Les violations de la sécurité des données ont depuis longtemps quitté le domaine du département informatique pour s'asseoir fermement à la table du conseil d'administration : En 2018, British Airways a subi une violation de cybersécurité qui a entraîné le vol de données personnelles et financières de clients. Le résultat a été lourd de conséquences. En plus d'une amende de 20 millions de livres sterling infligée par le bureau du commissaire à l'information du Royaume-Uni (ICO), une action collective pourrait finir par coûter des milliards de livres à l'entreprise. Ce niveau de coût financier se situe carrément au niveau du conseil d'administration.
Mais les violations de données n'entraînent pas seulement des pertes financières. Les clients, les employés, les opérations et les fournisseurs de l'entreprise sont tous potentiellement affectés. L'état de la sécurité est tel qu'il s'est désormais hissé au sommet de l'entreprise en tant que considération commerciale essentielle. Les membres du conseil d'administration doivent être conscients des implications d'une violation de la sécurité et être prêts à prendre des mesures positives.
Ce qu'un conseil d'administration doit savoir sur l'impact d'une violation de la sécurité des données
Les membres du conseil d'administration ont un devoir de diligence envers la société et ses actionnaires. Ils doivent également veiller à ce que la société se protège contre les menaces, qu'elles soient malveillantes ou accidentelles. Au Royaume-Uni, les obligations fiduciaires des administrateurs sont définies dans la loi sur les sociétés de 2006, qui précise qu'ils doivent "promouvoir le succès de la société" et "faire preuve d'un soin, d'une compétence et d'une diligence raisonnables dans l'exercice de leurs fonctions" ; les cyberrisques et la réponse à ces menaces s'inscrivent parfaitement dans le cadre de cette obligation de diligence. Les types d'impact qu'une cyber-attaque peut avoir sont détaillés ci-dessous, chacun pouvant avoir des effets considérables sur le succès continu d'une entreprise :
Le moral des employés
Les entreprises fonctionnent mieux avec des personnes heureuses et efficaces. Si le moral est bas, la productivité chute. Un rapport de Carbonite, qui étudie l'impact d'une violation de données sur les employés, montre clairement que le moral du personnel en prend un coup après une violation :
- 25 % des employés constatent un impact sur leur équilibre entre vie professionnelle et vie privée.
- 24 % des employés ont connu une baisse du moral au bureau.
- 15 % des entreprises ont licencié des employés ou les ont mis à pied, après l'intrusion.
- 11 % des entreprises ont vu des employés démissionner après une violation
Cours de l'action
Les directeurs de conseil d'administration sont sous pression pour s'assurer que les parts sociales restent élevées afin de conserver la confiance des actionnaires. Cependant, il est prouvé que les violations de données ont un impact négatif sur les actions. L'une des preuves les plus flagrantes de ce phénomène a été la chute de l'action Equifax à la suite de la violation de données de la société en 2017, qui a perdu plus de 30 % au total avant de se redresser.
Lesrecherches de Comparitech, menées sur plusieurs années, montrent que les impacts sur le prix des actions sont courants. La recherche a porté sur des sociétés cotées à la Bourse de New York et a révélé que le prix des actions a baissé de -3,5 % en moyenne et que le NASDAQ a enregistré une sous-performance de -3,5 %.
Conformité et amendes
Les réglementations autour de la confidentialité et de la protection des données sont souvent assorties de lourdes amendes en cas de non-conformité. Deux exemples d'entreprises britanniques qui ont été condamnées à des amendes en vertu du règlement général sur la protection des données (RGPD) de l'UE illustrent le coût de la non-conformité :
Société : Ticketmaster
Amende : 1,4 million d'euros (1,2 million de livres sterling)
Pourquoi : Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
Société Marriott International, Inc.
Amende : 20,5 millions d'euros (17,8 millions de livres sterling)
Pourquoi : Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
Rien qu'en 2020, les amendes liées au GDPR ont augmenté de 19 %, avec un total de 332,4 millions de dollars d'amendes émises depuis la promulgation de la loi en 2018.
Pertes de réputation et de clientèle
Un rapport de Lloyds et de KPMG sur la protection des actifs incorporels a révélé qu'au cours des 10 à 15 dernières années, 80 % des actifs des entreprises peuvent être décrits comme incorporels, ce qui inclut les marques, les artefacts de propriété intellectuelle et les services axés sur la technologie. Cependant, l'une des conséquences les plus difficiles à quantifier d'une fuite ou d'une violation de données est l'impact sur la réputation et la perte de clientèle. Pour replacer cela dans son contexte, une enquête de PwC a révélé que 87 % des consommateurs ont déclaré qu'ils iraient voir ailleurs si une entreprise était victime d'une violation de données.
Licenciements d'employés et de cadres
En fin de compte, une violation peut entraîner une perte de compétences et de connaissances. Un rapport de Radware sur l'état de la sécurité des applications Web montre que 23 % des entreprises ont licencié des cadres après la survenue d'une brèche. Un exemple est, là encore, tiré de la violation de données d'Equifax en 2017. LeDSI de l'époque, ,a été condamné à une amende de 55 000 dollars et à une peine de 4 mois de prison pour avoir réalisé un délit d'initié avant que le public ne soit informé de la violation.
Coûts des temps d'arrêt
Les violations de la sécurité des données ont un impact considérable sur l'ensemble d'une entreprise. Les impacts d'une brèche mentionnés ci-dessus, n'incluent pas les autres domaines affectés tels que les temps d'arrêt et la perte de la propriété intellectuelle/des informations sensibles de l'entreprise : Datto a exploré les coûts des temps d'arrêt après une violation de la cybersécurité et a constaté qu'ils avaient augmenté de 486 % entre 2018 et 2020.
Comment une violation de données peut avoir un impact sur un conseil d'administration
Une culture de la sécurité promue par un ton au sommet: La cybersécurité est la responsabilité de l'ensemble de l'organisation, du conseil d'administration à l'employé en passant par le consultant tiers et au-delà. Aucun individu, aucune équipe informatique ni aucun analyste de la sécurité ne peut s'attaquer seul aux menaces de la cybersécurité ; il est essentiel que le conseil d'administration s'implique dans la sécurité. Un conseil d'administration à la posture de sécurité solide et saine prend son ton au sommet. Lorsqu'un conseil d'administration prend la cybersécurité au sérieux, une culture de la sécurité se forme et se répand dans toute l'organisation. Cette culture est la pierre angulaire de la sensibilisation à la cybersécurité sur l'ensemble du réseau de l'entreprise.
Les données sont précieuses : Les données et le potentiel d'exposition aux données sont un aspect essentiel de la surveillance du conseil d'administration. Les violations de données sont coûteuses : le coût moyen d'une violation de données au Royaume-Uni est de 2,8 millions de livres (3,9 millions de dollars).
Manque de formation à la cybersécurité au niveau du conseil d'administration : La connaissance de la cybersécurité peut être un problème pour un conseil d'administration. Les membres du conseil d'administration sont rarement issus du milieu de la sécurité. Pourtant, les membres du conseil d'administration devraient suivre une formation de sensibilisation à la sécurité, au même titre que le reste du personnel de l'organisation. La formation doit être pertinente et adaptée à leur rôle en tant que membres du conseil d'administration, plutôt qu'une approche "taille unique". Les employés de l'entreprise qui ont des compétences en cybersécurité et d'excellentes capacités de communication peuvent être employés pour aider à former les membres du conseil d'administration.
Impact des violations de données sur le cours des actions : Comme on l'a vu, les violations de la cybersécurité ont des répercussions sur les actionnaires, car le cours des actions est affecté après une violation ; les membres du conseil d'administration ont donc un devoir de diligence pour comprendre les implications des violations de données sur la valeur actionnariale.
Signature de la politique : les politiques de cybersécurité, dont certaines peuvent concerner des informations sensibles de l'entreprise, constituent un élément fondamental de la stratégie de sécurité de l'entreprise, qui doit être reconnu et éventuellement signé par le conseil d'administration ou un de ses membres.
Un sens collectif des responsabilités: L'équipe dirigeante doit mener la charge contre les cyber-attaques. La C-Suite et le conseil d'administration peuvent encourager et promouvoir un sens de la responsabilité partagée qui s'étend également à la prise de conscience de l'exposition accidentelle de données et des simples erreurs de sécurité qui peuvent faire courir un risque accru à une organisation.
Tout pour la responsabilité : L'organisation et les individus qui la composent sont responsables de l'hygiène de la cybersécurité. La culture de sensibilisation à la cybersécurité, promue par le conseil d'administration, contribue à façonner la formation nécessaire pour garantir que l'hygiène de la sécurité est respectée par tous.
S'engager dans la prévention de la violation des données
Selon un rapport de Grant Thornton, 73 % des entreprises ont déclaré avoir subi des pertes d'environ 25 % de leurs revenus après avoir été victimes d'une cyber-violation. Ce chiffre constitue à lui seul une raison majeure pour que la cybersécurité occupe une place de choix dans la salle du conseil d'administration. Une cyber-attaque a des répercussions majeures sur tous les aspects d'une organisation. Le conseil d'administration joue un rôle central en aidant à créer une position de sécurité solide et en veillant à ce que le budget soit disponible pour fournir les mesures de sécurité et les formations de sensibilisation appropriées.
Les suites d'une violation de données peuvent avoir des conséquences désastreuses pour les organisations et tout cyberincident est inévitablement suivi d'un jeu de reproches. Notre prochain webcast intitulé "The Data Breach Blame Game : Employés ou employeurs ?", le 27 mai à 15h BST, aborde le sujet de plus en plus complexe de la responsabilité et de qui est responsable lorsqu'une faille se produit.
