L'évolution constante du paysage des menaces en cybersécurité, y compris les attaques alimentées par l'intelligence artificielle (IA), les logiciels de rançon, les menaces internes et les vulnérabilités liées à la chaîne d'approvisionnement, souligne une fois de plus l'importance de la sécurité de l'information et de la protection des connaissances. Les entreprises réagissent à ces risques et défis constamment en évolution par des mesures proactives et des cadres de gouvernance renforcés.

L'adoption rapide de l'IA par des acteurs malveillants comme légitimes soulève des inquiétudes à propos des hypertrucages et du moissonnage (collecte massive de données), ainsi qu'aux risques imminents posés par l'informatique quantique, qui pourrait compromettre les normes actuelles de chiffrement et exposer des données jusqu'ici sécurisées.

Les logiciels de rançon continuent d'évoluer, notamment à travers des attaques à plusieurs niveaux où des données sont volées, des rançons exigées, et des menaces de divulgation publique servent de moyen de pression. Les attaques contre la chaîne d'approvisionnement, même celles causées par des incidents environnementaux, y compris d'origine solaire, demeurent des risques constants, les attaquants exploitant les maillons faibles pour atteindre des cibles plus importantes.

Risques liés aux menaces internes et au piratage psychologique

Les menaces internes, notamment les risques posés par des personnes se faisant passer pour des employé·e·s ou par la présence d'acteurs étrangers dans des rôles liés aux technologies de l'information, continuent de prendre de l'ampleur et peuvent entraîner de graves brèches de sécurité. Les tactiques de piratage psychologique, telles que l'hameçonnage et les escroqueries faisant appel aux hypertrucages, demeurent des préoccupations croissantes.

Nécessité essentielle d'une réaction des entreprises et des conseils d'administration

Les entreprises mènent de plus en plus d'exercices de table et mettent en place des cadres de gouvernance pour s'attaquer aux cyberrisques. Toutefois, des défis subsistent pour surmonter les cloisonnements entre les services et permettre que les conseils d'administration (CA) et la direction aient une compréhension globale des risques informatiques et du caractère indissociable de leurs organisations. L'instauration d'une culture de vigilance collaborative et interfonctionnelle constitue une étape efficace pour outiller tous les échelons de l'organisation, des employés de première ligne à la haute direction, afin qu'ils puissent identifier les risques et les régler de manière proactive.

Qui plus est, l'évolution du contexte réglementaire en matière de divulgation des incidents de cybersécurité demeure un facteur clé. Les entreprises doivent continuer de porter une attention particulière aux exigences et aux changements de la SEC, notamment en ce qui concerne l'évaluation de l'importance relative et l'impact de la transparence sur les pratiques en matière de gouvernance et de gestion des risques.

Par exemple, les exigences de communication des informations sur les cyberincidents importants dans le formulaire 8-K de la SEC imposent un délai de déclaration de quatre jours ouvrables suivant la détermination de l'importance du cyberincident. Cela a entraîné une intensification des échanges entre les chefs de la sécurité de l'information, les responsables des technologies de l'information, les CA et les comités de gouvernance de l'information, afin de mieux comprendre et communiquer ce qui constitue un risque important.

L'importance de la transparence et de la confiance des consommateurs

La transparence dans les communications d'informations demeure une qualité appréciée de la culture d'entreprise : lorsqu'un risque suscite des préoccupations, il convient de se demander s'il est important et s'il doit faire l'objet d'une communication. Cette approche proactive est perçue comme un moyen de renforcer la confiance des consommateurs et de s'aligner sur les meilleures pratiques en matière de sécurité de l'information et de protection des connaissances.

À la suite d'une vive opposition du secteur aux nouvelles règles en matière de communication d'informations – certaines entreprises étant réticentes à reconnaître les lacunes dans leurs programmes de gestion des risques – la SEC a réagi en exigeant des informations plus détaillées, mettant en lumière la tension entre conformité réglementaire et gestion pratique des risques.

Expertise des CA et sensibilisation aux vulnérabilités numériques

De nombreuses entreprises gagneraient à intégrer ou recruter des membres de CA ayant une solide compréhension globale des technologies, sans compter uniquement sur les experts en cybersécurité, afin de superviser efficacement la transformation numérique et la gestion des risques. Le secteur des services financiers se distingue par des pratiques de pointe, telles que la désignation de responsables de la sécurité de l'information d'entreprise au sein des unités opérationnelles.

Cela est particulièrement pertinent pour les CA et la direction, qui doivent comprendre quels actifs informationnels et éléments de propriété intellectuelle sont essentiels à leur organisation. Autrement dit, il s'agit de savoir ce qu'il convient de conserver et de protéger, selon les circonstances, conformément aux normes réglementaires et sectorielles, en fonction des menaces potentielles.

Les organisations doivent également tenir compte des différences transfrontalières et culturelles propres à chaque entreprise, puisque de nombreux pays, territoires ou États possèdent leurs propres exigences en matière de protection des connaissances – certaines étant plus strictes que d'autres.

Prochaines étapes pour renforcer l'engagement des CA en matière de protection des connaissances

La priorité accordée à la protection des connaissances varie selon les secteurs et les cultures d'entreprise, et certains CA ne disposent pas de l'expertise nécessaire pour poser les bonnes questions ou allouer efficacement les ressources. Pour gérer les risques dans un contexte de menaces en constante évolution, les organisations doivent identifier et protéger leurs actifs les plus précieux.

Les membres de CA et les dirigeants devraient approfondir leur compréhension des technologies et des vulnérabilités numériques afin de garantir des politiques de protection strictes. En définitive, l'adaptabilité et une gouvernance proactive sont essentielles pour anticiper les risques émergents et répondre aux exigences réglementaires en constante évolution.

 

Computershare ne fournit pas et ne prétend pas fournir à quiconque des avis juridiques, des conseils en placements ou en fiscalité.