La recherche d’un administrateur indépendant spécialisé en cybersécurité.
Comment les administrateurs non exécutifs spécialisés en cybersécurité allient expertise technique, sens stratégique, vision d’affaires et intelligence culturelle.
Faut-il nommer des spécialistes en cybersécurité au conseil d’administration? Oui, s’ils comprennent aussi la stratégie d’entreprise.
Les cyberattaques contre les entreprises se multiplient à un rythme alarmant. Amazon a fait état de 750 millions d’attaques quotidiennes en 2024, un chiffre impressionnant et appelé à augmenter. En attaquant le détaillant britannique Marks & Spencer, Scattered Spider a saisi des données vitales sur les clients et a perturbé les chaînes d’approvisionnement, laissant des rayons vides. Les cyberattaques contre les entreprises rapportent gros, probablement plus que le commerce mondial de la drogue, selon les analystes.
Certaines attaques s’arrêtent à mettre un site Web hors service pendant quelques heures ou quelques jours. D’autres, impliquant des acteurs d’États comme la Chine, la Russie, la Corée du Nord ou l’Iran, cherchent à paralyser les organisations de transport, de télécommunications et de services publics d’un pays. Et les entreprises occidentales ciblées sont laissées à elles-mêmes. Leurs gouvernements leur viennent rarement en aide.
L’intelligence artificielle accroît le volume des cyberattaques de manière exponentielle. Des attaques qui auraient pu être complexes et coûteuses à lancer peuvent désormais être menées à grande échelle. Les attaques de bourrage d’identifiants ou de harponnage, qui ciblent des services ou des personnes en particulier (par exemple, dans le but de les convaincre de payer une fausse facture de plusieurs millions de dollars) peuvent être encore plus fructueuses si elles sont déployées massivement.
Selon la National Association of Corporate Directors (NACD, ou association nationale des administrateurs de sociétés), les CA doivent voir la cybersécurité comme une affaire de stratégie et de risque d’entreprise, plutôt que comme une simple question technologique. Elle indique qu’environ 16 % des entreprises américaines du classement Fortune 500 disposent de comités technologiques pour contrer de telles menaces.
Faut-il désormais que des spécialistes en cybersécurité siègent au CA? À l’heure actuelle, la plupart des CA préfèrent encore confier les questions technologiques à des sous-comités chargés des risques ou des TI, et attendent l’avis d’une personne responsable des technologies de l’information ou de la gestion des risques. « Environ 99 % des conversations sur la technologie, dont la cybersécurité, ont lieu dans un sous-comité du CA chargé du numérique et des TI », affirme le président du CA d’une grande société de services financiers sud-africaine présente en Afrique, en Inde et en Malaisie. D’autres CA « font appel à des spécialistes externes pour discuter en privé avec des références externes, puis leur résumer ce qui se passe en dehors et au sein de l’entreprise. »
Une entreprise scandinave met en garde : « Un comité ne peut pas traiter un sujet seul. La cybersécurité et l’intelligence artificielle vont de pair avec la gestion des risques, la technologie, l’innovation et les nouveaux modèles d’affaires… Il faut qu’une ou deux personnes au sein du CA aient une compréhension plus générale de la technologie et des activités propices aux affaires, et puissent remettre en question les risques associés. »
« Dans les pires cas, la question entre par une oreille et sort par l’autre, ou peu de membres savent quelles questions techniques poser, voire quels sujets techniques aborder. »
En ce moment, les entreprises européennes sont peu enclines à inviter un spécialiste en cybersécurité à siéger au CA. « Il faut remédier à la situation », déclare Mme Denzel, mais ce n’est pas facile. Cette personne devra « s’adresser à des gens avec différents degrés d’aisance avec la technologie : une courbe en cloche de profanes [en technologie], d’immigrants de natifs numériques [occasionnels] et des utilisateurs précoces. Un public diversifié et intimidant pour n’importe quel sujet », dit-elle. Peu de spécialistes du numérique peuvent le faire. Souvent, leur vocabulaire est trop technique, ou ils comprennent mal la stratégie globale de l’entreprise. Selon un client d’Odgers, « ils ne sont pas toujours intéressés par les autres sujets abordés ».
Les membres du CA n’aident pas toujours la situation. Dans les pires cas, la question entre par une oreille et sort par l’autre. Parfois, les membres ne savent pas quelles questions techniques poser ou quels sujets techniques aborder, affirment des observateurs.
« Il est difficile de trouver des personnes qui ont une assez vaste expérience du numérique et qui peuvent contribuer aux sujets à l’ordre du jour du CA en général », rapporte un président de CA. Un client d’Odgers basé en Afrique affirme que son administrateur indépendant spécialiste en numérique a exercé une influence considérable. Outre ses compétences techniques, il est considéré comme « un leader d’opinion et représente à lui seul la plus grande source de talents. La direction l’adore. »
Il existe de telles perles parmi les cadres qui ont déjà dirigé des entreprises technologiques. Ces personnes savent déjà comment faire évoluer une entreprise et connaissent bien les risques liés aux technologies de l’information. Mais, elles doivent pouvoir aisément discuter de stratégie.
La culture prime sur tout
Adam Banks, spécialiste en numérique possédant des compétences approfondies en cybersécurité, est membre et conseiller de nombreux CA. Il reconnaît que les CA devraient rechercher un généraliste, notamment parce que la cyberdéfense est surtout une question de qualités personnelles et de culture d’entreprise. Les spécialistes en technologie ne relèvent généralement pas directement d’un membre du CA, et n’apprennent donc pas la langue des affaires. Il conseille aux entreprises d’inviter leur responsable de la technologie aux réunions du CA pendant au moins deux ans ‒ non pas à titre de membre ou même de conseiller, mais pour observer et apprendre à connaître l’entreprise, sa stratégie et sa culture. Ensuite, il pourrait occuper un siège au CA.
La culture de la sensibilisation doit s’étendre du CA aux derniers échelons du personnel. Dans une allocution récente lors d’un événement de McKinsey, Matt Rogers, administrateur indépendant de la société énergétique américaine Exelon, faisait remarquer : « Dans toute l’organisation, nous avons besoin d’une escouade de leaders à la première ligne de défense. (…) des personnes qui comprennent vraiment l’IA et peuvent soulever les bonnes questions. Sinon, nous ne nous en apercevrons que trop tard. Et il faut des personnes au sommet qui écoutent, comprennent et agissent adéquatement selon ce que leur rapportent leurs équipes. »
L’environnement des risques évolue énormément et très rapidement (voir l’article principal). Ne comptez pas sur la connaissance de la technologie d’aujourd’hui pour rester en sécurité. Renforcez la capacité à relever de nouveaux défis, de manière positive et optimiste. Selon M. Banks, ce dont les CA ont réellement besoin, c’est assez d’introspection pour apprendre, s’adapter et avoir une vue d’ensemble.
La cybersécurité et l’IA sont au sommet des tendances pour les administrateurs en 2025
MARK FREEBAIRN
Associé, chef de la Pratique Direction des finances, conseil d’administration, présidence et administrateurs indépendants
Royaume-Uni
KIM STANGEBY
Associée et cheffe de la Pratique de conseil aux directions générales et aux conseils d'administration
Canada
www.odgers.ca