Pourquoi une violation de la sécurité des données est-elle un problème pour le conseil d'administration ?
Publié le: 4 Mai 2021
Dernière modification le: 24 Juil 2025
Les violations de la sécurité des données ont depuis longtemps quitté le domaine du département informatique pour s’asseoir fermement à la table du conseil d’administration : En 2018, British Airways a été victime d’une violation de la cybersécurité qui a entraîné le vol de données personnelles et financières de clients. Les conséquences ont été considérables. En plus d’une amende de 20 millions de livres sterling infligée par l’Information Commissioner’s Office (ICO) du Royaume-Uni, un recours collectif pourrait finir par coûter des milliards de livres à l’entreprise. Ce niveau de coût financier se situe directement au niveau du conseil d’administration.
Mais les violations de données n’entraînent pas seulement des pertes financières. Les clients, les employés, les opérations et les fournisseurs de l’entreprise sont tous potentiellement touchés. L’état de la sécurité est tel qu’elle est désormais considérée comme un élément essentiel de l’activité de l’entreprise. Les membres du conseil d’administration doivent être conscients des conséquences d’une violation de la sécurité et être prêts à prendre des mesures positives.
Ce qu’un conseil d’administration doit savoir sur l’impact d’une violation de la sécurité des données
Les membres du conseil d’administration ont un devoir de diligence envers l’entreprise et ses actionnaires. Ils doivent notamment veiller à ce que l’entreprise se protège contre les menaces, qu’elles soient malveillantes ou accidentelles. Au Royaume-Uni, les obligations fiduciaires des administrateurs sont définies dans la loi sur les sociétés de 2006, qui précise qu’ils doivent « promouvoir le succès de la société » et « faire preuve d’un soin, d’une compétence et d’une diligence raisonnables dans l’exercice de leurs fonctions » ; les cyber-risques et la réponse à ces menaces s’inscrivent parfaitement dans le cadre de ce devoir de diligence. Les types d’impact qu’une cyber-attaque peut avoir sont détaillés ci-dessous, chacun pouvant avoir des effets considérables sur le succès continu d’une entreprise :
Le moral des employés
Les entreprises fonctionnent mieux avec des personnes heureuses et efficaces. Si le moral est bas, la productivité chute. Un rapport de Carbonite, qui étudie l’impact d’une violation de données sur les employés, montre clairement que le moral du personnel en prend un coup après une violation :
- 25 % des salariés ressentent un impact sur leur équilibre entre vie professionnelle et vie privée
- 24% des employés ont connu une baisse de moral au bureau
- 15 % des entreprises ont licencié des employés ou ont procédé à des licenciements après la violation.
- 11 % des entreprises ont vu des employés démissionner après une violation
Prix de l’action
Les administrateurs sont contraints de veiller à ce que le nombre d’actions reste élevé pour conserver la confiance des actionnaires. Cependant, il est prouvé que les violations de données ont un impact négatif sur les actions. L’une des preuves les plus flagrantes en est la chute des actions d’Equifax à la suite de la violation de données de l’entreprise en 2017, qui ont chuté de plus de 30 % au total avant de se redresser.
Une étude menée par Comparitech sur plusieurs années montre que l’impact sur le cours des actions est courant. L’étude a porté sur des sociétés cotées à la Bourse de New York et a révélé que les prix des actions ont baissé de 3,5 % en moyenne et que les performances du NASDAQ ont été inférieures de 3,5 %.
Conformité et amendes
Les réglementations relatives à la confidentialité et à la protection des données sont souvent assorties de lourdes amendes en cas de non-respect. Deux exemples d’entreprises britanniques qui ont été condamnées à des amendes en vertu du règlement général sur la protection des données (RGPD) de l’UE illustrent les coûts de la non-conformité :
Entreprise : Ticketmaster
Amende : 1,4 million d’euros (1,2 million de livres sterling)
Pourquoi : Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l’information
Société Marriott International, Inc
Amende : 20,5 millions d’euros (17,8 millions de livres sterling)
Pourquoi : Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l’information
Rien qu’en 2020, les amendes liées au GDPR ont augmenté de 19 %, avec un total de 332,4 millions de dollars d’amendes émises depuis l’entrée en vigueur de la loi en 2018.
Perte de réputation et de clientèle
Un rapport de Lloyds et KPMG sur la protection des actifs incorporels a révélé qu’au cours des 10 à 15 dernières années, 80 % des actifs des entreprises pouvaient être décrits comme incorporels – ce qui inclut la marque, les artefacts de la propriété intellectuelle et les services basés sur la technologie. Cependant, l’un des résultats les plus difficiles à quantifier d’une fuite ou d’une violation de données est l’impact sur la réputation et la perte de clients. Dans ce contexte, une enquête de PwC a révélé que 87 % des consommateurs ont déclaré qu’ils feraient affaire ailleurs si une entreprise était victime d’une violation de données.
Licenciements d’employés et de cadres supérieurs
En fin de compte, une violation peut entraîner une perte de compétences et de connaissances. Un rapport de Radware sur l’état de la sécurité des applications Web montre que 23 % des entreprises ont licencié des cadres après une violation. La violation de données d’Equifax en 2017 en est un exemple. L’entreprise de l’époque Le DSI a été condamné à une amende de 55 000 dollars et à une peine de prison de 4 mois pour avoir commis un délit d’initié avant que le public ne soit informé de la violation.
Coûts d’immobilisation
Les atteintes à la sécurité des données ont un impact considérable sur l’ensemble de l’entreprise. Les conséquences d’une atteinte à la sécurité des données mentionnées ci-dessus n’incluent pas les autres domaines touchés, tels que les temps d’arrêt et la perte de propriété intellectuelle ou d’informations sensibles de l’entreprise : Datto a étudié les coûts des temps d’arrêt après une atteinte à la cybersécurité et a constaté qu’ils avaient augmenté de 486 % entre 2018 et 2020.
L’impact d’une violation de données sur un conseil d’administration
Une culture de la sécurité promue par un ton au sommet: La cybersécurité relève de la responsabilité de l’ensemble de l’organisation, du conseil d’administration à l’employé en passant par le consultant tiers et au-delà. Aucun individu, qu’il s’agisse d’une équipe informatique ou d’un analyste de sécurité, ne peut faire face seul aux menaces de cybersécurité. Un conseil d’administration qui adopte une position solide et saine en matière de sécurité prend son ton au sommet de la hiérarchie. Lorsqu’un conseil d’administration prend la cybersécurité au sérieux, il se crée une culture de la sécurité qui s’étend à l’ensemble de l’organisation. Cette culture est la pierre angulaire de la sensibilisation à la cybersécurité dans l’ensemble du réseau de l’entreprise.
Les données sont précieuses : Les données et le risque d’exposition aux données constituent un aspect essentiel de la surveillance exercée par le conseil d’administration. Les violations de données sont coûteuses : le coût moyen d’une violation de données au Royaume-Uni est de 2,8 millions de livres sterling (3,9 millions de dollars).
Manque de formation à la cybersécurité au niveau des conseils d’administration : La connaissance de la cybersécurité peut être un problème pour un conseil d’administration. Les membres du conseil d’administration sont rarement issus du milieu de la sécurité. Cependant, les membres du conseil d’administration devraient suivre une formation de sensibilisation à la sécurité, au même titre que le reste du personnel de l’organisation. La formation doit être pertinente et adaptée à leur rôle en tant que membres du conseil d’administration, plutôt que d’adopter une approche unique. Les employés de l’entreprise qui possèdent des compétences en matière de cybersécurité et d’excellentes aptitudes à la communication peuvent être employés pour aider à former les membres du conseil d’administration.
Impact des violations de données sur le cours des actions : Les membres du conseil d’administration ont donc le devoir de comprendre les implications des violations de données sur la valeur actionnariale.
Approbation des politiques : les politiques de cybersécurité, dont certaines peuvent concerner des informations sensibles de l’entreprise, sont un élément fondamental de la stratégie de sécurité à l’échelle de l’entreprise qui doit être reconnue et éventuellement approuvée par le conseil d’administration ou l’un de ses membres.
Un sens collectif des responsabilités: L’équipe dirigeante doit mener la charge contre les cyberattaques. La suite C et le conseil d’administration peuvent encourager et promouvoir un sens des responsabilités partagé qui s’étend également à la prise de conscience de l’exposition accidentelle de données et des simples erreurs de sécurité qui peuvent exposer une organisation à un risque accru.
Tous pour la responsabilité : L’organisation et les individus qui la composent sont responsables de l’hygiène en matière de cybersécurité. La culture de la sensibilisation à la cybersécurité, promue par le conseil d’administration, contribue à façonner la formation nécessaire pour garantir l’adhésion de tous à l’hygiène de la sécurité.
S’engager dans la prévention des violations de données
Selon un rapport de Grant Thornton, 73 % des entreprises ont déclaré avoir perdu environ 25 % de leur chiffre d’affaires à la suite d’une cyberattaque. Rien que pour cette raison, la cybersécurité a toute sa place dans la salle du conseil d’administration. Une cyberattaque a des répercussions majeures sur tous les aspects d’une organisation. Le conseil d’administration joue un rôle essentiel en contribuant à la mise en place d’un dispositif de sécurité solide et en veillant à ce qu’un budget soit disponible pour mettre en place les mesures de sécurité et les formations de sensibilisation adéquates.
Les suites d’une violation de données peuvent avoir des conséquences désastreuses pour les organisations et il y a inévitablement un jeu de blâme qui suit tout cyber-incident. Notre prochain webcast intitulé « The Data Breach Blame Game : Employés ou employeurs ? », le 27 mai à 15h BST, aborde le sujet de plus en plus complexe de la responsabilité et de qui est responsable lorsqu’une faille se produit.