https://www.blackrock.com/corporate/literature/publication/blk-commentary-our-approach-to-data-privacy-and-security.pdf (retourner)

20 https://corporate.vanguard.com/content/dam/corp/advocate/investment-stewardship/pdf/policies-and-reports/2020_investment_stewardship_semiannual_report.pdf (retourner)

21 https://www.bordertocoast.org.uk/wp-content/uploads/2022/03/CYBERSECURITY-ENGAGEMENT-FOCUS.pdf (retourner)

22 https://www.unpri.org/download?ac=10398 (retourner)

 

Responsabilités accrues des administrateurs liées au développement de l’IA


Aujourd’hui, je porte à votre attention un article qui montre clairement que l’importance grandissante accordée aux  facteurs ESG, ainsi que l’utilisation exponentielle de l’intelligence artificielle (IA), crée de nouvelles obligations de supervision des risques par le conseil d’administration.

Non seulement les administrateurs doivent-ils se soucier d’avoir la bonne couverture d’assurance responsabilité des administrateurs, mais ils doivent également prendre en compte plusieurs facteurs qui peuvent accroitre leurs responsabilités de supervision des activités clés de l’entreprise ?

L’article qui suit a été publié par Avi  Gesser, Bill Regner et Anna Gressel de la firme juridique Debevoise & Plimpton et édité dans le Forum du Harvard Law School sur la gouvernance corporative.

Je vous invite à lire de larges extraits de la version française de l’article, effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

AI Oversight Is Becoming a Board Issue

 

AI Compliance Oversight is Here… and So Are Next-Gen Compliance Officers | Corporate Compliance Insights

 

Alors que de plus en plus d’entreprises adoptent l’intelligence artificielle (IA), les administrateurs de nombreux conseils d’administration commencent à réfléchir à leurs obligations de surveillance. Une partie de cet intérêt est liée à l’intérêt croissant des administrateurs pour les questions environnementales, sociales et de gouvernance (ESG). Il est de plus en plus reconnu que, malgré toutes ses promesses, l’IA peut présenter de graves risques pour la société, notamment l’atteinte à la vie privée, les émissions de carbone et la perpétuation de la discrimination. Mais il y a aussi une base plus traditionnelle à l’intérêt récent des administrateurs d’entreprise pour l’IA : à mesure que la prise de décision algorithmique fait partie de nombreuses fonctions commerciales essentielles, elle crée le type de risques d’entreprise auquel les conseils d’administration doivent prêter attention.

La prévalence de l’IA ressort clairement des récentes dépenses des entreprises. Selon le rapport sur l’indice d’IA 2022 de l’Université de Stanford , les investissements privés dans l’IA en 2021 ont totalisé environ 93,5 milliards de dollars, soit plus du double de l’année précédente. Mais en contrepartie de cette évolution, il y a des risques commerciaux importants. En outre, l’examen public de la reconnaissance faciale, des algorithmes de crédit, des outils d’embauche et d’autres systèmes d’IA crée un risque réglementaire et de réputation substantiel pour les entreprises, en particulier en ce qui concerne les préjugés.

L’IA et l’ESG englobent un large éventail de problèmes d’entreprise, avec des chevauchements considérables, notamment :

Environnemental

À mesure que les modèles d’IA augmentent en taille et en complexité, la puissance de traitement informatique nécessaire augmente également, ce qui peut avoir une empreinte carbone très importante .

Social

Les entreprises qui déploient l’IA pour les décisions d’embauche, de prêt, de logement ou d’assurance doivent envisager des moyens d’évaluer et, si nécessaire, de remédier à la discrimination potentielle associée à ces initiatives. Certaines applications d’IA ont également été critiquées pour avoir exacerbé les inégalités de revenus, déplacé un grand nombre d’emplois, facilité les violations des droits de l’homme et manipulé le comportement des individus.

Gouvernance 

Pour que les programmes d’IA répondent aux exigences réglementaires croissantes, ainsi qu’aux normes éthiques émergentes, les risques décrits ci-dessus doivent être identifiés et atténués par une gouvernance d’entreprise appropriée, y compris des politiques, des procédures, une formation et une surveillance.

Le paysage réglementaire en évolution rapide

Au cours des dernières années, les régulateurs du monde entier ont commencé à adopter des lois ou à fournir des orientations réglementaires sur les systèmes d’IA. La Commission européenne est largement considérée comme à la tête de ces efforts en tentant d’adopter une réglementation complète et intersectorielle sur l’IA . En outre, les régulateurs de Hong Kong, de Singapour, des Pays-Bas et des États-Unis, parmi tant d’autres, se sont exprimés ouvertement sur la nécessité d’une gouvernance d’entreprise appropriée pour faire face aux risques liés à l’IA, y compris les risques liés aux biais, à la dérive des modèles, à la confidentialité, la cybersécurité, la transparence et les défaillances opérationnelles. Une caractéristique notable de plusieurs déclarations réglementaires émergentes, en particulier dans le secteur financier, est leur insistance expresse sur l’importance de la surveillance des risques liés à l’IA au niveau du conseil d’administration. 

Considérations clés pour les conseils d’administration sur l’IA

Par conséquent, pour les entreprises où l’IA est devenue (ou est susceptible de devenir dans un proche avenir) un risque de conformité réglementaire critique, il existe plusieurs problèmes que les administrateurs peuvent souhaiter examiner :

Responsabilité du conseil :

Envisagez d’inclure l’IA comme point périodique à l’ordre du jour du conseil. Comme pour l’ESG, la surveillance de l’IA peut être confiée à l’ensemble du conseil d’administration, à un comité existant ( par exemple , audit ou technologie) ou à un comité nouvellement formé dédié à l’IA. Certaines entreprises ont décidé de confier la responsabilité de l’IA au comité responsable de la cybersécurité. Si le conseil d’administration craint de ne pas disposer de l’expertise nécessaire pour superviser les opportunités et les risques liés à l’IA, il devrait envisager d’ajouter un ou plusieurs administrateurs ayant cette expérience ou de faire en sorte que certains membres du conseil d’administration reçoivent une formation en IA.

Sensibilisation aux utilisations et aux risques critiques de l’IA :

Pensez à vous assurer que les administrateurs sont conscients des systèmes d’IA les plus critiques que l’entreprise utilise, de la nature des données utilisées pour former et exploiter ces systèmes et des risques associés pour l’entreprise (y compris les risques opérationnels, risques réglementaires et de réputation), ainsi que toute mesure prise pour atténuer ces risques.

Comprendre l’allocation des ressources :

Envisagez d’exiger des mises à jour périodiques sur les ressources consacrées au développement et aux opérations de l’IA et sur la quantité de celles-ci consacrées à la conformité réglementaire et à l’atténuation des risques.

Responsabilité de la haute direction :

Envisagez d’attribuer la responsabilité de la gestion des risques liés à l’IA et de la conformité réglementaire (y compris les divulgations des risques réglementaires de l’entreprise liés à l’IA, le cas échéant) à un membre particulier de la direction ou à un comité de direction.

Structures de conformité :

Les conseils d’administration doivent envisager de s’assurer qu’il existe des structures efficaces de conformité et de rapport sur l’IA au niveau de la direction pour faciliter la surveillance du conseil d’administration, ce qui peut inclure des évaluations périodiques des risques liés à l’IA et la surveillance des systèmes d’IA à haut risque, ainsi que des politiques, des procédures, et de la formation. Ces politiques peuvent inclure des procédures pour répondre à un incident matériel lié à l’IA, répondre aux plaintes des dénonciateurs liés à l’IA et gérer les risques pour tous les fournisseurs qui fournissent à l’entreprise des ressources essentielles liées à l’IA.

Briefings du conseil d’administration sur les incidents matériels d’IA :

Les conseils d’administration doivent veiller à être informés de manière appropriée de la réponse de l’entreprise aux incidents graves d’IA et aux impacts connexes, de l’état d’avancement de toute enquête matérielle et de l’efficacité de la réponse de l’entreprise.

Procès-verbaux et documents du conseil :

Les administrateurs doivent s’assurer que leurs activités de surveillance de l’IA, ainsi que les efforts de conformité de la direction, sont bien documentés dans les procès-verbaux du conseil et dans les documents à l’appui.

Conclusion

De nombreux administrateurs peuvent être mal à l’aise avec la responsabilité de surveiller les risques liés à l’IA en raison de leur manque d’expertise dans ce domaine. Mais, comme la SEC l’a clairement indiqué en matière de cybersécurité, les conseils d’administration doivent trouver un moyen d’exercer leurs obligations de surveillance, même dans les domaines techniques, si ces domaines présentent un risque pour l’entreprise, ce qui est déjà le cas pour l’IA dans certaines entreprises. 

Cela ne signifie pas que les administrateurs doivent devenir des experts en IA, ou qu’ils doivent être impliqués dans les opérations quotidiennes d’IA ou la gestion des risques. Mais les administrateurs d’entreprises ayant d’importants programmes d’IA devraient réfléchir à la manière dont ils assureront une surveillance efficace au niveau du conseil d’administration en ce qui concerne les opportunités et les risques croissants présentés par l’IA.

La professionnalisation de la gouvernance


Voici un article qui vient de paraître sur le site du Collège des administrateurs de sociétés

Dans cet article*, je tente de faire la lumière sur l’évolution fulgurante du concept de gouvernance d’entreprise et sur les raisons qui ont mené à sa professionnalisation.

Bonne lecture !

Professionnalisation de la gouvernance

La professionnalisation de la gouvernance

Dans cet article, nous tenterons de faire la lumière sur l’évolution fulgurante du concept de gouvernance d’entreprise et sur les raisons qui ont mené à sa professionnalisation.

Mais d’abord, qu’entend-on par professionnalisation de la gouvernance ? La professionnalisation, c’est essentiellement le processus de reconnaissance d’un corpus de connaissances, de compétences et d’expériences relatif à l’exercice des activités de la gouvernance d’entreprise.

Ainsi, on parlera de l’évolution du métier d’administrateur vers un statut de professionnel de la gouvernance qui combine une formation continue dans les domaines du savoir pertinents et un code de conduite adapté à la profession (déontologie).

LA PROFESSIONNALISATION DE LA GOUVERNANCE : UN PROCESSUS EN PLEINE EXPANSION

Depuis une vingtaine d’années, on assiste à une professionnalisation accrue de la fonction d’administrateur qui se manifeste par une modification et un élargissement du rôle et des responsabilités des conseils. Les CA sont de plus en plus sollicités et questionnés au sujet de leurs décisions et de l’entreprise.

À l’avenir, on exigera toujours plus des administrateurs. C’est pourquoi la formation en gouvernance est essentielle et devient même une exigence pour certaines organisations. Les administrateurs sont désormais invités à suivre des formations en gouvernance de sociétés, notamment des programmes menant à des certifications universitaires.

Le processus de professionnalisation de la gouvernance est en évolution rapide. La gouvernance, comme discipline, tend vers une pratique de plus en plus accomplie au fur et à mesure du développement d’une assise ancrée dans la recherche de son efficacité. Plusieurs organisations de formation, telles que le Collège des administrateurs de sociétés de l’Université Laval, se sont donné comme mission de « promouvoir la bonne gouvernance de sociétés en offrant des formations reconnues et à la fine pointe des meilleures pratiques » (1).

Il est important de souligner que la notion de gouvernance n’est pas nouvelle en soi. De tous temps, les sociétés humaines ont été gouvernées par des régimes qui ont instauré diverses configurations d’exercice du pouvoir. La gouvernance sociale a toujours été un domaine réservé aux sciences sociales, plus spécialement aux sciences politiques.

Ce qui est nouveau dans le monde de la gouvernance, surtout depuis une vingtaine d’années, c’est l’application du concept au domaine des organisations privées, cotées en bourse, OBNL, sociétés d’État, etc. En effet, si l’on se réfère au corpus des sciences de la gestion, la gouvernance, comme champ d’enseignement et de recherche, y est relativement absente. On peut affirmer que la prise en compte de la portée de la gouvernance d’entreprises est très récente, et que sa professionnalisation est en bonne voie d’être affirmée et renforcée grâce aux nombreuses recherches académiques sur la question.

À cet effet, mentionnons le Forum du Harvard Law School sur la gouvernance
« corporative »
 qui a publié 6 400 billets (provenant de plus de 5 000 contributeurs), lesquels ont été largement cités dans plus de 800 articles de revue de droit et de publications en gouvernance. (2)

On constate une intensification marquée des recherches et des publications de la part d’entreprises de consultation en gouvernance telles que Spencer| Stuart, Deloitte, McKinsey, PwC, pour n’en nommer que quelques-unes, qui produisent des rapports annuels sur l’état de la gouvernance des entreprises cotées en bourse. L’un des documents les plus exhaustifs sur la situation de la gouvernance au Canada est le
« 2020 Canada Spencer Stuart Index » (SSBI) qui présente des statistiques détaillées et comparatives, et brosse un tableau complet des constats eu égard aux grandes tendances en gouvernance. (3)

Au Québec, et ailleurs dans le monde, les écoles de gestion concentrent leurs enseignements sur les disciplines éminemment utiles aux gestionnaires (le management, les ressources humaines, la finance, l’assurance, l’immobilier, le marketing, les systèmes opérationnels de décision, les technologies et les systèmes d’information, la comptabilité, etc.), mais, encore aujourd’hui, elles accordent trop peu d’attention à la gouvernance des sociétés, notamment aux activités fiduciaires des administrateurs, nommés pour assurer l’équilibre du pouvoir entre les propriétaires (les actionnaires), les parties prenantes (employés clients, fournisseurs, entités sociales, etc.) et les gestionnaires (les dirigeants choisis pour gérer l’entreprise).

Au cours des dernières décennies, la gouvernance des sociétés a subi d’importants changements, dont les plus marquants concernent la composition de l’actionnariat, la primauté du conseil d’administration, l’activisme des actionnaires et des investisseurs et la prééminence des autorités réglementaires. Ces transformations se traduisent par une évolution significative du rôle et du fonctionnement des conseils d’administration et de ses comités. Ainsi, depuis une vingtaine d’années, les exigences de formation, de compétence et d’expérience des administrateurs n’ont cessé de croître ; si bien qu’un bon niveau de connaissance des outils et des pratiques de gouvernance devient une part essentielle du cursus en administration. Ces nouveaux développements ont grandement contribué à la professionnalisation de la gouvernance.

LES CONSEILS D’ADMINISTRATION EN MUTATION

L’environnement des conseils d’administration a été ébranlé par la nouvelle dynamique imposée par les changements dans la composition des CA, par l’avènement des actionnaires activistes (qui sont perçus comme des intrus à la recherche de rendements à court terme) et par les nouvelles dispositions émanant des autorités réglementaires qui imposent de nouvelles obligations aux entreprises et aux administrateurs.

Au chapitre de l’actionnariat mondial, un rapport de l’OCDE (4) publié en 2019 montrait que l’actionnariat des 10 000 sociétés les plus importantes représentait 90 % de la capitalisation totale. Le capital est de plus en plus concentré.

  • La principale catégorie d’actionnaires est celle des investisseurs institutionnels (fonds de pension, compagnies d’assurance, gestionnaires d’actifs), qui détiennent 41 % du capital de l’ensemble des sociétés cotées du monde;
  • Les sociétés privées (y compris les holdings) et les particuliers possèdent chacun 18 % de la capitalisation mondiale;
  • Le secteur public (gouvernements nationaux et locaux, fonds souverains, entreprises d’État) possède 14 % de la capitalisation mondiale;
  • Plus de 8 % des entreprises cotées dans le monde ont un actionnariat majoritairement public.

Dorénavant, les investisseurs institutionnels veulent se prononcer sur les orientations des entreprises dans lesquelles ils investissent. Les représentants des actionnaires recherchent des administrateurs chevronnés pour orienter et superviser les intérêts de groupes très diversifiés.

C’est la reconnaissance de sérieuses lacunes dans la formation des administrateurs qui a incité plusieurs grandes organisations à proposer des activités de développement débouchant sur des certifications en gouvernance, souvent universitaires. Comme on l’a mentionné précédemment, les activités fiduciaires des administrateurs de sociétés étaient très peu considérées et encadrées par les institutions d’enseignement supérieures.

Un peu partout dans le monde, on a assisté à la création de programmes de formation et de certifications des administrateurs. Ainsi, au Québec, le Collège des administrateurs de sociétés « doit sa création à l’initiative de quatre grands partenaires convaincus de la nécessité de renforcer la gouvernance de sociétés : (1) l’Autorité des marchés financiers (2) la Caisse de dépôt et placement du Québec (3) le ministère du Conseil exécutif et (4) la Faculté des sciences de l’administration de l’Université Laval. En plus de ces quatre visionnaires, le Collège bénéficie de l’appui d’un bon nombre de partenaires d’excellence associés et ses formations en gouvernance sont reconnues par plusieurs ordres et organismes professionnels » (5).

LA RÉGLEMENTATION IMPOSE SA LOI !

Selon nous, les scandales Enron et WorldCom représentent un tournant dans la réglementation en gouvernance des sociétés. En effet, c’est dans la foulée de ces événements que le gouvernement américain a adopté, en 2002, la loi Sarbanes-Oxley (SOX) qui impose à toutes les entreprises de déposer auprès de la SEC (l’organe de régulation des marchés boursiers américains) des états financiers produits par des auditeurs indépendants, et certifiés personnellement par les dirigeants de l’entreprise. Cette loi rend donc les hauts dirigeants pénalement responsables de l’exactitude et de la validité des résultats financiers. (6)

C’est à cette époque que les autorités de réglementation des marchés financiers, à l’échelle mondiale, ont renforcé les règles qui s’appliquent à la gouvernance des entreprises (règles de décision, de composition du conseil, de transparence, de surveillance, d’éthique et de reddition de comptes). On milite en faveur de l’instauration de nouveaux mécanismes de renforcement de la professionnalisation de la gouvernance des entreprises.

Ainsi, aux États-Unis, l’ancien président de la SEC, Richard Breeden a produit, en mai 2003, un rapport comportant 78 recommandations. Ce rapport devrait à terme devenir la base de la réforme de la gouvernance d’entreprise, et ses propositions devaient s’imposer à toutes les grandes et moyennes entreprises. (7)

Il apparaissait nécessaire, à beaucoup, que se termine l’ère, pendant laquelle des patrons régnaient sans limites et sans partage sur des sociétés dans lesquelles personne n’osait poser les vraies questions. Les propositions de Richard Breeden devaient permettre l’instauration de multiples règles ayant pour but de limiter les initiatives des PDG tout puissants, en tentant de rendre la totalité des administrateurs indépendants de la direction de l’entreprise. Les nouveaux conseils d’administration des entreprises fautives ont procédé, en juillet 2003, à l’adoption de toutes les propositions du rapport.

Voici quelques-unes des propositions qui ont fait leur chemin dans les nouvelles réglementations.

  • Interdiction du cumul des fonctions de PDG et de PCA (président du Conseil d’administration).
  • Inéligibilité au Conseil d’administration de tout responsable de société travaillant avec la société à administrer.
  • Meilleure rémunération des administrateurs, mais obligation de consacrer 25 % du revenu à l’achat d’actions de la société à administrer.
  • Interdiction aux administrateurs de siéger au Conseil d’administration de plus de deux firmes cotées en bourse.
  • Obligation au Conseil d’administration de se réunir au moins 8 fois par an.
  • Obligation aux membres du Conseil d’administration d’aller visiter les installations et sites de l’entreprise.
  • Obligation aux membres du Conseil d’administration de recevoir chaque année une formation spéciale pour mieux comprendre l’entreprise et son secteur.
  • Interdiction à un administrateur de conserver son poste plus de dix ans.
  • Obligation de remplacer chaque année un des administrateurs, afin d’éviter que la collégialité du conseil n’aboutisse à la passivité.
  • Interdiction de payer les dirigeants avec des options d’achat de titres.
  • Création d’un plafond de rémunération pour les dirigeants.
  • Renforcement de la démocratie directe donnée aux actionnaires de base.

On note dans les points cités qu’il n’est pas fait mention de règles s’appliquant à la diversité et à l’inclusion, ni aux obligations de divulgation extensives, ni à l’attention à apporter aux parties prenantes. Ces considérations feront l’objet d’autres modifications aux différents codes de gouvernance.

UNE GOUVERNANCE GUIDÉE PAR LA CRÉATION DE VALEUR

Dans la littérature sur la conception des systèmes de gouvernance, on retrouve différentes tendances! Quelle est celle qui vous inspire et qui vous semble réaliste ?

Plusieurs systèmes de gouvernance choisissent de privilégier la création de valeur pour l’actionnaire (shareholder value en anglais). Dans cette approche, les intérêts des dirigeants s’alignent sur ceux des actionnaires et des investisseurs financiers. L’organisation du conseil d’administration et la réglementation en matière de transparence et de rémunération des dirigeants sont négociées en vue d’atteindre cet objectif.

Un autre système de gouvernance valorise plutôt la création de valeur pour l’ensemble des parties prenantes (stakeholder value en anglais). Dans ce cas, on cherchera à créer de la richesse entre les différentes ressources humaines et matérielles par coopération avec différents types de parties prenantes : clients, fournisseurs, employés, actionnaires, collectivités territoriales… La performance est mesurée au regard de l’ensemble des partenaires. Ce type de gouvernance favorisera le développement de deux types de capital : le capital financier, mais aussi le capital humain (savoir-faire, compétences, innovation).

Enfin, il est important de souligner l’apport d’Yvan Allaire, président du conseil d’administration de l’Institut sur la gouvernance d’organisations publiques et privées (IGOPP), qui propose une gouvernance créatrice de valeur. Selon sa conception, l’objectif financier d’une entreprise devrait être la maximisation de la valeur à long terme de la compagnie, un objectif qui dépasse le seul intérêt de l’actionnaire pour englober toutes les parties concernées. (8)

LE DÉPLOIEMENT DE L’OFFRE DE FORMATION EN GOUVERNANCE

Il apparaît essentiel, à ce stade-ci, de souligner la réalisation des efforts entrepris par les institutions canadiennes afin de répondre à la forte demande de formation de professionnels à la fine pointe de la gouvernance, mais aussi d’innover par la conception de programmes de certification de haut niveau à l’intention des administrateurs de sociétés.

D’abord, notons que les formations en gouvernance sont maintenant omniprésentes dans toutes les institutions d’enseignement au Canada. Les formations recoupent généralement les thématiques suivantes : gouvernance des sociétés cotées, gouvernance des PME, gouvernance des TI, gouvernance des OBNL, gouvernance des coopératives, gouvernance des sociétés d’État.

Les formations abordent un ensemble de thèmes spécifiques, par exemple, l’évaluation des administrateurs et des CA, la rémunération de la direction et des membres du CA, l’audit interne et externe, l’établissement de stratégies, la gestion des risques, le développement durable et ESG, la performance financière, la gestion de crises, les comités du CA, etc. Les formations sont souvent axées sur les nouvelles habilitées à développer ainsi que sur le savoir-être, par exemple, le leadership de la présidence du CA, la culture de la confiance, les habiletés politiques, les habilités en ressources humaines, etc.

Enfin, on note que les formations continues en gouvernance au Canada sont offertes dans diverses localisations, et que les rythmes d’apprentissage proposés sont variés. Les formations sont de plus en plus offertes en ligne, surtout depuis le début de la pandémie de Covid-19.

Au Canada, on compte trois programmes d’exception. Les trois programmes sont affiliés à de grandes institutions universitaires, tandis que seuls les deux premiers mènent à une certification universitaire (ASC et C.Dir.). Les diplômés de chacun des trois programmes obtiennent le droit d’utiliser une désignation reconnue à l’échelle internationale à la fin de leur parcours.

formation gouvernance

L’offre de programmes de formation continue en gouvernance au Canada est très vaste, ce qui démontre concrètement les grandes préoccupations des institutions universitaires pour la professionnalisation de la gouvernance. Mais, il est important de noter que ce phénomène s’étend à l’ensemble des pays de par le monde.

FORTE CROISSANCE DE LA FORMATION EN GOUVERNANCE À L’ÉCHELLE INTERNATIONALE

On dénombre des centaines d’organisations internationales dont la mission est la formation et la recherche en gouvernance. Parmi les plus importantes, on peut citer :

  • L’Institute of Directors (IOD) en Grande-Bretagne, avec plusieurs instituts dans les pays du Commonwealth; (9)
  • ECODA, une organisation qui regroupe les instituts de formation de tous les pays européens; (10)
  • La National Association of Corporate Directors (NACD), la première et la plus puissante organisation américaine qui offre un programme de certification des administrateurs de sociétés. (11)

L’ensemble de ces organisations est chapeauté par le Global Netwok of Director Institutes (GNDI), qui produit le Global Network of Director Institutes 2020–2021 Survey Report, un document de recherche qui brosse un portrait de l’état de la gouvernance dans le monde en temps de pandémie. (12)

CONCLUSION

Ainsi, comme on l’a vu, la prolifération des organisations dédiées à la formation et à la certification des administrateurs est un signe éloquent de la professionnalisation de la gouvernance au Canada et dans le monde.

Les tâches et les responsabilités des administrateurs ont dorénavant une portée plus dominante en même temps que les pratiques de saine gouvernance deviennent quasi-universelles. La gouvernance est maintenant un concept incontournable ; les administrateurs sont de plus en plus nombreux à rechercher la certification de leurs compétences et de leurs habiletés à siéger aux conseils d’administration.

La place réservée aux femmes sur les CA poursuit sa progression, malgré le fait que le mouvement soit trop lent. Dans l’ensemble, la composition des CA est constituée de personnes mieux formées et fait appel à une plus grande diversifié ethnoculturelle, mais le taux de renouvellement des administrateurs est encore trop faible pour assurer une évolution rapide des mentalités ainsi qu’une diversification des qualifications. Eu égard au renouvellement des conseils, les études montrent que l’âge moyen des administrateurs continue d’augmenter et que la nomination de jeunes administrateurs est moins fréquente que les années antérieures. (13)

Voici certaines valeurs recherchées chez les administrateurs dans l’exécution de leurs tâches : l’indépendance de la direction, la volonté de création de valeur pour toutes les parties prenantes, la mise à jour des apprentissages en gouvernance, la maîtrise du secteur d’activité et des nouvelles technologies. Les conseils d’administration doivent se métamorphoser afin de faire un meilleur usage des compétences autour de la table. À cet égard, je vous invite à prendre connaissance du complément à cet article qui porte sur la matrice des profils et compétences des membres d’un CA, présentant ainsi un modèle développé par l’équipe du Collège (14).

L’orientation et la stratégie doivent devenir les centres d’intérêt des administrateurs, et leur travail doit essentiellement se faire par l’intermédiaire des différents comités du conseil mis en place. L’une des meilleures façons d’améliorer les processus de décision, en sus de la formation continue en gouvernance, est l’évaluation de la contribution des administrateurs, menée sous la responsabilité de la présidence du comité de gouvernance.

La professionnalisation de la gouvernance est en marche ! Rien ne peut arrêter ce mouvement…

_____________________

RÉFÉRENCES

    • L’article a été publié par Jacques Grisé, Ph.D., F.Adm.A, conseiller/expert en gouvernance, professeur titulaire de management à la retraite de la faculté des sciences de l’administration de l’université Laval.

Top 10 des billets publiés sur Harvard Law School Forum au 29 juillet 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 29 juillet 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Harvard Law -Tesla's Governance Record & ESG | Blog | Truvalue Labs

  1. EESG Activism After ExxonMobil
  2. Corporate Governance in the Face of an Activist Investor
  3. Commenters Weigh in on SEC Climate Disclosures Request for Public Input
  4. SEC Increasingly Turns Focus Toward Strength of Cyber Risk Disclosures
  5. Connecting the Dots: Breaking the ESG Code
  6. Buybacks: Look Before You Leap
  7. Stewardship Excellence: ESG Engagement In 2021
  8. Voluntary Environmental and Social Disclosures
  9. Spotlight on Boards and Board Oversight of Business Strategy and Risk Management in a Post-Pandemic World
  10. Does Socially Responsible Investing Change Firm Behavior?

Ce que les entreprises doivent savoir sur les attaques de ransomware modernes et comment y répondre


Voici un sujet qui interpelle sérieusement les conseils d’administration et la responsabilité fiduciaire des administrateurs, notamment avec l’accroissement des activités liées à la cybercriminalité.

L’article a été publié par Antonia M. Apps et Adam Fee , associés de Milbank et Matthew Laroche, conseiller juridique spécial chez Milbank sur le Forum du HLS on Corporate Governance.

Les auteurs examinent les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques.

Après avoir exploré les ransomwares modernes, l’article met l’accent sur des directives aux entreprises qui réagissent immédiatement après une attaque afin que celles-ci soient mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

What Companies Need to Know About Modern Ransomware Attacks and How to Respond

Cybercriminalité : les coûts des dégâts sous-estimés

 

Les ransomwares sont une menace de cybersécurité croissante et évolutive à laquelle sont confrontées les organisations du monde entier. En 2020, les attaques de ransomwares ont été multipliées par sept à la fin de l’année, avec plus de 17 000 appareils détectant les ransomwares chaque jour. [1] En tant que défi supplémentaire, les ransomwares sont plus sophistiqués que jamais avec des variantes modernes conçues pour infliger d’immenses dégâts et les auteurs exigeant des paiements plus élevés. Au cours des derniers mois seulement, les ransomwares ont provoqué des perturbations catastrophiques dans les activités commerciales de, entre autres, Colonial Pipeline, le géant de la transformation alimentaire JBS USA Holdings Inc. et le système national de santé irlandais. [2]

Les attaques réussies coûtent des millions de dollars aux entreprises, y compris les perturbations de l’activité, le coût du personnel, le coût des appareils, le coût du réseau, les opportunités perdues, les atteintes à la réputation et le paiement potentiel d’une rançon. [3] Les cybercriminels sont exigeants et gagnent de plus en plus d’argent, le paiement moyen des ransomwares par événement passant d’environ 115 000 $ en 2018 à plus de 300 000 $ en 2020 ; et la rançon la plus élevée payée a plus que doublé, passant de 5 millions de dollars entre 2015 et 2019 à 11 millions de dollars en 2021. [4] Les gouvernements, les forces de l’ordre et les organismes de réglementation en ont pris note, les entreprises étant confrontées à des pressions pour se préparer et répondre efficacement aux attaques de ransomware. [5]

Compte tenu de l’environnement actuel des menaces, il est essentiel que les entreprises qui cherchent à gérer leurs risques de cybersécurité comprennent comment les ransomwares ont évolué pour devenir l’une des menaces de cybersécurité les plus dommageables aujourd’hui. Les entreprises sont confrontées à un examen juridique, réglementaire et politique accru à la suite de ces attaques, ce qui oblige les entreprises à mettre en place des structures de gestion et des contrôles appropriés, sous la surveillance du conseil d’administration, afin d’anticiper et de traiter les dommages importants qui peuvent être causés à la suite d’une attaque de ransomware.

Ci-dessous, nous examinons les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques. Après avoir exploré les ransomwares modernes, nous recommandons ensuite des directives aux entreprises qui réagissent immédiatement après une attaque afin que les entreprises soient les mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Principales caractéristiques des ransomwares modernes

Les attaques de ransomwares opéraient traditionnellement en accédant à un système, généralement via des e-mails de phishing, puis en verrouillant ou cryptant automatiquement les données en recherchant les fichiers avec certaines extensions. Dans le passé, la plupart des acteurs des ransomwares utilisaient une approche « spray and please » ou « shotgun » dans laquelle les ransomwares étaient distribués sans discernement à la recherche d’une organisation vulnérable. Bien que ces attaques opportunistes aient connu plusieurs succès notables, en 2018, les organisations s’étaient largement adaptées à la menace en mettant en œuvre des mesures de cybersécurité et des plans de reprise après sinistre et de continuité des activités en réponse aux attaques. En conséquence, les ransomwares traditionnels ont eu moins de succès et ont été, pendant un certain temps, largement éclipsés par d’autres cybermenaces. [6]

Au cours des 18 derniers mois, cependant, les ransomwares sont revenus au premier plan du paysage des cybermenaces. Les attaques de ransomware modernes sont plus sophistiquées et dommageables à plusieurs égards. Premièrement, les acteurs modernes des ransomwares utilisent fréquemment une approche ciblée, connue sous le nom de « chasse au gros gibier » ou « attaques opérées par l’homme », dans laquelle le ransomware est conçu pour des victimes spécifiques. Avant même qu’une attaque ne soit lancée, les acteurs des ransomwares procèdent à un profilage approfondi des victimes. [7] Les acteurs des ransomwares sont devenus plus compétents pour le faire pour plusieurs raisons, notamment la disponibilité de bases de données et d’autres outils qui aident à identifier les victimes en fonction de leur emplacement, de leur secteur d’activité, de leur taille et de leurs revenus ; et des plateformes de communication anonymes qui permettent des interactions sécurisées et une collaboration accrue des groupes de cybercriminels. Après avoir identifié une victime et obtenu l’accès à leur réseau, les acteurs du ransomware passent un temps considérable (généralement des semaines ou des mois) à prendre le contrôle de sections du réseau avant d’exécuter le ransomware. En passant plus de temps dans le système ciblé, les cybercriminels peuvent se déplacer latéralement pour accéder à davantage de parties du réseau, identifier les données les plus sensibles stockées par la victime et infiltrer les sauvegardes critiques, ce qui rend plus difficile la récupération des victimes après une attaque.[8]

Deuxièmement, en conjonction avec le large accès aux données sensibles fourni par les attaques ciblées, les acteurs des ransomwares utilisent désormais la « double extorsion » dans laquelle le ransomware non seulement crypte les données de la victime, mais les exfiltre également du réseau de la victime. Cela donne aux cybercriminels une autre possibilité d’extorsion : si une victime ne paie pas la rançon, l’attaquant peut publier ou menacer de publier les données de la victime en ligne, vendre les données sur le dark web ou utiliser les données volées pour exploiter les vulnérabilités des systèmes associés. Les victimes sont confrontées à une pression importante pour payer des rançons dans ces circonstances, ce qui a entraîné une augmentation substantielle du montant des demandes de rançon et des paiements. [9]

Troisièmement, les attaques de ransomwares modernes sont souvent menées par plusieurs groupes collaborant sur différents aspects de l’infiltration. Un exemple est le modèle d’abonnement dit de ransomware-as-a-service (« RaaS »), dans lequel les développeurs de ransomware recherchent des affiliés pour mener des attaques et en échange reçoivent une part du produit. [dix]Dans ces scénarios, un groupe possède le ransomware et un ou plusieurs autres groupes contrôlent l’infrastructure compromise, ce qui permet aux cybercriminels d’utiliser des experts à chaque étape de l’attaque. Avec un accès plus large à un réseau de victimes, les cybercriminels sont également devenus plus efficaces pour monétiser différentes parties des actifs compromis. Par exemple, les acteurs des ransomwares peuvent choisir de déployer des ransomwares sur une partie d’un réseau victime tout en vendant l’accès à une autre, créant ainsi plusieurs sources de revenus pour la même attaque. [11] Cette dynamique rend également plus difficile pour les organisations de victimes d’évaluer la durée et l’étendue de la violation et d’identifier tous les auteurs.

Enfin, les acteurs modernes des ransomwares utilisent désormais généralement la crypto-monnaie comme méthode préférée de paiement des rançons. Dans le passé, les cybercriminels étaient contraints d’utiliser d’autres instruments financiers pour recevoir des paiements, tels que des plateformes de paiement par téléphone mobile ou des portefeuilles électroniques, localisés dans une région géographique particulière et/ou réglementés par les gouvernements. La crypto-monnaie, en revanche, contourne les réglementations et est capable de transférer de l’argent dans le monde entier, permettant aux cybercriminels d’initier des transferts d’argent transfrontaliers à haut volume de manière anonyme avec peu de risques.

Les acteurs modernes des ransomwares ont déployé certaines ou toutes les méthodes ci-dessus, obtenant plusieurs succès récents de grande envergure. Les exemples notables incluent :

DarkSide : Darkside est l’une des variantes de ransomware modernes les plus notoires et elle a fait des ravages dans le monde entier, infiltrant des organisations de divers secteurs dans plus de 15 pays. Introduit à l’origine en 2020 par un groupe de cyberhackers connu sous le nom de Carbon Spider, Darkside fonctionne comme un RaaS et utilise diverses méthodes pour obtenir un accès initial à son système cible, notamment via le phishing, l’exploitation du protocole RDP (« RDP ») et d’autres exploits . [12] Une fois que Darkside a infecté le réseau victime, il se déplace vers le contrôleur de domaine (un serveur qui vérifie les informations d’identification de l’utilisateur sur un réseau informatique), où il vole les informations d’identification et se déplace latéralement pour identifier d’autres actifs précieux à voler. Avant de lancer la charge utile du ransomware, Darkside exfiltre les fichiers critiques, en utilisant des sites de fuite basés sur TOR pour héberger les données volées. [13]

Le déploiement de Darkside le plus notoire a été l’attaque de mai 2021 contre Colonial Pipeline, une entreprise responsable de près de la moitié de l’approvisionnement en carburant de la côte est des États-Unis. [14] Darkside a utilisé une double extorsion en verrouillant les systèmes informatiques de Colonial Pipeline et en volant plus de 100 gigaoctets de données d’entreprise. [15] Cette attaque a provoqué une perturbation importante de la distribution de carburant aux États-Unis, et Colonial Pipeline a payé une rançon de 4,4 millions de dollars en bitcoins pour retrouver l’accès à ses systèmes. Le Federal Bureau of Investigation a ensuite récupéré une partie de la rançon en surveillant un registre bitcoin visible au public alors que les pirates transféraient la rançon bitcoin vers d’autres registres numériques, qui s’apparentent à des portefeuilles numériques personnels. Lorsqu’une partie importante de la rançon, environ 64 bitcoins, a été transférée à une adresse numérique pour laquelle le FBI avait obtenu une « clé privée » ( c’est -à- dire le mot de passe pour accéder à l’adresse), le FBI a obtenu un mandat de perquisition et a saisi le bitcoin . [16] D’autres victimes récentes de Darkside couvrent plusieurs secteurs, notamment les services financiers, le droit, la fabrication, les services professionnels, la vente au détail et la technologie. [17]

Nefilim : Nefilim a été identifié pour la première fois en mars 2020 et a été l’une des variantes les plus réussies pour violer les réseaux de victimes. Nefilim obtient généralement un accès initial à un réseau victime en exploitant des informations d’identification faibles sur le RDP exposé ou d’autres services connexes. Une fois à l’intérieur d’un réseau cible, les acteurs Nefilim téléchargent des outils administratifs supplémentaires pour faciliter les déplacements latéraux dans le réseau. Nefilim exfiltre ensuite les données, les publie sur des sites Web protégés par TOR et lance la charge utile du ransomware pour crypter le réseau de la victime. Au cours de la dernière année, Nefilim a publié en ligne environ deux téraoctets de données volées. [18]

Nefilim s’est distingué des autres familles de ransomwares en ciblant des entreprises dont le chiffre d’affaires annuel se chiffre en milliards de dollars. L’attaque la plus médiatisée de Nefilim a été dirigée contre l’organisation maritime australienne, Toll Group, en mai 2020. Toll Group aurait refusé de payer les demandes de rançon de Nefilim et, en conséquence, Nefilim a divulgué des données sensibles de Toll Group et a annoncé comment Toll Group pourrait être infiltré dans le futur. [19] Nefilim a également été identifié comme l’auteur d’un certain nombre d’autres attaques, notamment contre des victimes aux États-Unis, en Amérique du Sud, en Europe et en Asie.

REvil : REvil (également connu sous le nom de Sodinokibi) est apparu en 2019 et a commencé à cibler diverses industries aux États-Unis, en Australie, au Canada, en Finlande et à Hong Kong. Les variantes récentes de REvil accèdent généralement aux réseaux des victimes via des e-mails de spam malveillants, des vulnérabilités RDP et des sites Web compromis. Comme Darkside et Nefilim, après avoir eu accès au réseau des victimes, REvil utilise la double extorsion, dispose d’un site de fuite dédié à la publication de données sensibles et aurait tenté de mettre aux enchères des données volées en ligne. [20]

REvil a été identifié comme l’auteur de plusieurs attaques de ransomware très médiatisées, notamment (i) l’attaque de juin 2021 contre Grupo Fluery, une société brésilienne de diagnostic médical qui effectue environ 75 millions d’examens cliniques chaque année ; (ii) l’attaque de juin 2021 contre l’entreprise de transformation alimentaire JBS, qui a fermé des usines qui traitent environ un cinquième de l’approvisionnement en viande des États-Unis ; et (iii) l’attaque de mai 2020 contre le cabinet d’avocats Grubman Shire Meiselas & Sacks, qui aurait entraîné le vol de près d’un téraoctet de données client sensibles. [21] JBS a finalement payé à REvil 11 millions de dollars en crypto-monnaie pour protéger JBS contre d’autres interruptions d’activité, ce qui est le plus grand paiement de ransomware signalé publiquement à ce jour. [22]

Répondre à une attaque de ransomware moderne

À la lumière du récent succès des attaques de ransomwares modernes, nous nous attendons à ce que les ransomwares continuent de tourmenter les industries du monde entier dans les années à venir. Lorsqu’une attaque se produit, l’organisation victime doit agir de manière décisive pour contenir l’incident, et les premières 48 heures suivant l’attaque sont les plus critiques. Pendant ce temps, les organisations doivent agir rapidement pour évaluer l’attaque, isoler les systèmes affectés, identifier si les données sont récupérables via des fichiers de sauvegarde ou d’autres méthodes, et évaluer les risques juridiques et réglementaires, qui sont nombreux. Une organisation qui traite efficacement chacun de ces problèmes sera dans la position la plus forte possible pour reprendre ses activités normales et déterminer si elle doit ou non payer la rançon. Compte tenu de la sophistication des attaques de ransomware modernes,

Mobiliser l’équipe d’intervention en cas de violation: Les organisations doivent former une équipe pour coordonner la réponse à la violation. Idéalement, cette équipe avait déjà été identifiée et préparée bien avant que la violation ne se produise, et comprend la haute direction, la criminalistique, la sécurité de l’information, la technologie de l’information et les composants juridiques. À la lumière de la complexité des attaques de ransomware modernes, les organisations devraient envisager de faire appel à des enquêteurs judiciaires indépendants possédant une expertise en ransomware. Les organisations devraient également envisager sérieusement de retenir les services d’un avocat externe pour les guider dans la réponse aux incidents en vertu du secret professionnel de l’avocat, y compris les questions juridiques et réglementaires discutées ci-dessous. De plus, si l’organisation décide de faire appel à des enquêteurs médico-légaux indépendants, ces personnes devraient être retenues par un avocat externe pour préserver le privilège juridique de leur travail,

Évaluer les dommages: Les organisations doivent agir le plus rapidement possible pour évaluer l’ampleur de l’attaque. Cela inclut l’identification du ou des systèmes informatiques concernés, l’origine de l’attaque, la variante du ransomware ou tout autre logiciel malveillant utilisé pour infiltrer le système et toute connexion externe actuelle au système. Cette étape est plus compliquée lors de la réponse à une attaque de ransomware moderne car, comme décrit ci-dessus, l’attaque peut impliquer plusieurs cybercriminels qui ont passé des semaines ou des mois à se déplacer sur le réseau de la victime. Les organisations de victimes ne doivent pas supposer que l’identification de logiciels malveillants sur une section de leur système constitue l’intégralité de la violation. L’équipe d’intervention doit plutôt déterminer si ce logiciel malveillant a été utilisé dans le cadre d’une attaque de ransomware ciblée plus large. Si c’était,

Conserver les fichiers journaux : les fichiers journaux sont essentiels pour évaluer l’attaque par ransomware, et les organisations doivent prendre des mesures immédiates pour les préserver. Cela inclut l’augmentation de la taille par défaut des fichiers journaux sur les serveurs et la désactivation des tâches de maintenance automatisées telles que la suppression des fichiers temporaires et la rotation des journaux pour empêcher l’écrasement des journaux. Si la journalisation n’est pas activée sur un système affecté, l’organisation doit activer la journalisation immédiatement, ce qui peut également fournir des informations utiles à la suite de la violation.

Isoler et imager les systèmes affectés : Une fois les systèmes affectés identifiés, ils doivent être isolés. Ce processus comprend non seulement la suppression de ces systèmes du réseau lui-même, mais également la sécurisation des zones physiques potentiellement liées à la violation. Une fois que ces systèmes sont isolés, ils doivent également faire l’objet d’une image médico-légale, ce qui aidera à enquêter sur les origines et les causes de la violation. De plus, si l’organisation paie l’acteur du ransomware pour une clé de déchiffrement, il est possible que la clé contienne des bogues qui peuvent endommager les données pendant le processus de déchiffrement. Si cela se produit, l’image médico-légale peut être utilisée pour tenter de répéter le décryptage sans endommager les données d’origine.

Fichiers de sauvegarde sécurisés : la sécurisation des fichiers de sauvegarde le plus rapidement possible joue un rôle crucial dans la reprise rapide des opérations commerciales. Idéalement, au moins certains fichiers de sauvegarde sont stockés sur un réseau à vide que l’attaque n’a pas atteint et n’a pas pu atteindre. Dans la mesure où les fichiers de sauvegarde sont connectés au réseau infecté, les entreprises doivent déconnecter le stockage de sauvegarde du réseau et/ou verrouiller l’accès aux systèmes de sauvegarde jusqu’à ce que l’infection soit résolue. Ici encore, les organisations doivent agir avec prudence, car les attaques de ransomwares modernes ciblent spécifiquement les fichiers de sauvegarde pour empêcher délibérément une récupération rapide. De plus, étant donné que les attaques de ransomware modernes ont des délais plus longs, les entreprises doivent être prêtes à identifier et à récupérer les fichiers de sauvegarde qui sont considérablement antérieurs à la découverte de l’intrusion.

Évaluer les problèmes juridiques et réglementaires: Les organisations sont confrontées à une variété de considérations juridiques et réglementaires aux niveaux étatique, fédéral et, potentiellement, international suite à une attaque de ransomware, et bon nombre de ces problèmes doivent être résolus immédiatement. Selon l’organisation et le type de données compromises, l’attaque de ransomware peut déclencher un patchwork complexe d’exigences de notification légale, dont certaines ont des délais de notification courts. Par exemple, les États ont promulgué une législation exigeant la notification des atteintes à la sécurité impliquant des informations personnelles, certaines dans les 24 heures suivant la découverte du vol. De plus, la SEC a publié des directives concernant les divulgations à la suite d’une violation de la cybersécurité. Et le Règlement général sur la protection des données du Royaume-Uni impose aux organisations de signaler certaines violations de données personnelles dans les 72 heures, dans la mesure du possible. [23]

Les organisations doivent également se préparer aux enquêtes gouvernementales et aux litiges. Les secteurs réglementés tels que les soins de santé, la finance et les infrastructures critiques font régulièrement l’objet d’un examen minutieux après des cyberattaques de la part des autorités de réglementation et des procureurs généraux des États. Lorsque des données de consommateurs sont impliquées, les droits d’action privés en vertu des lois de l’État sur la protection des consommateurs peuvent conduire à des recours collectifs. Au-delà de cela, les organisations doivent également déterminer si elles doivent ou non payer la rançon, ce qui soulève une foule d’autres problèmes pratiques et juridiques. Le FBI conseille généralement aux entreprises de ne pas payer de rançon. L’Office of Foreign Assets Control (« OFAC ») du département du Trésor a déclaré que certains paiements de ransomware peuvent également constituer des violations des lois sur les sanctions économiques. Au-delà de l’OFAC, le paiement de la rançon peut impliquer les lois anti-blanchiment et le Patriot Act. En outre,[24] à New York, les législateurs ont également proposé une législation qui interdirait les paiements de ransomware par toute entité exerçant des activités à New York ou dans un établissement de santé réglementé par le ministère de la Santé de New York. [25] Comme nous l’avons indiqué, la participation précoce d’un conseiller juridique est importante pour évaluer toutes ces questions tout en préservant le privilège.


Compte tenu de la prolifération d’acteurs de ransomware sophistiqués à la recherche de primes de plus en plus importantes pour les données sensibles de l’entreprise, les entreprises doivent à la fois anticiper et être prêtes à répondre à l’attaque inévitable. En prenant les mesures décrites ici, les entreprises se mettront dans la meilleure position pour contenir la violation une fois qu’elle se produira, empêcher la perte de données supplémentaires, lancer le processus de récupération, limiter l’exposition légale et réglementaire et déterminer si elles doivent payer la rançon.

Notes de fin

Voir Fortinet, Global Threat Landscape Report : A Semiannual Report by FortiGuard Labs (février 2021), disponible sur https://www.fortinet.com/content/dam/maindam/public/02_marketing/08_Report/Global-TLR-2021 -2H.pdf .(retourner)

2 Collin Eaton et Dustin Volz, PDG de Colonial Pipeline, expliquent pourquoi il a payé une rançon de 4,4 millions de dollars aux pirates , Wall St. J. (19 mai 2021) ; Catherine Stupp, Le système de santé irlandais lutte contre les perturbations technologiques après l’attaque par ransomware de mai , Wall St. J. (18 juin 2021).(retourner)

Voir Dep’t of Health & Human Serv., Ransomware Trends 2021 à 11 (3 juin 2021), disponible sur https://www.hhs.gov/sites/default/files/ransomware-trends-2021.pdf.(retourner)

4 Palo Alto Networks, rapport sur les menaces de ransomware à 4 (2021) ; voir aussi Jacob Bunge, JBS Paid $11 Million to Resolve Ransomware Attack , Wall St. J. (9 juin 2021).(retourner)

Voir, par exemple , Communiqué de presse, Sénateur américain Jackie Rosen, Rosen Leads Bipartisan Group of Senators to Reintroduce Bipartisan Electric Grid Security Legislation (24 juin 2021) ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur les récentes attaques de ransomware (4 juin 2021) ; Communiqué de presse, Dep’t of Homeland Security, DHS annonce de nouvelles exigences en matière de cybersécurité pour les propriétaires et exploitants de pipelines critiques (27 mai 2021).(retourner)

6 Magno Logan, Erika Mendoza, et al., The State of Ransomware: 2020’s Catch-22 (3 février 2021), disponible sur https://www.trendmicro.com/vinfo/us/security/news/cybercrime- and-digital-menaces/the-state-of-ransomware-2020-s-catch-22 .(retourner)

7 Mayra Fuentes, Feike Hacquebord et al., Modern Ransomware’s Double Extorsion Tactics and How to Protect Enterprises Against Them at 9 (2021), disponible sur https://documents.trendmicro.com/assets/white_papers/wp-modern-ransomwares -double-extorsion-tactiques.pdf .(retourner)

Id. Certains acteurs de ransomware incluent une troisième couche d’extorsion en ajoutant des attaques par déni de service (« DDoS ») contre les sites Web des victimes, qui peuvent submerger un réseau de trafic, provoquant une interruption supplémentaire des opérations. D’autres ont même ajouté une quatrième couche d’extorsion en contactant directement les clients d’une victime dans le but d’augmenter la pression sur la victime pour qu’elle paie. Voir Janus Agcaoili, Miguel Ang et al., Ransomware Double Extortion and Beyond : REvil, Clop et Conti (15 juin 2021), disponible sur https://www.trendmicro.com/vinfo/dk/security/news/ cybercriminalité-et-menaces-numériques/ransomware-double-extorsion-and-beyond-revil-clop-and-conti .(retourner)

Voir le rapport Palo Alto, supra note 4, p. 4.(retourner)

10 Voir Fuentes et al., supra note 7, à 6.(retourner)

11 Bob McArdle, The Life Cycle of a Compromised (Cloud) Server, Trend Micro (1er septembre 2020), disponible sur https://blog.trendmicro.com/the-lifecycle-of-a-compromised-cloud-server .(retourner)

12 Voir, par exemple , Cybersecurity Infrastructure & Sec. Agency (« CISA »), Darkside Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks (30 mai 2021), disponible sur https://us-cert.cisa.gov/ncas/alerts/aa21-131a . TOR est un logiciel gratuit qui permet des communications anonymes sur Internet.(retourner)

13 Id.(retourner)

14 Id.(retourner)

15 Jordan Robertson & William Turton, Colonial Hackers Stole Data Thursday Ahead of Shutdown , Bloomberg (8 mai 2021), disponible sur https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers- volé-données-jeudi-avant-l’arrêt-du-pipeline .(retourner)

16 Communiqué de presse, US Dep’t of Justice, Department of Justice saisit 2,3 millions de dollars en crypto-monnaie payés aux ransomwares Extortionists Darkside (7 juin 2021).(retourner)

17 Shining a Light on Darkside Ransomware Operations, Fireeye (11 mai 2021), disponible sur https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware -opérations.html .(retourner)

18 Voir Fuentes et al., supra note 7.(retourner)

19 Ry Crozier, Toll Group peut avoir perdu plus de 200 Go de données lors d’une attaque de ransomware , IT News (20 mai 2020).(retourner)

20 Phil Muncaster, REvil Ransomware Group Auctions Stolen Data , Info Security Group (3 juin 2020), disponible sur https://www.infosecurity-magazine.com/news/revil-ransomware-group-auctions .(retourner)

21 Lawrence Abrams, Healthcare Giant Grupo Fleury Hit By REvil Ransomware Attack , BleepingComputer (23 juin 2021), disponible sur https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by- attaque-revil-ransomware/ ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur la cyberattaque JBS (2 juin 2021).(retourner)

22 Voir Bunge, supra note 4.(retourner)

23 Voir S. 645, 117e Cong. (2021), disponible sur https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/warnerrubiodraftbill.pdf(retourner)

24 Voir, par exemple , Doug Olenick, Should Paying Ransoms to Attackers Be Banned, Data Breach (24 mai 2021) ; Cynthia Brumfield, Four States Propose Laws to Ban Ransomware Payments , CSO (28 juin 2021), disponible sur https://www.csoonline.com/article/3622888/four-states-propose-laws-to-ban-ransomware- paiements.html .(retourner)

25 N.YS 6806, 2021-2022 Sess. (18 mai 2021), disponible sur https://www.nysenate.gov/legislation/bills/2021/s6806 .(retourner)

Top 10 des billets publiés sur Harvard Law School Forum au 24 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 24 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Top ten Images, Royalty-free Stock Top ten Photos & Pictures | Depositphotos

  1. Do UK and EU Companies Lead US Companies in ESG Measurements in Incentive Compensation Plans?
  2. 2021 Say on Pay Failures Partly Due to Covid-19 Related Pay Actions
  3. Introducing the “Technergy” ESG Reporting Strategy
  4. General Solicitation and General Advertising
  5. Competition Laws, Governance, and Firm Value
  6. How to Accelerate Board Effectiveness Through Insight and Ongoing Education
  7. The Biden Administration’s Executive Order on Climate-Related Financial Risks
  8. Benchmarking of Pay Components in CEO Compensation Design
  9. Vanguard’s Insights on Shareholder Proposals Concerning Diversity, Equity, and Inclusion
  10. Speech by Commissioner Roisman on Whether the SEC Can Make Sustainable ESG Rules

Top 10 des billets publiés sur Harvard Law School Forum au 10 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 10 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

LYRICshowcases: Our Top Ten Favourite Country Songs of 2019 | Lyric Magazine

  1. Institutional Investor Survey 2021
  2. Do Firms With Specialized M&A Staff Make Better Acquisitions?
  3. Proposed EU Directive on ESG Reporting Would Impact US Companies
  4. ESG Scrutiny From the SEC’s Division of Examinations
  5. Pandemic Risk and the Interpretation of Exceptions in MAE Clauses
  6. SEC Approves Nasdaq’s Direct Listing Rule
  7. How Informative Is the Text of Securities Complaints?
  8. Private Sector Implications of Biden’s Executive Order on Climate-Related Financial Risk
  9. Cash-for-Information Whistleblower Programs: Effects on Whistleblowing and Consequences for Whistleblowers
  10. Principles for Board Governance of Cyber Risk

La gestion des risques et le rôle du CA au Canada


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du septième article qui porte sur la gestion des risques d’entreprises (GRE) et l’importance d’identifier les risques émergents en ces temps de pandémie COVID-19. « Dans ce contexte, le conseil d’administration assume une responsabilité de supervision (oversight) de la gestion des risques organisationnels, et non pas d’exécution ».

La publication de Gilles Bernier*, professeur titulaire retraité de la faculté des sciences de l’administration de l’Université Laval, nous invite à prendre connaissance d’une récente enquête réalisée en ligne en 2018 par le Conference Board du Canada (en partenariat avec CPA Canada et l’Institut mondial de gestion des risques du secteur financier), auprès de 160 professionnels qui dirigent la gestion des risques au sein de leur organisation respective

L’auteure aborde plusieurs questions cruciales pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

– La GRE a beaucoup progressé au cours de la dernière décennie au Canada, sauf dans les plus petites organisations.

– Au Canada, les conseils d’administration semblent prendre de plus en plus au sérieux la gouvernance des risques d’entreprise. Ainsi, le sondage montre « que 69 % des répondants confirment que leur conseil d’administration a supervisé les politiques de gestion des risques de l’organisation ». De plus, près de 60 % des répondants qualifient la GRE de leur organisation de « centralisée », c’est-à-dire relevant de la direction générale ou de la direction financière.

– Un autre aspect que le sondage indique est le manque de soutien des équipes de direction, ce qui va souvent se refléter par un niveau de ressources — humaines, financières et technologiques — insuffisantes pour permettre à la fonction GRE d’atteindre une plus grande maturité. Une idée qui pourrait possiblement faire en sorte que les dirigeants adhèrent encore plus à la GRE serait de resserrer le lien entre celle-ci et leur rémunération.

– Il s’avère que là où la GRE est vraiment intégrée (par exemple, dans le secteur financier), elle est plus souvent considérée comme un outil stratégique clé et comme un facteur de réussite en affaires. Dès lors, la gouvernance des risques stratégiques est certes un aspect auquel les conseils d’administration canadiens devraient porter une attention encore plus marquée. En effet, il faut se rappeler qu’un plan stratégique n’est qu’un scénario qui comporte bien des incertitudes.

– Un autre constat fort intéressant réside dans le fait que le potentiel de la GRE « pour ce qui est de tirer parti du bon côté du risque et de créer de la valeur reste sous-développé » dans un grand nombre d’organisations.

– Enfin, les répondants se montrent davantage préoccupés par les priorités relatives aux risques immédiats (financiers, opérationnels, de non-conformité et d’atteinte à la réputation) et moins par les risques émergents.

Bonne lecture !


*Gilles Bernier, Ph.D., ASC, C.Dir., A.C.C., professeur retraité, FSA ULaval, et administrateur de sociétés

Les attaques de cybersécurité sont-elles une fatalité ?


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du sixième article qui porte sur les risques associés aux attaques de plus en plus fréquentes de nature informatique. Quels sont les devoirs et les responsabilités des administrateurs de sociétés eu égard à la cybersécurité ?

La publication de Lyne Bouchard*, professeure agrégée de la faculté des sciences de l’administration de l’Université Laval, nous rappelle les moyens de défense accessibles afin d’éviter les ravages causés par les attaques informatiques.

L’article présente un aperçu de l’univers des menaces en cybersécurité et montre comment plusieurs sociétés ont été victimes des cybercriminels. 

L’auteure aborde une question fondamentale pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

On finalise la préparation du rapport annuel de votre organisation. On vous demande de certifier, avec votre signature, que les résultats présentés dans le rapport sont fidèles à la réalité et n’ont pas été modifiés à la suite d’un événement de cybersécurité. Vous signez ?

POURQUOI EST-CE SI FACILE DE MENER DES CYBERATTAQUES ?

Ce qui est le plus désolant c’est que ce sont souvent les organisations elles-mêmes ou les utilisateurs eux-mêmes qui ont rendu possible, littéralement, les attaques :– Les vols de données chez Desjardins, Revenu Québec ou au Ministère de l’Éducation ont été rendus possibles par des gestionnaires qui ont traité à la légère les demandes d’accès à des informations de la part de leurs employés, demandes qui n’étaient pas justifiées, mais qui ont rendu possible de vol de données ;

– Chez Équifax, Capital One, Uber, et LifeLabs, c’est l’absence de mise à jour des correctifs de sécurité publiés par les fournisseurs de logiciels et matériel informatique ou le laxisme en sécurité informatique de la part des spécialistes, qui a rendu possible les vols de données ;

– Yahoo, Target, TransUnion, la Banque de Montréal et la CIBC n’avaient pas implanté des identifiants forts pour permettre à des gens de l’externe de se connecter à leurs systèmes ou des procédures sécuritaires pour modifier les mots de passe ;

– De nombreux autres exemples, tels que l’hôpital Michel Garron de Toronto, le gouvernement du Nunavuk, les villes de Woodstock et de Saskatoon, ont péché par l’absence de formation adéquate de leur personnel qui a cliqué sur un fichier attaché dans un courriel, n’a pas utilisé de bons mots de passe, s’est fié aux personnes qui les ont contactés par courriel ou par téléphone.

Heureusement, de telles situations peuvent être évitées. Les technologies sont au cœur des menaces, mais la solution se situe au niveau des individus.

Bonne lecture !

_____________________________

*Lyne Bouchard, IAS.A., professeure agrégée, FSA ULaval | Vice-rectrice aux ressources humaines de l’Université Laval | Directrice de l’Observatoire de gouvernance des technologies de l’information

Les entreprises vont de l’avant avec l’adoption de l’IA malgré un manque d’expertise au sein des conseils d’administration


Voici un article de TREVOR PRYER  publié sur le site de Board Agenda qui présente les principales conclusions d’une enquête sur la mise en œuvre des technologies de l’intelligence artificielle (IA).

La recherche montre que plus des deux tiers des CA approuveront l’utilisation de l’IA sans avoir l’expertise requise minimale au sein des conseils d’administration.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

Les entreprises vont de l’avant avec l’adoption de l’IA malgré un manque de compétences au sein des conseils d’administration

 

Cerveau montrant l'IA dans les processus

Image: vs148 / Shutterstock

Plus des deux tiers des conseils d’administration ont l’intention d’approuver la mise en œuvre de l’intelligence artificielle (IA) l’année prochaine, bien qu’il semble y avoir des obstacles importants à une intégration réussie.

Le rapport Leadership en AI 2021 réalisé par Board Agenda en association avec la société de services professionnels Mazars et l’école de commerce INSEAD, constate que les conseils d’administration s’intéressent considérablement à la capacité de l’IA à influencer des domaines clés tels que le service client, les opérations, les finances et la comptabilité, et le développement de la recherche.

Mais l’enquête a également révélé que de nombreuses organisations et conseils d’administration n’ont pas les connaissances et les compétences nécessaires pour assurer une intégration réussie. L’adoption de l’IA s’est également avérée minée par un manque de connaissances et de compréhension au niveau du conseil. Parmi les autres obstacles au progrès figurent les systèmes informatiques hérités, les données médiocres et les cultures d’entreprise résistantes.

Les connaissances et compétences insuffisantes des conseils d’administration sont une source de préoccupation et des liens vers des questions plus larges sur l’état de l’expertise technologique des conseils d’administration, un problème qui affecte de nombreuses organisations alors que la transformation numérique s’accélère dans l’industrie.

Implantation de l’IA

Près des trois quarts (73 %) des répondants déclarent avoir l’intention de mettre en œuvre l’IA au cours des 12 prochains mois, le sujet étant désormais un problème majeur au niveau du conseil d’administration. Un autre 72 % disent que le conseil autorise la mise en œuvre.

Selon l’étude, un peu moins de la moitié des répondants cible les services à la clientèle. Les autres domaines choisis pour la mise en œuvre de l’IA comprennent les opérations, la gestion des données, la logistique, la chaîne d’approvisionnement, les finances et la comptabilité. Cela coïncide avec les résultats d’autres rapports de l’industrie, tels que les recherches de McKinsey qui ont récemment révélé une augmentation de 25 % de l’utilisation de l’IA dans les processus commerciaux standard.

L’étude montre également qu’une grande majorité des répondants affirment que l’augmentation de l’efficacité est le principal avantage de l’IA, tandis que 55 % déclarent des économies de coûts et 53 % s’attendent à une augmentation des revenus.

Le retour sur investissement attendu de l’IA est évident. Les répondants rapportent avoir vu des signes positifs au sein de leur organisation suggérant déjà qu’ils pensent que des avantages peuvent être réalisés. Covid-19 a également accru l’intérêt pour l’IA. Plus de la moitié des répondants — 54 % — affirment que le virus a déjà accéléré l’adoption ou prévoit une adoption future de l’IA.

Manque d’expertise au CA

Cependant, l’étude a révélé des contraintes importantes à la mise en œuvre de l’IA au sommet des entreprises.

Bien qu’ils aient le pouvoir d’évaluer et d’approuver l’IA dans les organisations, une proportion importante des conseils d’administration interrogés n’ont pas réussi à tirer parti des opportunités potentielles en raison d’un manque de compréhension de l’IA et de son utilisation.

Plus de la moitié des répondants au sondage (53 %) affirment que leurs conseils d’administration ne sont pas suffisamment qualifiés ou ne connaissent pas suffisamment la technologie et l’IA et leurs implications pour les entreprises et l’industrie.

Les deux tiers (67 %) n’ont pas été en mesure de confirmer que le conseil d’administration ou la haute direction étaient au courant des services d’IA et de la législation pertinente. Lorsqu’on leur a demandé si le conseil d’administration et la haute direction avaient évalué les compétences et la formation nécessaires pour l’IA au sein de leur organisation, 44 % ont répondu que non. L’étude a également révélé que seulement 25 % des conseils d’administration des entreprises se sont penchés sur les compétences et la formation requises pour l’IA, et seulement 23 % ont évalué les implications potentielles pour la gouvernance et la conformité.

Écrivant pour Board Agenda, Asam Malik, responsable du conseil en technologie chez Mazars, et Anish Venugopal, responsable des données et de l’automatisation, déclarent : « La reconnaissance de la valeur de l’IA au niveau du conseil est significative, mais comme nous l’avons constaté dans notre rapport, la reconnaissance, la compréhension et un plan de mise en œuvre sont des défis très différents. »

Ils sont également préoccupés par les risques potentiels.

« C’est peut-être un symptôme de progrès technologique rapide que de nombreux conseils ont du mal à comprendre pleinement l’IA. Il semblerait qu’il y ait un manque de connaissances considérable au sommet des organisations sur sa capacité de transformation et son application.

“L’impact de l’IA sur les entreprises sera considérable, de sorte qu’un manque de compréhension des conseils d’administration entraînera non seulement des contraintes, mais également des risques importants pour les organisations.

Contraintes éthiques et culturelles

L’étude révèle également les contraintes à l’échelle de l’organisation à la mise en œuvre de l’IA que les conseils d’administration et la haute direction devront aborder. Les trois quarts des répondants (76 %) conviennent qu’il y a des changements éthiques ou culturels importants au sein des entreprises qui doivent être gérées, et 73 % estiment que le manque de compétences et de connaissances en IA au sein de l’organisation est une contrainte majeure à l’adoption.

Ceci est étroitement suivi d’autres préoccupations telles que les systèmes informatiques hérités, la valeur commerciale incertaine et la ‘résistance dans certaines parties de l’organisation’. Des questions culturelles et éthiques sont souvent soulevées autour du déploiement de l’IA et cela a été confirmé par nos recherches. Il s’agit manifestement d’un problème que les conseils d’administration et la haute direction devront régler.

Le professeur Theodoros Evgeniou de l’INSEAD voit les organisations aux prises avec une transformation rapide. ‘Alors que la vitesse de l’innovation en intelligence artificielle et de la transformation commerciale axée sur les données s’accélère, les conseils d’administration et les dirigeants ont du mal à comprendre l’impact de ces technologies sur leur entreprise. Si l’IA peut permettre de nouveaux modèles commerciaux, produits, flux de revenus et efficacité, elle est également une source de nouveaux risques.

Il considère l’investissement dans les connaissances et les compétences en IA comme un moteur clé du changement. ‘Si elles veulent contrôler leur destin axé sur la technologie, les organisations doivent développer de nouvelles capacités à tous les niveaux pour permettre la prise de décision basée sur les données, l’augmentation des emplois (plutôt que le remplacement) et l’innovation basées sur l’IA, ainsi que de nouvelles pratiques, processus et structures organisationnelles.’

Ce qui ressort clairement de cette étude, c’est que le rythme du changement dans l’IA s’accélère à mesure que les avantages deviennent de plus en plus évidents. Cependant, si les avantages doivent être pleinement appréhendés, le manque de connaissances et de compétences technologiques au niveau du conseil devra être comblé sans délai.

Les conclusions de l’enquête sur le leadership de l’IA ont suscité les commentaires des administrateurs et des principaux organismes du secteur :

 

L’IA est de plus en plus avancée et mature sur le plan technologique ; en tant que tel, il est essentiel que les conseils d’administration comprennent comment l’IA s’intègre dans leur stratégie de numérisation et il est très important d’assurer une surveillance éthique responsable de l’IA, y compris les implications pour toutes les parties prenantes, y compris les clients, les employés et les actionnaires. Les compétences en science des données sont primordiales, le développement des talents sera donc la clé du succès. Les entreprises qui n’ont pas cela à leur ordre du jour doivent le faire de toute urgence. Jacqui Ferguson, directrice générale des conseils d’administration de Tesco Bank, Croda PLC, Wood Plc et Sunday Times NED Award Winner 2019

C’est un rapport très opportun. L’impact de la pandémie et la demande d’une plus grande efficacité signifient que l’IA entre dans le courant dominant. La compréhension du conseil, sa surveillance et les mécanismes de gouvernance, de risque et de contrôle nécessaires sont essentiels pour garantir le succès de l’adoption et le rendement attendu. Une mise en œuvre réussie nécessite des considérations techniques, culturelles et éthiques. La responsabilité humaine ne disparaît pas. Les outils explicatifs offrent un mécanisme de soutien pour augmenter la capacité des conseils d’administration à assurer une surveillance et à garantir que l’entreprise agit de manière éthique. Maggie McGhee, directrice générale, gouvernance, ACCA

Gérer les conséquences de l’utilisation de plus en plus courante des technologies de l’IA est un défi pour de nombreux membres du conseil d’administration. Les résultats des recherches menées par Board Agenda sont extrêmement utiles ; elles soulignent l’urgence de s’attaquer efficacement à ce défi et encouragent les conseils à inscrire cette question à leur ordre du jour. Dr Ian Peters MBE, directeur, Institut d’éthique des affaires (BIE)

L’IA transforme le paysage commercial d’une manière qui n’était pas imaginée même une décennie plus bas. Les solutions d’IA sont à l’origine de nouvelles approches innovantes qui peuvent créer des avantages pour toute entreprise, ou offrir aux concurrents des opportunités de dépasser ou de perturber les non préparés. La croissance rapide des nouvelles entreprises affamées qui cherchent à changer le paysage commercial exige que les conseils d’administration s’assurent qu’ils ont accès à la bonne expertise et consacrent suffisamment de temps à l’examen des implications. Ce rapport devrait fournir une provocation opportune pour que toute entreprise examine sa stratégie d’IA. Dr Phil Clare, Institut des directeurs et directeurs adjoints, Services de recherche (échange et engagement des connaissances), Université d’Oxford

Il y a cinq ans, le défi consistait à amener les conseils d’administration à comprendre comment la technologie allait avoir un impact sur leur entreprise et nous savons ce qui est arrivé à ceux qui restent. Le défi d’aujourd’hui est tout aussi important : comment amener les conseils d’administration à vraiment comprendre l’IA et les données ? Ils ignorent cela à leurs risques et périls ! Simon Calver, président, UK Business Angels Association, directeur général de Moo.com, Musclefood, Firefly Learning

‘Cet excellent rapport souligne à quel point le numérique imprègne désormais la stratégie et les opérations de la plupart des entreprises et ne peut donc pas être un sujet spécialisé au niveau du conseil. L’ampleur et l’importance des décisions sur l’IA auxquelles sont confrontées la plupart des entreprises exigent de la compréhension, du jugement et des connaissances du conseil. Ce ne sont pas des investissements marginaux, mais essentiels pour l’avenir. De même, les implications éthiques et de réputation de l’IA sont radicales et les conseils d’administration qui ne parviennent pas à comprendre cela exposent leurs organisations à des risques extraordinaires. Gillian Karran-Cumberlege, responsable du président et du conseil d’administration Fidelio Partners

Téléchargez le rapport Leadership en AI 2021.

Top 10 des billets publiés sur Harvard Law School Forum au 26 novembre 2020


 

Voici le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 26 novembre 2020.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

 

Ericsson jolts the FCPA top ten list | The FCPA Blog

 

  1. Acquisition Experience and Director Remuneration
  2. Russell 3000 Database of Executive Compensation Changes in Response to COVID-19
  3. Risks of Back-Channel Communications with a Controller
  4. Cyber: New Challenges in a COVID-19–Disrupted World
  5. Varieties of Shareholderism: Three Views of the Corporate Purpose Cathedral
  6. ISS Releases New Benchmark Policies for 2021
  7. Why Have CEO Pay Levels Become Less Diverse?
  8. The Department of Labor’s ESG-less Final ESG Rule
  9. SEC Adopts Rules to Modernize and Streamline Exempt Offerings
  10. EQT: Private Equity with a Purpose

Top 10 des billets publiés sur Harvard Law School Forum au 19 novembre 2020


Voici le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 19 novembre 2020.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

 

Top ten list Stock Photos, Royalty Free Top ten list Images | Depositphotos®

 

  1. Decision Making in 50:50 Joint Ventures
  2. Delaware Reaffirms Director Independence Principle in Founder-Led Company
  3. Shareholders’ Rights & Shareholder Activism 2020
  4. ESG Management and Board Accountability
  5. Financial Institution Regulation Under President Biden
  6. Corporations in 100 Pages
  7. Racial Equity on the Board Agenda
  8. The Rise of the General Counsel
  9. Revealing ESG in Critical Audit Matters
  10. SEC Division of Enforcement 2020 Annual Report

Reconquérir la démocratie des actionnaires grâce à des AGA virtuelles


Voici un article de Yaron Nili, professeur adjoint à la faculté de droit de l’Université du Wisconsin et Megan W. Shaner, professeur à la faculté de droit de l’Université de l’Oklahoma. Cet article a été publié sur le site du Harvard Law School Corporate Governance Forum, et il est basé sur leur récent article.

Bien que les réunions virtuelles aient été peu utilisées lors des assemblées générales annuelles (AGA) avant 2020, la technologie était disponible depuis déjà plusieurs années. Les réunions des conseils d’administration en mode virtuel étaient d’ailleurs assez fréquentes.

L’article fait le point sur l’utilisation des technologies de l’information lors des AGA avant et après le COVID-19. Les auteurs « situent les réunions annuelles virtuelles dans un solide aperçu historique des réunions annuelles et du vote des actionnaires, pour faire valoir que les réunions virtuelles offrent l’occasion de retrouver l’un des objectifs de base des réunions annuelles : la démocratie actionnariale ».

Back to the Future? Reclaiming Shareholder Democracy Through Virtual Annual Meetings

 

Hallowed Tradition Of Annual Meeting Goes Virtual | Global Finance Magazine

 

Voici les conclusions que les auteurs tirent de leur recherche.

On ne sait pas si les réunions virtuelles persisteront à des taux aussi élevés. Il ne fait aucun doute que certaines entreprises reviendront aux réunions annuelles traditionnelles en personne, dès qu’il sera sécuritaire de le faire. Pour de nombreuses autres entreprises, cependant, les réunions virtuelles peuvent devenir un élément permanent sous la forme de réunions annuelles entièrement virtuelles ou hybrides.

De plus, avec l’incertitude entourant le moment où la crise de santé publique résultant du COVID-19 sera résolue, les entreprises pourraient être contraintes d’organiser une autre saison de réunions annuelles à distance en 2021, qu’elles le veuillent ou non. Les réunions virtuelles sont donc en passe de jouer un rôle influent dans la pratique des entreprises. Nous devons donc profiter de cette occasion pour réexaminer de manière significative l’objectif de la réunion annuelle et le rôle que la technologie peut jouer dans sa promotion.

Guide des administrateurs 2020 | Deloitte


Le document suivant, publié par Deloitte, est une lecture fortement recommandée pour tous les administrateurs, plus particulièrement pour ceux et celles qui sont des responsabilités liées à l’évaluation de la  performance financière de l’entreprise.

Pour chacun des sujets abordés dans le document, les auteurs présentent un ensemble de questions que les administrateurs pourraient poser :

« Pour que les administrateurs puissent remplir leurs obligations en matière de présentation de l’information financière, ils doivent compter sur l’appui de la direction et poser les bonnes questions.

Dans cette publication, nous proposons des questions que les administrateurs pourraient poser à la direction concernant leurs documents financiers annuels, afin que ceux-ci fassent l’objet d’une remise en question appropriée ».

Je vous invite à prendre connaissance de cette publication en téléchargeant le guide ci-dessous.

Guide des administrateurs 2020

Résultat de recherche d'images pour "guide des administrateurs 2020 Deloitte"

 

Le dilemme d’un administrateur indépendant dans un cas de vol de données


Voici un cas publié sur le site de Julie McLelland qui aborde une situation où Trevor, un administrateur indépendant, croyait que le grand succès de l’entreprise était le reflet d’une solide gouvernance.

Trevor préside le comité d’audit et il se soucie de mettre en place de saines pratiques de gouvernance. Cependant, cette société cotée en bourse avait des failles en matière de gestion des risques numériques et de cybersécurité.

De plus, le seul administrateur indépendant n’a pas été informé qu’un vol de données très sensibles avait été fait et que des demandes de rançons avaient été effectuées.

L’organisation a d’abord nié que les informations subtilisées provenaient de leurs systèmes, avant d’admettre que les données avaient été fichées un an auparavant ! Les résultats furent dramatiques…

Trevor se demande comment il peut aider l’organisation à affronter la tempête !

Le cas a d’abord été traduit en français en utilisant Google Chrome, puis, je l’ai édité et adapté. On y présente la situation de manière sommaire puis trois experts se prononcent sur le cas.

Bonne lecture ! Vos commentaires sont toujours les bienvenus.

Le dilemme d’un administrateur indépendant dans un cas de vol de données

 

 

 

 

 

 

 

 

 

Trevor est administrateur d’une société cotée qui a été un «chouchou du marché». La société fournit des évaluations de crédit et une vérification des données. Les fondateurs ont tous deux une solide expérience dans le secteur et un solide réseau de contacts et à une liste de clients qui comprenait des gouvernements et des institutions financières.

Après l’entrée en bourse, il y a deux ans, la société a atteint ou dépassé les prévisions et Trevor est fier d’être le seul administrateur indépendant siégeant au conseil d’administration aux côtés des deux fondateurs et du PDG. Il préside le comité d’audit et, officieusement, il a été l’initiateur des processus de gouvernance et de sa documentation.

Les fondateurs sont restés très actifs dans l’entreprise et Trevor s’est parfois inquiété du fait que certaines décisions stratégiques n’avaient pas été portées à son attention avant la réunion du conseil d’administration. Comme l’expérience de Trevor est l’audit et l’assurance, il suppose qu’il n’aurait pas ajouté de valeur au-delà de la garantie d’un processus sain et de la tenue de registres.

Il y a trois semaines, tout a changé. Une grande partie des données de l’entreprise ont été subtilisées et transférées sur le « dark web ». Ce vol comprenait les données financières des personnes qui avaient été évaluées ainsi que des données d’identification tels que les numéros de dossier fiscal et les adresses résidentielles. Pire, la société a d’abord affirmé que les informations ne provenaient pas de leurs systèmes, puis a admis avoir reçu des demandes de rançon indiquant que les données avaient été fichées jusqu’à un an avant cette catastrophe.

Plusieurs clients ont fermé leur compte, les actionnaires sont consternés, le cours de l’action est en chute libre et la presse réclame plus d’informations.

Comment Trevor devrait-il aider l’entreprise à surmonter cette tempête ?

Pour prendre connaissance de ce cas, rendez-vous sur www.mclellan.com.au/newsletter.html et cliquez sur « lire le dernier numéro ».

Adam’s Answer

 

This is a critical time for Trevor legally and reputationally, it is also a time when being an independent director carries additional responsibility to the company, the shareholders, the staff and the customers.

All Directors and Executives can only have one response to a blackmail attempt.  That is to immediately report it to the police and not respond to the ransomware demands.  Secondly the company should have had a crisis management plan in place ready for such an eventuality.  In this day and age, no company should operate without a cybercrime contingency plan.

In this case it is unclear, but it appears that the authorities were not informed and that Trevor’s company was unprepared for a data breach or ransomware demands.

There are 2 scenarios open to Trevor:

1) If Trevor was not informed straight away of the ransom demands and the CEO and founding Executive Directors knew but did not brief him on the ransom issue and the company’s response, then his independent status has been compromised and he should resign.

2) If Trevor was informed and the whole Board was involved in the response, then Trevor must remain and help the company ride out the storm.   This will involve working with the police, the ASX and crisis management guidance from external suppliers – technical and PR. 

The rule to follow is full transparency and speedy action. 

Trevor should refer to the recent ransomware attack on Toll Logistics and their response which was exemplary.

Adam Salzer OAM is the Chair and Global Designer for Whitewater Transformations. His other board experience includes Australian Transformation and Turnaround Association (AusTTA), Asian Transformation and Turnaround Association (ATTA), Australian Deafness Council, Bell Shakespeare Company, and NSW Deaf Society. He is based in Sydney, Australia.

Julie’s Answer

 

This is a listed company; Trevor must ensure appropriate disclosure. A trading halt may give the company time to investigate, and respond to, the events and then give the market time to disseminate the information. His customer liaison at the stock exchange should assist with implementing a halt and issuing a brief statement saying what has happened and that the company will issue more information when it becomes available.

This will be a costly and distracting exercise that could derail the company from its current successful track.

Three of the four board members are executives. That doesn’t mean the fourth can rely on their efforts. Trevor must add value by asking intelligent questions that people involved in the operations will possibly not think to ask. This board must work as a team rather than a group of individuals who each contribute their own expertise and then come together to document decisions that were not made rigorously or jointly.

Trevor has now learnt that there is more to good governance than just having meetings and documenting processes. He needs to get involved and truly understand the business. If his fellow directors do not welcome this, he needs to consider whether they are taking him seriously or just using him as window-dressing. He should ensure that the whole board is never again left out of the information flow when something important happens (or even when it perhaps might happen).

He should also take the lead on procuring legal advice (they are going to need it), liaising with the regulators, and establishing crisis communications. Engaging a specialist communications firm may help.

Julie Garland McLellan is a non-executive director and board consultant based in Sydney, Australia.

Jinan’s Answer

 

I recommend three separate parallel streams of work for Trevor. 

1. Immediate public facing actions
Immediately apologize and state your commitment to your customers.  Hire a PR firm and have the most public facing person issue an apology. The person selected to issue the apology has to be selected carefully (cannot be the person responsible for leak, and has potential to become the new trusted CEO)

2. Tactical internal actions
Assess the damage and contain the incident.  Engage an incident response firm to assess how the breach happened, when it happened, what was stolen. Confirm that leak doors are closed. Select your IR firm carefully – the better reputed they are, the better you will look in litigation.
Conduct an immediate audit and investigation. You need to understand who knew, when and why this was buried for a year.
Take disciplinary action against anyone who was part of the breach. Post audit, either allow them to keep their equity or buy them out.

3. Strategic actions
Review and update your cybersecurity incident response process.  This includes your ransomware processes (e.g. will you pay, how you pay, etc.), and how you communicate incidents. 
Build cybersecurity awareness, behavior and culture up, down and across your company.  Ensure that everyone from the board down are educated, enabled and enthusiastic about their own and your company’s cyber-safety. This is a journey not a one-off miracle.
Extend cybersecurity engagement to your customers. Be proactive not only on the status of this incident, but also on how you are keeping their data safe.  Go a step further and offer them help in their own cyber-safety.
Create a forward thinking, business and risk-aligned cybersecurity strategy. Understand your current people, process and technology gaps which led to this decision and how you’ll fix them.
Elevate the role of cybersecurity leadership.  You will need a chief information security officer who is empowered to execute the strategy, and has a regular and independent seat at the board table. 

Jinan Budge is Principal Analyst Serving Security and Risk Professionals at Forrester and a former Director Cyber Security, Strategy and Governance at Transport for NSW. She is based in Sydney, New South Wales, Australia.

Répertoire des articles en gouvernance publiés sur LinkedIn | En reprise


L’un des moyens utilisés pour mieux faire connaître les grandes tendances en gouvernance de sociétés est la publication d’articles choisis sur ma page LinkedIn.

Ces articles sont issus des parutions sur mon blogue Gouvernance | Jacques Grisé

Depuis janvier 2016, j’ai publié un total de 43 articles sur ma page LinkedIn.

Aujourd’hui, je vous propose la liste des 10 articles que j’ai publiés à ce jour en 2019 :

 

Liste des 10 articles publiés à ce jour en 2019

 

Image associée

 

 

1, Les grandes firmes d’audit sont plus sélectives dans le choix de leurs mandats

2. Gouvernance fiduciaire et rôles des parties prenantes (stakeholders)

3. Problématiques de gouvernance communes lors d’interventions auprès de diverses organisations – Partie I Relations entre président du CA et DG

4. L’âge des administrateurs de sociétés représente-t-il un facteur déterminant dans leur efficacité comme membres indépendants de CA ?

5. On constate une évolution progressive dans la composition des conseils d’administration

6. Doit-on limiter le nombre d’années qu’un administrateur siège à un conseil afin de préserver son indépendance ?

7. Manuel de saine gouvernance au Canada

8. Étude sur le mix des compétences dans la composition des conseils d’administration

9. Indice de diversité de genre | Equilar

10. Le conseil d’administration est garant de la bonne conduite éthique de l’organisation !

 

Si vous souhaitez voir l’ensemble des parutions, je vous invite à vous rendre sur le Lien vers les 43 articles publiés sur LinkedIn depuis 2016

 

Bonne lecture !

Prix Fidéide | Saine gouvernance


Je me fais le porte-parole du Collège des administrateurs de sociétés (CAS) pour vous sensibiliser au lancement d’un Prix Fidéide visant à reconnaître et encourager les meilleures pratiques en gouvernance : le Fidéide Saine gouvernance.

Le CAS s’associe à nouveau à la Chambre de commerce et d’industrie de Québec (CCIQ) pour la sélection des candidats à ce prix Fidéide.

J’ai donc décidé, à la suite d’une demande de Chantale Coulombe, présidente du Collège des administrateurs de sociétés, d’aider à susciter des candidatures pour ce prestigieux prix en gouvernance. Le prix sera présenté en collaboration avec le cabinet d’avocats Jolicoeur Lacasse.

Voici donc le communiqué que la direction du Collège souhaite partager avec les abonnés de mon blogue.

 

 

Fidéide Saine gouvernance

 

Les critères

Au nombre des critères pour se mériter ce prix, l’entreprise doit avoir en place un comité consultatif ou un conseil d’administration et elle doit s’être distinguée en ayant adopté une ou des pratiques de gouvernance reconnue(s) au cours des trois dernières années que ce soit en lien notamment avec :

(i) la gestion de risque

(ii) les mesures de la performance financière et non financière

(iii) l’implantation de sous-comités

(iv) la parité

(v) les dossiers de ressources humaines

(vi) la relève au sein du CA et\ou au sein de la direction de l’organisation

(vii) le développement durable

(viii) les technologies ou

(iv) la responsabilité sociale.

 

Retour sur le Fidéide Saine Gouvernance 2019

Connus et reconnus dans la grande région de la Capitale-Nationale et de Chaudière-Appalaches, les Fidéides visent à récompenser des entreprises qui se sont démarquées pour des performances exceptionnelles. L’an dernier, pour la toute première fois, la Chambre ajoutait la catégorie Saine gouvernance et c’est la Coopérative des consommateurs de Lorette – Convivio IGA qui a eu l’honneur de décrocher ce premier Fidéide. Deux autres finalistes prestigieux avaient retenu l’attention du jury en 2019, soit : l’Administration portuaire de Québec et le Réseau de transport de la capitale (RTC).

 

Une occasion de reconnaître et d’encourager la saine gouvernance

À titre d’administrateur de sociétés, vous connaissez sans aucun doute des organisations qui mériteraient une telle distinction. Aussi, je vous invite fortement à les inciter à poser leur candidature au plus tard le 5 novembre.

En mettant les projecteurs sur les meilleures pratiques adoptées par ces entreprises, c’est toute la gouvernance des sociétés qui en profitera.

 

Informations et dépôt des candidatures

 

Pour plus de détails, visitez la page Fidéide Saine gouvernance 2020 sur le site du Collège ou encore, rendez-vous sur la page désignée sur le site de la Chambre.

 

Répertoire des articles en gouvernance publiés sur LinkedIn


L’un des moyens utilisés pour mieux faire connaître les grandes tendances en gouvernance de sociétés est la publication d’articles choisis sur ma page LinkedIn.

Ces articles sont issus des parutions sur mon blogue Gouvernance | Jacques Grisé

Depuis janvier 2016, j’ai publié un total de 43 articles sur ma page LinkedIn.

Aujourd’hui, je vous propose la liste des 10 articles que j’ai publiés à ce jour en 2019 :

 

Liste des 10 articles publiés à ce jour en 2019

 

Image associée

 

 

1, Les grandes firmes d’audit sont plus sélectives dans le choix de leurs mandats

2. Gouvernance fiduciaire et rôles des parties prenantes (stakeholders)

3. Problématiques de gouvernance communes lors d’interventions auprès de diverses organisations – Partie I Relations entre président du CA et DG

4. L’âge des administrateurs de sociétés représente-t-il un facteur déterminant dans leur efficacité comme membres indépendants de CA ?

5. On constate une évolution progressive dans la composition des conseils d’administration

6. Doit-on limiter le nombre d’années qu’un administrateur siège à un conseil afin de préserver son indépendance ?

7. Manuel de saine gouvernance au Canada

8. Étude sur le mix des compétences dans la composition des conseils d’administration

9. Indice de diversité de genre | Equilar

10. Le conseil d’administration est garant de la bonne conduite éthique de l’organisation !

 

Si vous souhaitez voir l’ensemble des parutions, je vous invite à vous rendre sur le Lien vers les 43 articles publiés sur LinkedIn depuis 2016

 

Bonne lecture !

Dix sujets « hots » pour les administrateurs en 2019


Voici dix thèmes « chauds » qui devraient préoccuper les administrateurs en 2019.

Ils ont été identifiés par Kerry BerchemChristine LaFollette, et Frank Reddick, associés de la firme Akin Gump Strauss Hauer & Feld.

Le billet est paru aujourd’hui sur le forum du Harvard Law School.

Bonne lecture ! Quels sont vos points de vue à ce sujet ?

 

Top 10 Topics for Directors in 2019

 

 

Résultats de recherche d'images pour « Akin Gump Strauss Hauer & Feld »

 

1. Corporate Culture

The corporate culture of a company starts at the top, with the board of directors, and directors should be attuned not only to the company’s business, but also to its people and values across the company. Ongoing and thoughtful efforts to understand the company’s culture and address any issues will help the board prepare for possible crises, reduce potential liability and facilitate appropriate responses internally and externally.

2. Board Diversity

As advocates and studies continue to highlight the business case for diversity, public companies are facing increasing pressure from corporate governance groups, investors, regulators and other stakeholders to improve gender and other diversity on the board. As a recent McKinsey report highlights, many successful companies regard inclusion and diversity as a source of competitive advantage and, specifically, as a key enabler of growth.

3. #MeToo Movement

A responsible board should anticipate the possibility that allegations of sexual harassment may arise against a C-suite or other senior executive. The board should set the right tone from the top to create a respectful culture at the company and have a plan in place before these incidents occur. In that way, the board is able to quickly and appropriately respond to any such allegations. Any such response plan should include conducting an investigation, proper communications with the affected parties and the implementation of any necessary remedial steps.

4. Corporate Social Responsibility

Corporate social responsibility (CSR) concerns remained a hot-button issue in 2018. Social issues were at the forefront this year, ranging from gun violence, to immigration reform, to human trafficking, to calls for greater accountability and action from the private sector on issues such as climate change. This reflects a trend that likely foretells continued and increased focus on environmental, social and governance issues, including from regulatory authorities.

5. Corporate Strategy

Strategic planning should continue to be a high priority for boards in 2019, with a focus on the individual and combined impacts of the U.S. and global economies, geopolitical and regulatory uncertainties, and mergers and acquisitions activity on their industries and companies. Boards should consider maximizing synergies from recent acquisitions or reviewing their companies’ existing portfolios for potential divestitures.

6. Sanctions

During the second year of the Trump administration, U.S. sanctions expanded significantly to include new restrictions that target transactions with Iran, Russia and Venezuela. Additionally, the U.S. government has expanded its use of secondary sanctions to penalize non-U.S. companies that engage in proscribed activities involving sanctioned persons and countries. To avoid sanctions-related risks, boards should understand how these evolving rules apply to the business activities of their companies and management teams.

7. Shareholder Activism

There has been an overall increase in activism campaigns in 2018 regarding both the number of companies targeted and the number of board seats won by these campaigns. This year has also seen an uptick in traditionally passive and institutional investors playing an active role in encouraging company engagement with activists, advocating for change themselves and formulating express policies for handling activist campaigns.

8. Cybersecurity

With threats of nation-states infiltrating supply chains, and landmark laws being passed, cybersecurity and privacy are critical aspects of director oversight. Directors must focus on internal controls to guard against cyber-threats (including accounting, cybersecurity and insider trading) and expand diligence of third-party suppliers. Integrating both privacy and security by design will be critical to minimizing ongoing risk of cybersecurity breaches and state and federal enforcement.

9. Tax Cuts and Jobs Act

A year has passed since President Trump signed the Tax Cuts and Jobs Act (TCJA) into law, and there will be plenty of potential actions and new faces on the tax landscape in 2019. Both the Senate Finance Committee and the Ways and Means Committee will have new chairs, and Treasury regulations implementing the TCJA will be finalized. President Trump will continue to make middle-class tax cuts a priority heading into next year. Perennial issues, such as transportation, retirement savings and health care, will likely make an appearance, and legislation improving the tax reform bill could be on the table depending on the outcome of the Treasury regulations.

10. SEC Regulation and Enforcement

To encourage public security ownership, the Securities and Exchange Commission (SEC) has adopted and proposed significant revisions to update and simplify disclosure requirements for public companies. It has taken steps to enhance the board’s role in evaluating whether to include shareholder proposals in a company’s proxy statement. It has also solicited comments on the possible reform of proxy advisor regulation, following increasing and competing calls from corporations, investor advocates and congressional leaders to revise these regulations. Boards and companies should monitor developments in this area, as well as possible changes in congressional and administration emphasis following the 2018 midterm elections.

Bonus: Midterm Elections

The 2018 midterm elections are officially over. Americans across the country cast their ballots for candidates for the House of Representatives and the Senate in what was widely perceived to be a referendum on President Trump’s first two years in office. With Democrats taking control of the House, and Republicans maintaining control of the Senate, a return to divided government will bring new challenges for effective governance. Compromise and bipartisanship will be tested by what is expected to be an aggressive oversight push from House Democrats. However, areas where there may be possible compromise include federal data privacy standards, infrastructure development, criminal justice reform and pharmaceutical drug pricing initiatives.

The complete publication is available here.

%d blogueueurs aiment cette page :