Étiquette : Technologies de l’Information (TI)

La gestion des risques et le rôle du CA au Canada


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du septième article qui porte sur la gestion des risques d’entreprises (GRE) et l’importance d’identifier les risques émergents en ces temps de pandémie COVID-19. « Dans ce contexte, le conseil d’administration assume une responsabilité de supervision (oversight) de la gestion des risques organisationnels, et non pas d’exécution ».

La publication de Gilles Bernier*, professeur titulaire retraité de la faculté des sciences de l’administration de l’Université Laval, nous invite à prendre connaissance d’une récente enquête réalisée en ligne en 2018 par le Conference Board du Canada (en partenariat avec CPA Canada et l’Institut mondial de gestion des risques du secteur financier), auprès de 160 professionnels qui dirigent la gestion des risques au sein de leur organisation respective

L’auteure aborde plusieurs questions cruciales pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

– La GRE a beaucoup progressé au cours de la dernière décennie au Canada, sauf dans les plus petites organisations.

– Au Canada, les conseils d’administration semblent prendre de plus en plus au sérieux la gouvernance des risques d’entreprise. Ainsi, le sondage montre « que 69 % des répondants confirment que leur conseil d’administration a supervisé les politiques de gestion des risques de l’organisation ». De plus, près de 60 % des répondants qualifient la GRE de leur organisation de « centralisée », c’est-à-dire relevant de la direction générale ou de la direction financière.

– Un autre aspect que le sondage indique est le manque de soutien des équipes de direction, ce qui va souvent se refléter par un niveau de ressources — humaines, financières et technologiques — insuffisantes pour permettre à la fonction GRE d’atteindre une plus grande maturité. Une idée qui pourrait possiblement faire en sorte que les dirigeants adhèrent encore plus à la GRE serait de resserrer le lien entre celle-ci et leur rémunération.

– Il s’avère que là où la GRE est vraiment intégrée (par exemple, dans le secteur financier), elle est plus souvent considérée comme un outil stratégique clé et comme un facteur de réussite en affaires. Dès lors, la gouvernance des risques stratégiques est certes un aspect auquel les conseils d’administration canadiens devraient porter une attention encore plus marquée. En effet, il faut se rappeler qu’un plan stratégique n’est qu’un scénario qui comporte bien des incertitudes.

– Un autre constat fort intéressant réside dans le fait que le potentiel de la GRE « pour ce qui est de tirer parti du bon côté du risque et de créer de la valeur reste sous-développé » dans un grand nombre d’organisations.

– Enfin, les répondants se montrent davantage préoccupés par les priorités relatives aux risques immédiats (financiers, opérationnels, de non-conformité et d’atteinte à la réputation) et moins par les risques émergents.

Bonne lecture !

La gestion des risques

Collège des administrateurs de sociétés

*Gilles Bernier, Ph.D., ASC, C.Dir., A.C.C., professeur retraité, FSA ULaval, et administrateur de sociétés

Les attaques de cybersécurité sont-elles une fatalité ?


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du sixième article qui porte sur les risques associés aux attaques de plus en plus fréquentes de nature informatique. Quels sont les devoirs et les responsabilités des administrateurs de sociétés eu égard à la cybersécurité ?

La publication de Lyne Bouchard*, professeure agrégée de la faculté des sciences de l’administration de l’Université Laval, nous rappelle les moyens de défense accessibles afin d’éviter les ravages causés par les attaques informatiques.

L’article présente un aperçu de l’univers des menaces en cybersécurité et montre comment plusieurs sociétés ont été victimes des cybercriminels. 

L’auteure aborde une question fondamentale pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

On finalise la préparation du rapport annuel de votre organisation. On vous demande de certifier, avec votre signature, que les résultats présentés dans le rapport sont fidèles à la réalité et n’ont pas été modifiés à la suite d’un événement de cybersécurité. Vous signez ?

POURQUOI EST-CE SI FACILE DE MENER DES CYBERATTAQUES ?

Ce qui est le plus désolant c’est que ce sont souvent les organisations elles-mêmes ou les utilisateurs eux-mêmes qui ont rendu possible, littéralement, les attaques :– Les vols de données chez Desjardins, Revenu Québec ou au Ministère de l’Éducation ont été rendus possibles par des gestionnaires qui ont traité à la légère les demandes d’accès à des informations de la part de leurs employés, demandes qui n’étaient pas justifiées, mais qui ont rendu possible de vol de données ;

– Chez Équifax, Capital One, Uber, et LifeLabs, c’est l’absence de mise à jour des correctifs de sécurité publiés par les fournisseurs de logiciels et matériel informatique ou le laxisme en sécurité informatique de la part des spécialistes, qui a rendu possible les vols de données ;

– Yahoo, Target, TransUnion, la Banque de Montréal et la CIBC n’avaient pas implanté des identifiants forts pour permettre à des gens de l’externe de se connecter à leurs systèmes ou des procédures sécuritaires pour modifier les mots de passe ;

– De nombreux autres exemples, tels que l’hôpital Michel Garron de Toronto, le gouvernement du Nunavuk, les villes de Woodstock et de Saskatoon, ont péché par l’absence de formation adéquate de leur personnel qui a cliqué sur un fichier attaché dans un courriel, n’a pas utilisé de bons mots de passe, s’est fié aux personnes qui les ont contactés par courriel ou par téléphone.

Heureusement, de telles situations peuvent être évitées. Les technologies sont au cœur des menaces, mais la solution se situe au niveau des individus.

Bonne lecture !

Gouvernance et cybersécurité

Collège des administrateurs de sociétés

_____________________________

*Lyne Bouchard, IAS.A., professeure agrégée, FSA ULaval | Vice-rectrice aux ressources humaines de l’Université Laval | Directrice de l’Observatoire de gouvernance des technologies de l’information

En rappel | Ce que chaque administrateur de sociétés devrait savoir à propos de la sécurité infonuagique


Cet article est basé sur un rapport de recherche de Paul A. Ferrillo, avocat conseil chez Weil, Gotshal & Manges, et de Dave Burg et Aaron Philipp de PricewaterhouseCoopers. Les auteurs présentent une conceptualisation des facteurs infonuagiques (cloud computing) qui influencent les entreprises, en particulier les comportements de leurs administrateurs.

L’article donne une définition du phénomène infonuagique et montre comment les conseils d’administration sont interpellés par les risques que peuvent constituer les cyber-attaques. En fait, la partie la plus intéressante de l’article consiste à mieux comprendre, ce que les auteurs appellent, la « Gouvernance infonuagique » (Cloud Cyber Governance).

L’article propose plusieurs questions critiques que les administrateurs doivent adresser à la direction de l’entreprise.

Vous trouverez, ci-dessous, les points saillants de cet article lequel devrait intéresser les administrateurs préoccupés par les aspects de sécurité des opérations infonuagiques.

Bonne lecture !

 

Cloud Cyber Security: What Every Director Needs to Know

« There are four competing business propositions affecting most American businesses today. Think of them as four freight trains on different tracks headed for a four-way stop signal at fiber optic speed.

First, with a significant potential for cost savings, American business has adopted cloud computing as an efficient and effective way to manage countless bytes of data from remote locations at costs that would be unheard of if they were forced to store their data on hard servers. According to one report, “In September 2013, International Data Corporation predicted that, between 2013 and 2017, spending on pubic IT cloud computing will experience a compound annual growth of 23.5%.” Another report noted, “By 2014, cloud computing is expected to become a $150 billion industry. And for good reason—whether users are on a desktop computer or mobile device, the cloud provides instant access to data anytime, anywhere there is an Internet connection.”

IMG_20140219_205959

The second freight train is data security. Making your enterprise’s information easier for you to access and analyze also potentially makes it easier for others to do, too. 2013 and 2014 have been the years of “the big data breach,” with millions of personal data and information records stolen by hackers. Respondents to the 2014 Global State of Information Security® Survey reported a 25% increase in detected security incidents over 2012 and a 45% increase compared to 2011. Though larger breaches at global retailers are extremely well known, what is less known is that cloud providers are not immune from attack. Witness the cyber breach against a file sharing cloud provider that was perpetrated by lax password security and which caused a spam attack on its customers. “The message is that cyber criminals, just like legitimate companies, are seeing the ‘business benefits’ of cloud services. Thus, they’re signing up for accounts and reaching sensitive files through these accounts. For the cyber criminals this only takes a run-of-the-mill knowledge level … This is the next step in a new trend … and it will only continue.”

The third freight train is the plaintiff’s litigation bar. Following cyber breach after cyber breach, they are viewing the corporate horizon as rich with opportunities to sue previously unsuspecting companies caught in the middle of a cyber disaster, with no clear way out. They see companies scrambling to contend with major breaches, investor relation delays, and loss of brand and reputation.

The last freight train running towards the intersection of cloud computing and data security is the topic of cyber governance—i.e., what directors should be doing or thinking about to protect their firm’s most critical and valuable IP assets. In our previous article, we noted that though directors are not supposed to be able to predict all potential issues when it comes to cyber security issues, they do have a basic fiduciary duty to oversee the risk management of the enterprise, which includes securing its intellectual property and trade secrets. The purpose of this article is to help directors and officers potentially avoid a freight train collision by helping the “cyber governance train” control the path and destiny of the company. We will discuss basic cloud security principles, and basic questions directors should ask when considering whether or not the data their management desires to run on a cloud-based architecture will be as safe from attack as possible. As usual when dealing with cyber security issues, there are no 100% foolproof answers. Even cloud experts disagree on cloud-based data security practices and their effectiveness] There are only good questions a board can ask to make sure it is fulfilling its duties to shareholders to protect the company’s valuable IP assets.

What is Cloud Computing/What Are Its Basic Platforms

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services). Cloud computing is a disruptive technology that has the potential to enhance collaboration, agility, scaling, and availability, and provides the opportunities for cost reduction through optimized and efficient computing. The cloud model envisages a world where components can be rapidly orchestrated, provisioned, implemented and decommissioned, and scaled up or down to provide an on-demand utility-like model of allocation and consumption.”

Cloud computing is generally based upon three separate and distinct architectures that matter when considering the security of the data sitting in the particular cloud environment.

……

Cloud Cyber Governance

As shown above, what is commonly referred to as the cloud actually can mean many different things depending on the context and use. Using SaaS to manage a customer base has a vastly different set of governance criteria to using IaaS as a development environment. As such, there are very few accepted standards for properly monitoring/administering a cloud-based environment. There are many IT consultants in the cloud-based computing environment that can be consulted in that regard. Our view, however, is that directors are ultimately responsible for enterprise risk management, and that includes cyber security, a subset of which is cloud-based cyber-security. Thus it is important for directors to have a basic understanding of the risks involved in cloud-based data storage systems, and with cloud-based storage providers. Below are a few basic questions that come to mind that a director could pose to management, and the company’s CISO and CIO:

1. Where will your data be stored geographically (which may determine which laws apply to the protection of the company’s data), and in what data centers?

2. Is there any type of customer data co-mingling that could potentially expose the company data to competitors or other parties?

3. What sort of encryption does the cloud-based provider use?

4. What is the vendor’s backup and disaster recovery plan?

5. What is the vendor’s incident response and notification plan?

6. What kind of access will you have to security information on your data stored in the cloud in the event the company needs to respond to a regulatory request or internal investigation?

7. How transparent is the cloud provider’s own security posture? What sort of access can your company get to the cloud provider’s data center and personnel to make sure it is receiving what it is paying for?

8. What is the cloud servicer’s responsibility to update its security systems as technology and sophistication evolves?

9. What is the cloud provider’s ability to timely detect (i.e., continuously monitor) and respond to a security incident, and what sort of logging information is kept in order to potentially detect anomalous activity?

10. Are there any third party requirements (such as HITECH/HIPAA) that the provider needs to conform to for your industry?

11. Is the cloud service provider that is being considered already approved under the government’s FedRamp authorization process, which pre-approves cloud service providers and their security controls?

12. Finally, does the company’s cyber insurance liability policy cover cloud-based Losses assuming there is a breach and customer records are stolen or otherwise compromised?  This is a very important question to ask, especially if the company involved is going to use a cyber-insurance policy as a risk transfer mechanism. When in doubt, a knowledgeable cyber-insurance broker should be consulted to make sure cloud-based Losses are covered.

High-profile breaches have proven conclusively that cybersecurity is a board issue first and foremost. Being a board member is tough work. Board members have a lot on their plate, including, first and foremost, financial reporting issues. But as high-profile breaches have shown, major cyber breaches have almost the same effect as a high profile accounting problem or restatement. They cause havoc with investors, stock prices, vendors, branding, corporate reputation and consumers. Directors should be ready to ask tough questions regarding cyber security and cloud-based security issues so they do not find themselves on the wrong end of a major data breach, either on the ground or in the cloud. »

Ce que chaque administrateur de sociétés devrait savoir à propos de la sécurité infonuagique |En rappel


Cet article est basé sur un rapport de recherche de Paul A. Ferrillo, avocat conseil chez Weil, Gotshal & Manges, et de Dave Burg et Aaron Philipp de PricewaterhouseCoopers. Les auteurs présentent une conceptualisation des facteurs infonuagiques (cloud computing) qui influencent les entreprises, en particulier les comportements de leurs administrateurs.

L’article donne une définition du phénomène infonuagique et montre comment les conseils d’administration sont interpellés par les risques que peuvent constituer les cyber-attaques. En fait, la partie la plus intéressante de l’article consiste à mieux comprendre, ce que les auteurs appellent, la « Gouvernance infonuagique » (Cloud Cyber Governance).

L’article propose plusieurs questions critiques que les administrateurs doivent adresser à la direction de l’entreprise.

Vous trouverez, ci-dessous, les points saillants de cet article lequel devrait intéresser les administrateurs préoccupés par les aspects de sécurité des opérations infonuagiques.

Bonne lecture !

 

Cloud Cyber Security: What Every Director Needs to Know

« There are four competing business propositions affecting most American businesses today. Think of them as four freight trains on different tracks headed for a four-way stop signal at fiber optic speed.

First, with a significant potential for cost savings, American business has adopted cloud computing as an efficient and effective way to manage countless bytes of data from remote locations at costs that would be unheard of if they were forced to store their data on hard servers. According to one report, “In September 2013, International Data Corporation predicted that, between 2013 and 2017, spending on pubic IT cloud computing will experience a compound annual growth of 23.5%.” Another report noted, “By 2014, cloud computing is expected to become a $150 billion industry. And for good reason—whether users are on a desktop computer or mobile device, the cloud provides instant access to data anytime, anywhere there is an Internet connection.”

IMG_20140219_205959

The second freight train is data security. Making your enterprise’s information easier for you to access and analyze also potentially makes it easier for others to do, too. 2013 and 2014 have been the years of “the big data breach,” with millions of personal data and information records stolen by hackers. Respondents to the 2014 Global State of Information Security® Survey reported a 25% increase in detected security incidents over 2012 and a 45% increase compared to 2011. Though larger breaches at global retailers are extremely well known, what is less known is that cloud providers are not immune from attack. Witness the cyber breach against a file sharing cloud provider that was perpetrated by lax password security and which caused a spam attack on its customers. “The message is that cyber criminals, just like legitimate companies, are seeing the ‘business benefits’ of cloud services. Thus, they’re signing up for accounts and reaching sensitive files through these accounts. For the cyber criminals this only takes a run-of-the-mill knowledge level … This is the next step in a new trend … and it will only continue.”

The third freight train is the plaintiff’s litigation bar. Following cyber breach after cyber breach, they are viewing the corporate horizon as rich with opportunities to sue previously unsuspecting companies caught in the middle of a cyber disaster, with no clear way out. They see companies scrambling to contend with major breaches, investor relation delays, and loss of brand and reputation.

The last freight train running towards the intersection of cloud computing and data security is the topic of cyber governance—i.e., what directors should be doing or thinking about to protect their firm’s most critical and valuable IP assets. In our previous article, we noted that though directors are not supposed to be able to predict all potential issues when it comes to cyber security issues, they do have a basic fiduciary duty to oversee the risk management of the enterprise, which includes securing its intellectual property and trade secrets. The purpose of this article is to help directors and officers potentially avoid a freight train collision by helping the “cyber governance train” control the path and destiny of the company. We will discuss basic cloud security principles, and basic questions directors should ask when considering whether or not the data their management desires to run on a cloud-based architecture will be as safe from attack as possible. As usual when dealing with cyber security issues, there are no 100% foolproof answers. Even cloud experts disagree on cloud-based data security practices and their effectiveness] There are only good questions a board can ask to make sure it is fulfilling its duties to shareholders to protect the company’s valuable IP assets.

What is Cloud Computing/What Are Its Basic Platforms

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services). Cloud computing is a disruptive technology that has the potential to enhance collaboration, agility, scaling, and availability, and provides the opportunities for cost reduction through optimized and efficient computing. The cloud model envisages a world where components can be rapidly orchestrated, provisioned, implemented and decommissioned, and scaled up or down to provide an on-demand utility-like model of allocation and consumption.”

Cloud computing is generally based upon three separate and distinct architectures that matter when considering the security of the data sitting in the particular cloud environment.

……

Cloud Cyber Governance

As shown above, what is commonly referred to as the cloud actually can mean many different things depending on the context and use. Using SaaS to manage a customer base has a vastly different set of governance criteria to using IaaS as a development environment. As such, there are very few accepted standards for properly monitoring/administering a cloud-based environment. There are many IT consultants in the cloud-based computing environment that can be consulted in that regard. Our view, however, is that directors are ultimately responsible for enterprise risk management, and that includes cyber security, a subset of which is cloud-based cyber-security. Thus it is important for directors to have a basic understanding of the risks involved in cloud-based data storage systems, and with cloud-based storage providers. Below are a few basic questions that come to mind that a director could pose to management, and the company’s CISO and CIO:

1. Where will your data be stored geographically (which may determine which laws apply to the protection of the company’s data), and in what data centers?

2. Is there any type of customer data co-mingling that could potentially expose the company data to competitors or other parties?

3. What sort of encryption does the cloud-based provider use?

4. What is the vendor’s backup and disaster recovery plan?

5. What is the vendor’s incident response and notification plan?

6. What kind of access will you have to security information on your data stored in the cloud in the event the company needs to respond to a regulatory request or internal investigation?

7. How transparent is the cloud provider’s own security posture? What sort of access can your company get to the cloud provider’s data center and personnel to make sure it is receiving what it is paying for?

8. What is the cloud servicer’s responsibility to update its security systems as technology and sophistication evolves?

9. What is the cloud provider’s ability to timely detect (i.e., continuously monitor) and respond to a security incident, and what sort of logging information is kept in order to potentially detect anomalous activity?

10. Are there any third party requirements (such as HITECH/HIPAA) that the provider needs to conform to for your industry?

11. Is the cloud service provider that is being considered already approved under the government’s FedRamp authorization process, which pre-approves cloud service providers and their security controls?

12. Finally, does the company’s cyber insurance liability policy cover cloud-based Losses assuming there is a breach and customer records are stolen or otherwise compromised?  This is a very important question to ask, especially if the company involved is going to use a cyber-insurance policy as a risk transfer mechanism. When in doubt, a knowledgeable cyber-insurance broker should be consulted to make sure cloud-based Losses are covered.

High-profile breaches have proven conclusively that cybersecurity is a board issue first and foremost. Being a board member is tough work. Board members have a lot on their plate, including, first and foremost, financial reporting issues. But as high-profile breaches have shown, major cyber breaches have almost the same effect as a high profile accounting problem or restatement. They cause havoc with investors, stock prices, vendors, branding, corporate reputation and consumers. Directors should be ready to ask tough questions regarding cyber security and cloud-based security issues so they do not find themselves on the wrong end of a major data breach, either on the ground or in the cloud. »

Ce que chaque administrateur de sociétés devrait savoir à propos de la sécurité infonuagique


Cet article est basé sur un rapport de recherche de Paul A. Ferrillo, avocat conseil chez Weil, Gotshal & Manges, et de Dave Burg et Aaron Philipp de PricewaterhouseCoopers. Les auteurs présentent une conceptualisation des facteurs infonuagiques (cloud computing) qui influencent les entreprises, en particulier les comportements de leurs administrateurs.

L’article donne une définition du phénomène infonuagique et montre comment les conseils d’administration sont interpellés par les risques que peuvent constituer les cyber-attaques. En fait, la partie la plus intéressante de l’article consiste à mieux comprendre, ce que les auteurs appellent, la « Gouvernance infonuagique » (Cloud Cyber Governance).

L’article propose plusieurs questions critiques que les administrateurs doivent adresser à la direction de l’entreprise. Vous trouverez, ci-dessous, les points saillants de cet article lequel devrait intéresser les administrateurs préoccupés par les aspects de sécurité des opérations infonuagiques. Bonne lecture !

 

Cloud Cyber Security: What Every Director Needs to Know

« There are four competing business propositions affecting most American businesses today. Think of them as four freight trains on different tracks headed for a four-way stop signal at fiber optic speed.

First, with a significant potential for cost savings, American business has adopted cloud computing as an efficient and effective way to manage countless bytes of data from remote locations at costs that would be unheard of if they were forced to store their data on hard servers. According to one report, “In September 2013, International Data Corporation predicted that, between 2013 and 2017, spending on pubic IT cloud computing will experience a compound annual growth of 23.5%.” Another report noted, “By 2014, cloud computing is expected to become a $150 billion industry. And for good reason—whether users are on a desktop computer or mobile device, the cloud provides instant access to data anytime, anywhere there is an Internet connection.”

IMG_20140219_205959

The second freight train is data security. Making your enterprise’s information easier for you to access and analyze also potentially makes it easier for others to do, too. 2013 and 2014 have been the years of “the big data breach,” with millions of personal data and information records stolen by hackers. Respondents to the 2014 Global State of Information Security® Survey reported a 25% increase in detected security incidents over 2012 and a 45% increase compared to 2011. Though larger breaches at global retailers are extremely well known, what is less known is that cloud providers are not immune from attack. Witness the cyber breach against a file sharing cloud provider that was perpetrated by lax password security and which caused a spam attack on its customers. “The message is that cyber criminals, just like legitimate companies, are seeing the ‘business benefits’ of cloud services. Thus, they’re signing up for accounts and reaching sensitive files through these accounts. For the cyber criminals this only takes a run-of-the-mill knowledge level … This is the next step in a new trend … and it will only continue.”

The third freight train is the plaintiff’s litigation bar. Following cyber breach after cyber breach, they are viewing the corporate horizon as rich with opportunities to sue previously unsuspecting companies caught in the middle of a cyber disaster, with no clear way out. They see companies scrambling to contend with major breaches, investor relation delays, and loss of brand and reputation.

The last freight train running towards the intersection of cloud computing and data security is the topic of cyber governance—i.e., what directors should be doing or thinking about to protect their firm’s most critical and valuable IP assets. In our previous article, we noted that though directors are not supposed to be able to predict all potential issues when it comes to cyber security issues, they do have a basic fiduciary duty to oversee the risk management of the enterprise, which includes securing its intellectual property and trade secrets. The purpose of this article is to help directors and officers potentially avoid a freight train collision by helping the “cyber governance train” control the path and destiny of the company. We will discuss basic cloud security principles, and basic questions directors should ask when considering whether or not the data their management desires to run on a cloud-based architecture will be as safe from attack as possible. As usual when dealing with cyber security issues, there are no 100% foolproof answers. Even cloud experts disagree on cloud-based data security practices and their effectiveness] There are only good questions a board can ask to make sure it is fulfilling its duties to shareholders to protect the company’s valuable IP assets.

What is Cloud Computing/What Are Its Basic Platforms

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services). Cloud computing is a disruptive technology that has the potential to enhance collaboration, agility, scaling, and availability, and provides the opportunities for cost reduction through optimized and efficient computing. The cloud model envisages a world where components can be rapidly orchestrated, provisioned, implemented and decommissioned, and scaled up or down to provide an on-demand utility-like model of allocation and consumption.”

Cloud computing is generally based upon three separate and distinct architectures that matter when considering the security of the data sitting in the particular cloud environment.

……

Cloud Cyber Governance

As shown above, what is commonly referred to as the cloud actually can mean many different things depending on the context and use. Using SaaS to manage a customer base has a vastly different set of governance criteria to using IaaS as a development environment. As such, there are very few accepted standards for properly monitoring/administering a cloud-based environment. There are many IT consultants in the cloud-based computing environment that can be consulted in that regard. Our view, however, is that directors are ultimately responsible for enterprise risk management, and that includes cyber security, a subset of which is cloud-based cyber-security. Thus it is important for directors to have a basic understanding of the risks involved in cloud-based data storage systems, and with cloud-based storage providers. Below are a few basic questions that come to mind that a director could pose to management, and the company’s CISO and CIO:

1. Where will your data be stored geographically (which may determine which laws apply to the protection of the company’s data), and in what data centers?

2. Is there any type of customer data co-mingling that could potentially expose the company data to competitors or other parties?

3. What sort of encryption does the cloud-based provider use?

4. What is the vendor’s backup and disaster recovery plan?

5. What is the vendor’s incident response and notification plan?

6. What kind of access will you have to security information on your data stored in the cloud in the event the company needs to respond to a regulatory request or internal investigation?

7. How transparent is the cloud provider’s own security posture? What sort of access can your company get to the cloud provider’s data center and personnel to make sure it is receiving what it is paying for?

8. What is the cloud servicer’s responsibility to update its security systems as technology and sophistication evolves?

9. What is the cloud provider’s ability to timely detect (i.e., continuously monitor) and respond to a security incident, and what sort of logging information is kept in order to potentially detect anomalous activity?

10. Are there any third party requirements (such as HITECH/HIPAA) that the provider needs to conform to for your industry?

11. Is the cloud service provider that is being considered already approved under the government’s FedRamp authorization process, which pre-approves cloud service providers and their security controls?

12. Finally, does the company’s cyber insurance liability policy cover cloud-based Losses assuming there is a breach and customer records are stolen or otherwise compromised?  This is a very important question to ask, especially if the company involved is going to use a cyber-insurance policy as a risk transfer mechanism. When in doubt, a knowledgeable cyber-insurance broker should be consulted to make sure cloud-based Losses are covered.

High-profile breaches have proven conclusively that cybersecurity is a board issue first and foremost. Being a board member is tough work. Board members have a lot on their plate, including, first and foremost, financial reporting issues. But as high-profile breaches have shown, major cyber breaches have almost the same effect as a high profile accounting problem or restatement. They cause havoc with investors, stock prices, vendors, branding, corporate reputation and consumers. Directors should be ready to ask tough questions regarding cyber security and cloud-based security issues so they do not find themselves on the wrong end of a major data breach, either on the ground or in the cloud. »

Résultats de l’enquête portant sur « La gouvernance à l’ère du numérique » **


Les résultats d’une grande enquête ont été dévoilés en primeur aux 125 participants présents au Séminaire Gouvernance Express 2014 tenu le mercredi 19 mars au Sheraton Montréal sous le thème «La gouvernance de sociétés à l’ère du numérique».

Nature de l’enquête

Devant les enjeux associés à la transformation numérique des organisations, le Collège des administrateurs de sociétés (CAS) a lancé, en février dernier, une enquête afin de recueillir des données sur l’impact du numérique dans la gouvernance des sociétés et les effets sur le rôle et les responsabilités des administrateurs.

Méthodologie

Ce sondage a été administré par la firme BIP de Montréal auprès des diplômés de trois collèges de formation en gouvernance de sociétés soit le Directors College (Ontario), l’Institut Français des administrateurs (France) et le Collège des administrateurs de sociétés (Québec). Au total, 319 personnes ont participé à cette enquête, ce qui correspond à un taux de réponse de 20 %. Le questionnaire Web a été élaboré par un comité de travail dirigé par M. René Leclerc, diplômé du CAS, suite à une analyse des études récentes sur ce sujet et à une série d’entrevues effectuées par Expansion Stratégies auprès de dix leaders d’influence et administrateurs de sociétés*.

Le questionnaire regroupait des questions sur sept volets :

  1. le niveau de participation du répondant à des conseils d’administration,
  2. le profil de l’organisation dans laquelle le répondant est le plus impliqué à titre d’administrateur de sociétés,
  3. le degré d’utilisation des technologies numériques au sein du C.A. de cette organisation,
  4. le pourquoi du numérique dans cette organisation,
  5. l’implication du C.A. dans la prise de décisions en matière de numérique dans cette organisation,
  6. la perception du répondant, à titre d’administrateur, face au numérique et finalement,
  7. le profil technologique du répondant.

Sommaire des résultats de l’enquête

Plusieurs résultats très intéressants émanent de ce sondage. D’entrée de jeu, il est important de mentionner que la taille de l’organisation dans laquelle l’administrateur est le plus impliqué est une variable nettement plus significative que le genre ou le pays d’origine lorsque vient le temps de caractériser les perceptions et les comportements des répondants face au numérique.

The Price Building, in the old city of Quebec ...
The Price Building, in the old city of Quebec City. The building is the head office of the Caisse de dépôt et placement du Québec and the official residence of the Premier of Québec (Photo credit: Wikipedia)

Ainsi, il ressort que, parmi les répondants qui agissent à titre d’administrateur au sein d’un C.A. faisant usage de technologies numériques (ou qui l’ont été récemment), 46 % d’entre eux fonctionnent sans papier. Il va sans dire que le taux d’utilisation des plateformes spécialisées par les conseils d’administration a beaucoup augmenté depuis l’arrivée des tablettes.

D’autres résultats percutants : 72 % des répondants actifs au sein d’un C.A. confirment que leur conseil n’a aucun membre possédant une expertise numérique et 56 % affirment que ce conseil s’implique dans les décisions numériques au moins une fois par année. De plus, 59 % de ces répondants affirment que les technologies numériques sont très importantes afin de permettre à leur organisation d`être plus productive, tandis que seulement 27 % de ceux-ci affirment qu’elles sont très importantes pour se démarquer de la concurrence. On remarque aussi que 88 % des répondants se disent personnellement actifs sur LinkedIn tandis que seulement 8 % affirment initier des discussions sur Facebook. Enfin, seulement 49 % des répondants qui sont actifs sur un C.A. affirment que leur conseil se soucie activement de la réputation de l’organisation sur les médiaux sociaux.

Globalement, le sondage montre très clairement que les administrateurs sont devant un paradoxe des temps modernes : ils manient aisément les outils numériques, mais ne se semblent pas se sentir aussi à l’aise envers les stratégies liées au virage numérique qu’envers celles liées aux enjeux habituels de gouvernance. De ce fait, le leadership du virage numérique et bon nombre de décisions qui s’y rattachent sont pris par la direction générale des organisations. Si on veut que les conseils d’administration augmentent leur pouvoir décisionnel ou s’arriment à cette nouvelle réalité, il y aurait lieu de sensibiliser et de former les administrateurs et d’intégrer de nouveaux administrateurs experts dans le numérique, conscients des enjeux qui y sont justement rattachés.

En accord avec les études récentes, le groupe de travail suggère les pistes d’action suivantes aux membres de conseils d’administration :

Prévoir que la concurrence, pour attirer des membres avec expérience numérique, va s’intensifier rapidement;

Bâtir une équipe numérique au CA qui est diversifiée;

N’attendez pas une crise numérique pour adapter le CA;

Effectuer des revues périodiques des enjeux technologiques;

Implanter des revues du portefeuille TI en appui au modèle d’affaires de l’organisation.

________________________________________________

*Le groupe de travail du CAS était formé des personnes suivantes :

Gilles Bernier, ASC, Directeur des programmes, Collège des administrateurs de sociétés

Alain Bolduc, ASC, administrateur de sociétés

Patrick Courtemanche, Vice-Président-Opérations, BIP

Jacques Grysole, Président, Expansion Stratégies, inc.

Lucie Leclerc, Présidente Directrice Générale, BIP

René Leclerc, ASC, Administrateur de sociétés

Dominique Maheux, Conseillère BIP et propriétaire de DataSapiens

À propos du Collège des administrateurs de sociétés

Créé en 2005 grâce à un partenariat entre l’Autorité des marchés financiers, la Caisse de dépôt et placement du Québec, le ministère du Conseil exécutif du Québec et la Faculté des sciences de l’administration de l’Université Laval, le Collège des administrateurs de sociétés se positionne comme leader de la formation des administrateurs et représente le seul programme de certification universitaire en gouvernance de sociétés au Québec. Il contribue au développement et à la promotion de la bonne gouvernance de sociétés en offrant des formations reconnues et à la fine pointe des meilleures pratiques. À ce jour, le CAS a diplômé 590 ASC. Il est possible de consulter leur profil en visitant le www.BanqueAdministrateurs.com.

À propos de BIP

Le Bureau d’Intervieweurs Professionnels (BIP) figure parmi les plus importantes firmes de sondage au Québec. Fondé en 1976 et acquis en 1988 par la présidente actuelle, BIP et son équipe de 150 employés sondent près de 250 000 personnes et organisations au Québec, au Canada et ailleurs dans le monde. L’entreprise offre un service sur mesure ou complet de collecte (téléphonique, en ligne, via son panel, etc.), de traitement de données et d’analyse de recherche, tant pour la clientèle du secteur public que privé. Reconnu pour son savoir-faire dans les mandats complexes et variés, BIP offre une expertise unique et personnalisée. Sa réputation d’excellence depuis plus de 25 ans est fondée sur le respect, la rigueur et le résultat.

À propos d’Expansion Stratégies

Expansion Stratégies inc. est un bureau-conseil fondé en 1997 par Jacques Grysole, MBA. Sa mission est d’aider au développement à court et long terme de ses clients. Une analyse rigoureuse et précise, des plans stratégiques minutieusement préparés, des indicateurs réalistes de performance et un suivi méthodique sont au cœur de cette approche innovante. Expansion Stratégies inc. contribue au succès d’entreprises privées et publiques au Québec et œuvre dans plus de trente pays auprès d’organismes de développement économique et de grandes organisations de développement international. http://www.expansionstrategies.ca

______________________

** En reprise

Enhanced by Zemanta

Résultats de l’enquête portant sur « La gouvernance à l’ère du numérique »


Les résultats d’une grande enquête ont été dévoilés en primeur aux 125 participants présents au Séminaire Gouvernance Express 2014 tenu le mercredi 19 mars au Sheraton Montréal sous le thème «La gouvernance de sociétés à l’ère du numérique».

Nature de l’enquête

Devant les enjeux associés à la transformation numérique des organisations, le Collège des administrateurs de sociétés (CAS) a lancé, en février dernier, une enquête afin de recueillir des données sur l’impact du numérique dans la gouvernance des sociétés et les effets sur le rôle et les responsabilités des administrateurs.

Méthodologie

Ce sondage a été administré par la firme BIP de Montréal auprès des diplômés de trois collèges de formation en gouvernance de sociétés soit le Directors College (Ontario), l’Institut Français des administrateurs (France) et le Collège des administrateurs de sociétés (Québec). Au total, 319 personnes ont participé à cette enquête, ce qui correspond à un taux de réponse de 20 %. Le questionnaire Web a été élaboré par un comité de travail dirigé par M. René Leclerc, diplômé du CAS, suite à une analyse des études récentes sur ce sujet et à une série d’entrevues effectuées par Expansion Stratégies auprès de dix leaders d’influence et administrateurs de sociétés*.

Le questionnaire regroupait des questions sur sept volets :

  1. le niveau de participation du répondant à des conseils d’administration,
  2. le profil de l’organisation dans laquelle le répondant est le plus impliqué à titre d’administrateur de sociétés,
  3. le degré d’utilisation des technologies numériques au sein du C.A. de cette organisation,
  4. le pourquoi du numérique dans cette organisation,
  5. l’implication du C.A. dans la prise de décisions en matière de numérique dans cette organisation,
  6. la perception du répondant, à titre d’administrateur, face au numérique et finalement,
  7. le profil technologique du répondant.

Sommaire des résultats de l’enquête

Plusieurs résultats très intéressants émanent de ce sondage. D’entrée de jeu, il est important de mentionner que la taille de l’organisation dans laquelle l’administrateur est le plus impliqué est une variable nettement plus significative que le genre ou le pays d’origine lorsque vient le temps de caractériser les perceptions et les comportements des répondants face au numérique.

The Price Building, in the old city of Quebec ...
The Price Building, in the old city of Quebec City. The building is the head office of the Caisse de dépôt et placement du Québec and the official residence of the Premier of Québec (Photo credit: Wikipedia)

Ainsi, il ressort que, parmi les répondants qui agissent à titre d’administrateur au sein d’un C.A. faisant usage de technologies numériques (ou qui l’ont été récemment), 46 % d’entre eux fonctionnent sans papier. Il va sans dire que le taux d’utilisation des plateformes spécialisées par les conseils d’administration a beaucoup augmenté depuis l’arrivée des tablettes.

D’autres résultats percutants : 72 % des répondants actifs au sein d’un C.A. confirment que leur conseil n’a aucun membre possédant une expertise numérique et 56 % affirment que ce conseil s’implique dans les décisions numériques au moins une fois par année. De plus, 59 % de ces répondants affirment que les technologies numériques sont très importantes afin de permettre à leur organisation d`être plus productive, tandis que seulement 27 % de ceux-ci affirment qu’elles sont très importantes pour se démarquer de la concurrence. On remarque aussi que 88 % des répondants se disent personnellement actifs sur LinkedIn tandis que seulement 8 % affirment initier des discussions sur Facebook. Enfin, seulement 49 % des répondants qui sont actifs sur un C.A. affirment que leur conseil se soucie activement de la réputation de l’organisation sur les médiaux sociaux.

Globalement, le sondage montre très clairement que les administrateurs sont devant un paradoxe des temps modernes : ils manient aisément les outils numériques, mais ne se semblent pas se sentir aussi à l’aise envers les stratégies liées au virage numérique qu’envers celles liées aux enjeux habituels de gouvernance. De ce fait, le leadership du virage numérique et bon nombre de décisions qui s’y rattachent sont pris par la direction générale des organisations. Si on veut que les conseils d’administration augmentent leur pouvoir décisionnel ou s’arriment à cette nouvelle réalité, il y aurait lieu de sensibiliser et de former les administrateurs et d’intégrer de nouveaux administrateurs experts dans le numérique, conscients des enjeux qui y sont justement rattachés.

En accord avec les études récentes, le groupe de travail suggère les pistes d’action suivantes aux membres de conseils d’administration :

Prévoir que la concurrence, pour attirer des membres avec expérience numérique, va s’intensifier rapidement;

Bâtir une équipe numérique au CA qui est diversifiée;

N’attendez pas une crise numérique pour adapter le CA;

Effectuer des revues périodiques des enjeux technologiques;

Implanter des revues du portefeuille TI en appui au modèle d’affaires de l’organisation.

________________________________________________

*Le groupe de travail du CAS était formé des personnes suivantes :

Gilles Bernier, ASC, Directeur des programmes, Collège des administrateurs de sociétés

Alain Bolduc, ASC, administrateur de sociétés

Patrick Courtemanche, Vice-Président-Opérations, BIP

Jacques Grysole, Président, Expansion Stratégies, inc.

Lucie Leclerc, Présidente Directrice Générale, BIP

René Leclerc, ASC, Administrateur de sociétés

Dominique Maheux, Conseillère BIP et propriétaire de DataSapiens

À propos du Collège des administrateurs de sociétés

Créé en 2005 grâce à un partenariat entre l’Autorité des marchés financiers, la Caisse de dépôt et placement du Québec, le ministère du Conseil exécutif du Québec et la Faculté des sciences de l’administration de l’Université Laval, le Collège des administrateurs de sociétés se positionne comme leader de la formation des administrateurs et représente le seul programme de certification universitaire en gouvernance de sociétés au Québec. Il contribue au développement et à la promotion de la bonne gouvernance de sociétés en offrant des formations reconnues et à la fine pointe des meilleures pratiques. À ce jour, le CAS a diplômé 590 ASC. Il est possible de consulter leur profil en visitant le www.BanqueAdministrateurs.com.

À propos de BIP

Le Bureau d’Intervieweurs Professionnels (BIP) figure parmi les plus importantes firmes de sondage au Québec. Fondé en 1976 et acquis en 1988 par la présidente actuelle, BIP et son équipe de 150 employés sondent près de 250 000 personnes et organisations au Québec, au Canada et ailleurs dans le monde. L’entreprise offre un service sur mesure ou complet de collecte (téléphonique, en ligne, via son panel, etc.), de traitement de données et d’analyse de recherche, tant pour la clientèle du secteur public que privé. Reconnu pour son savoir-faire dans les mandats complexes et variés, BIP offre une expertise unique et personnalisée. Sa réputation d’excellence depuis plus de 25 ans est fondée sur le respect, la rigueur et le résultat.

À propos d’Expansion Stratégies

Expansion Stratégies inc. est un bureau-conseil fondé en 1997 par Jacques Grysole, MBA. Sa mission est d’aider au développement à court et long terme de ses clients. Une analyse rigoureuse et précise, des plans stratégiques minutieusement préparés, des indicateurs réalistes de performance et un suivi méthodique sont au cœur de cette approche innovante. Expansion Stratégies inc. contribue au succès d’entreprises privées et publiques au Québec et œuvre dans plus de trente pays auprès d’organismes de développement économique et de grandes organisations de développement international. http://www.expansionstrategies.ca

Enhanced by Zemanta

Le rôle accru du C.A. dans la gouvernance des projets en TI


Voici un court article paru dans Agile IT Governance  (IT Governance for Board Members) qui réfère à une étude de McKinsey sur les stratégies d’affaires à adopter en matière de technologie de l’information (TI). Il est clair que les membres de conseils d’administration (C.A.) sont de plus en plus sollicités sur ces questions et qu’ils doivent être en mesure d’évaluer les risques liés à l’acquisition et la mise en oeuvre des projets en TI. Comme vous le verrez ci-dessous, dans l’extrait de l’article, il y a des situations qui exigent une très forte implication des Boards. Pour plus d’information, vous pouvez télécharger le rapport de McKinsey.

A McKinsey survey on information technology strategy and spending affirms the importance of IT for business success. Respondents are aware of the risks from information-and technology-based disruptions. They realize that information and technology capabilities are fundamental to improve their business performance and competitive advantage. More companies are gaining competitive advantage by leveraging information technology for their benefit. But with progress also come some risks. Board members increasingly recognize they need to actively oversee such risks.

There are some situations where the board expressly needs to consider getting involved in IT oversight. These situations are where:

  • Information technology is an integral part of the company’s services
  • The company has a strategic program to capitalize on emerging technologies
  • The company is executing a major technology implementation project with a long installation period and significant costs
  • The company stores highly confidential information about customers or stakeholders
  • The company has international operations with separate technology systems

Capsules d’experts en gouvernance du CAS


Le Collège des administrateurs de sociétés est fier de présenter sa première série « Capsules d’experts » formée de huit entrevues vidéo. Huit experts du Collège partagent une réflexion le temps de 2 à 3 minutes en se prononçant sur des sujets d’actualité en gouvernance. Les deux premières capsules sont maintenant en ligne; ayant pour thèmes « La gouvernance » et « Les technologies de l’information ». Dans les prochaines semaines, le Collège dévoilera deux capsules par semaine.
 
Dans la première capsule « La gouvernance », notre expert, M. Gilles Paquet, explique comment la gouvernance est une façon de résoudre un problème qui s’appelle la coordination. Dans la deuxième capsule « Les technologies de l’information », notre experte, Mme Paule-Anne Morin, explique comment un projet d’investissement en technologies de l’information concerne nécessairement le conseil d’administration d’une entreprise.
 
 
Visionnez ces capsules :
 
 
 

Vers un Board sans papier !


Read the last issue of Corporate Board Member magazine on boardmember.comVers un Board sans papier ! boardmember.com

“Directors no longer like having to carry thick manuals of paper documents, and

Image representing iPad as depicted in CrunchBase
Image via CrunchBase

 there are better graphics on the iPad versus paper copies, along with the ease of making notes and annotations,” Thompson says. “Plus, it was so much easier for management to make updates via the portal versus having to hand out updated hard copies to the board at our meeting.

“I also like how easy it is to synch documents and document updates into the ‘briefcase’ and take them with you on board the plane for reading—there’s no need for an ongoing Internet connection,” he continues. “And the pushpins are a big plus in getting back to reading where I left off or to key pages of interest.”

Advocates of board portals point to the seamless ability to prepare documents online, eliminating the back-and-forth process of making changes, securing approvals, and managing addendums. Agendas and calendars are easily updated and information can be shared interactively between meetings, including the ability to handle written consents and conduct director questionnaires. In addition, absent directors can access meetings online, and emergency meetings can be held virtually with videoconferencing capabilities.

L’impact phénoménal des TI sur le management des entreprises


Cet article de Forbes est percutant. L’auteur montre les conséquences inévitables de l’impact des réseaux sociaux sur le management des entreprises. À lire attentivement avec un bon café…

Civilizations have clashed in an unexpected way this year, as ordinary people using Facebook and Twitter knocked down dictators in Tunisia, Egypt and Libya—and are threatening absolute rule in Syria. A so-called Arab spring…