Communication efficace du conseil d’Administration pour les CISOs
Connaissez votre conseil d’administration
Si vous êtes un CISO, votre conseil d’administration sait généralement qui vous êtes et ce que vous faites. Mais savez-vous qui ils sont? Aucun conseil d’administration n’est monolithique. Chaque membre du conseil apporte une valeur unique au conseil. Chacun est sélectionné pour ce qu’il apporte à la perspective, à la vision et aux décisions du conseil. Si vous connaissez votre conseil d’administration, vous pouvez adapter votre message à votre public et éviter certaines surprises potentielles.
Commencez par vous demander qui sont les membres de votre Conseil d’administration. Quelles sont leurs compétences, leurs forces et leurs domaines d’intérêt ou de préoccupation particuliers? Apprenez leurs priorités et leurs objectifs, car ce qui est important pour chacun d’eux sera probablement important pour l’ensemble du Conseil d’administration, et ce qui est important pour votre Conseil d’administration est la définition la plus pure de ce qui importe pour votre organisation.
Il y a d’autres considérations. Si les membres du Conseil d’administration siègent également au sein des conseils d’autres organisations, comment ces relations peuvent-elles se connecter à votre organisation? Sont-ils des spécialistes dans un secteur ou une verticale particulière? Exercent-ils une fonction spécifique dans un département comme les finances, l’informatique ou les opérations?
Si les membres de votre conseil d’administration ne siègent pas à d’autres conseils, ils peuvent participer au conseil exécutif d’une autre organisation et, en fait, c’est peut-être la raison principale pour laquelle ils ont été choisis pour votre conseil d’administration. Renseignez-vous autant que possible sur vos membres du conseil. Plus vous en saurez, plus vous vous sentirez à l’aise pour communiquer avec eux.
Il peut ne pas être important de savoir si les membres du conseil d’administration ont des connaissances ou de l’expérience en matière de cybersécurité. Certainement, toute personne occupant un poste de direction de quelque nature que ce soit a beaucoup appris jusqu’à présent sur la cybersécurité. Les organisations discutent et apprennent des autres organisations leurs points douloureux et peut-être aussi leurs incidents de cybersécurité.
Cependant, il est possible qu’un ou plusieurs membres de votre conseil d’administration aient des connaissances formelles en cybersécurité. Peut-être ont-ils occupé des postes liés à la technologie ou dans une organisation technologique. Peut-être que leurs intérêts personnels se situent dans des domaines techniques, ce qui présente ses avantages et ses inconvénients. Comme le dit le cliché, la connaissance peut être une arme à double tranchant, et un peu de connaissance peut être plus problématique que l’absence de connaissance. Soyez prêt à faire face à cette possibilité.
Commencez par vous demander qui sont les membres de votre conseil d’Administration?
Vous devriez également comprendre la composition de votre conseil d’administration. Comment est-il organisé ? Le président est-il un administrateur indépendant dont la seule association avec l’organisation est sa participation au conseil, ou est-il un employé de l’organisation, par exemple le PDG ?
Le conseil d’administration s’est probablement organisé selon les domaines organisationnels : les finances, la gouvernance et la rémunération sont des comités typiques de la plupart des conseils d’administration. D’autres comités et les plus importants pour un CISO (Chief Information Security Officer) sont les comités des risques et de l’audit. Certains conseils d’administration ont même créé un sous-comité des risques et de l’audit dédié à la cybersécurité.
Indépendamment de la place qu’occupe la cybersécurité en tant que domaine constitutif parmi les comités du conseil d’administration de l’organisation, il est probable que la surveillance de la cybersécurité ait été confiée à une fonction du conseil d’administration ou à un ou plusieurs de ses membres. Étant donné votre rôle de CISO et le risque potentiel que représentent les cybermenaces pour votre organisation, ce niveau d’intérêt et d’implication est probablement bénéfique pour votre mission.
Comprendre les priorités de votre conseil d’administration
Votre conseil d’administration se concentre sur les éléments clés qui peuvent guider le succès de l’organisation ou résoudre tout échec ou faiblesse. Pour la plupart des conseils d’administration, les domaines d’intérêt primordiaux sont la réputation organisationnelle, l’éthique et l’intégrité, ainsi que la conformité réglementaire.
Tous les conseils d’administration sont, par définition, stratégiques. C’est-à-dire qu’ils se concentrent sur le tableau d’ensemble. Ils planifient l’avenir de l’organisation. Ils se soucient de savoir si l’organisation exécute ses objectifs commerciaux. Ils se soucient de savoir si l’organisation mesure sa performance et comprend comment des mesures pertinentes et utiles peuvent informer la stratégie organisationnelle.
Les conseils d’administration se soucient également de la manière dont la performance et les priorités de votre organisation se comparent à celles d’autres organisations similaires. Le benchmarking est toujours une activité utile pour les responsables de la sécurité des systèmes d’information (RSSI), et les conseils d’administration s’appuient souvent sur le benchmarking comme moyen de mesurer les plans et la performance d’une organisation. Cela doit faire partie de la stratégie de gestion des risques cybernétiques d’un RSSI.
Communiquer avec votre conseil d’administration avec un objectif précis
Vous pouvez ou non entrer en contact directement avec votre conseil d’administration. Si vous pensez avoir un problème ou des informations qui devraient être portées à l’attention du conseil d’administration, présentez-les à votre responsable et, directement ou indirectement, à votre PDG. Votre PDG décidera de ce qui doit ou ne doit pas être présenté au conseil d’administration. Vous ne parlerez au conseil d’administration qu’avec l’approbation de votre PDG.
Essayer de contourner votre équipe de direction ou votre PDG pour parler directement à tout le conseil d’administration ou à des membres individuels du conseil est toujours une mauvaise idée, quelle que soit l’urgence de la situation. Évitez de déclencher une alarme et d’exiger d’être entendu par votre conseil d’administration.
Les dommages collatéraux à votre mission – et à votre réputation au sein de l’organisation – peuvent devenir irréparables. Votre conseil d’administration se soucie de nombreux problèmes, et les problèmes de cybersécurité ne sont qu’un sous-ensemble. Travaillez au sein du système établi et soulevez les préoccupations dans ce cadre.
Si on vous demande de parler à votre conseil d’administration, il est probable qu’ils s’intéressent à quelque chose de très spécifique – une mise à jour sur un incident cybernétique, ou la résilience relative de votre organisation par rapport à un incident cybernétique récemment médiatisé dans une autre organisation.
Ou bien, ils peuvent être intéressés par une mise à jour générale sur les projets et programmes de cybersécurité de l’organisation. Ils ne seront pas nécessairement intéressés par ce que vous pensez être important, mais ils seront probablement désireux de savoir ce qu’ils devraient considérer comme important.
Dites-leur tout ce que vous pensez qu’ils ont besoin de savoir.
Si vous vous adressez à votre conseil d’administration, ou à l’un de ses sous-comités, dites-leur tout ce que vous pensez qu’ils doivent savoir. Informez-les, enseignez-leur, enrichissez-les et guidez-les.
Parlez-leur de vos principaux projets de cybersécurité actuels et de vos futures initiatives. Parlez-leur de vos évaluations des risques et de votre position actuelle face aux risques.
Expliquez-leur la maturité de votre programme de cybersécurité et comment votre programme se situe par rapport aux exercices de référence.
Expliquez-leur comment votre programme de cybersécurité peut générer des avantages pour l’entreprise ou d’autres avantages commerciaux.
Dites-leur tout cela si le temps le permet. Vous disposerez d’environ 10 minutes. Attendez-vous à des interruptions.
Votre conseil d’administration peut poser des questions sur un certain nombre de sujets. Par exemple,
- Avons-nous eu des incidents ?
- Exécutons-nous le plan ?
- Quels sont nos risques ?
- Comment nous comparons-nous à nos pairs?
- Comment abordons-nous les tiers et les risques cybernétiques de la chaîne d’approvisionnement?
- Comment notre programme de cybersécurité s’intègre-t-il et soutient-il les initiatives informatiques et opérationnelles de l’organisation, par exemple la transformation numérique ou l’excellence opérationnelle?
Ne surprenez jamais votre direction avec un sujet ou un problème dont le président ou votre PDG n’est pas au courant.
Commencez toujours par préparer le président ou le PDG de votre conseil d’administration. Fournissez des documents préalables. Des rapports annuels tels que le “Rapport sur le coût des violations de données” d’IBM et du Ponemon Institute et le “Rapport d’enquête sur les violations de données” de Verizon sont des exemples de documents à fournir en préparation.
Les bonnes pratiques en matière de cybersécurité et Les 5 principales préoccupations en matière de cybersécurité pour les cadres supérieurs sont des lectures intéressantes pour presque tous les cadres supérieurs.
Ne surprenez jamais votre direction avec un sujet ou un problème dont le président ou votre PDG n’est pas au courant. Bien que cela soit rare, certains membres du conseil peuvent demander des conversations en privé, mais ces conversations ne doivent jamais avoir lieu à moins que le président ou le PDG ne soit au courant de la demande et n’ait approuvé votre participation à l’avance.
Le rôle de votre conseil d’administration en matière de cybersécurité peut être déterminant. Les conseils d’administration et la direction supérieure donnent le ton pour un programme de cybersécurité de qualité. Un leadership de haut en bas est essentiel. Oui, le comportement des utilisateurs est crucial pour tout programme de cybersécurité et vous avez besoin d’une participation de bas en haut, mais votre mission est définie aux niveaux les plus élevés de votre organisation.
Informe à votre conseil d’administration de ce qu’ils ont besoin de savoir
Si votre organisation est une entreprise publique, le conseil d’administration peut être très intéressé par les mêmes informations que la SEC exige de toutes les organisations publiques dans leurs dépôts publics. Ils seront intéressés par les principaux facteurs de risque plutôt que par les détails de vos programmes de gestion des vulnérabilités ou de détection et de réponse. Ils ne voudront entendre parler de vos attentes de base en matière d’hygiène que si l’état actuel de votre organisation diffère considérablement du plan de manière à avoir des implications de risque sérieuses.
Dans toute communication avec votre conseil d’administration, soyez cohérent dans l’expression et l’explication de la vision à long terme, de la perspective stratégique et non seulement d’un point particulier dans le temps, même si ce moment est fortement impacté par un événement actuel.
Par exemple, certaines organisations pendant la pandémie de COVID ont renforcé leur vigilance en matière de cybersécurité pour accorder une attention particulière au travail à distance et aux outils de collaboration en ligne. D’autres organisations ont ralenti ou suspendu certains programmes de cybersécurité en raison de contraintes financières ou d’autres facteurs impactants. Il s’agit de clichés de votre programme actuel de cybersécurité.
Quelles sont les implications à long terme, le cas échéant ? Rappelez-vous: un programme de cybersécurité ne concerne pas seulement une bonne défense ; il s’agit plutôt des capacités d’une organisation à être résiliente face aux cyberattaques, de sa capacité à survivre et à résister aux impacts les plus graves de toute tempête.
“Dans toute communication avec votre conseil d’administration, soyez cohérent dans l’expression et l’explication de la vision à long terme, de la perspective stratégique, et pas seulement d’un point particulier dans le temps.”
Dans l’ensemble, votre conseil d’administration doit savoir si votre organisation est sécurisée sur le plan cybernétique. Votre programme identifie-t-il les risques, les mesure-t-il en fonction de leur probabilité et de leur impact, et prend-il des décisions intelligentes en matière de dépenses, d’efforts et de focalisation?
Possède-t-il un programme d’amélioration continue et d’amélioration? Comprend-il ce que signifie être conforme aux régimes réglementaires? Ce ne sont pas des questions difficiles auxquelles un CISO peut répondre, mais il faut de la tactique et de la précaution pour y répondre de manière à ce que votre conseil les comprenne, les apprécie et les accepte. Exprimez-vous avec clarté, pertinence et confiance pour instaurer la confiance parmi les dirigeants que vous faites les bonnes choses de la bonne manière. Vous, votre conseil d’administration et votre organisation s’en porteront mieux.
Ressources supplémentaires
- Rapport Évaluez votre confidentialité et votre conformité en matière de communications sensibles
- Article de blog Qu’est-ce qu’un réseau de contenu privé?
- Article de blog Kiteworks utilise son propre réseau de contenu privé
- Article de blogQu’est-ce qu’un rapport de type SOC?
- GlossaireGestion des risques de sécurité informatique
- Article de blogSécurité informatique et gouvernance
- GlossaireGestion des risques en cybersécurité
- Article de blogQu’est-ce que la conformité PCI DSS pour les e-mails?