Femme debout dans un grotte de glace

Informations à fournir en lien avec la surveillance de la cybersécurité : le point de vue des sociétés sondées en 2024

Ey reframe your future digital city
EY Canada

Organisation de services professionnels multidisciplinaires

15 minutes de lecture 15 oct. 2024
Sujets connexes
Surveillance et gouvernance des conseils d’administration
Auteurs  :
Barton Edgerton – Leader, Recherche en gouvernance d’entreprise, Center for Board Matters, EY Amériques
Pat Niemann – Leader, Forum des comités d’audit, EY Amériques
Alison Nashed – Chef d’équipe, Analyse et recherche en gouvernance d’entreprise, Center for Board Matters, EY Amériques

De nombreuses sociétés fournissent volontairement de plus en plus d’informations aux investisseurs sur leurs activités de surveillance de la cybersécurité.

En bref

  • À l’heure où le rythme et la complexité des cyberattaques augmentent, les conseils d’administration (conseils) approfondissent leur expertise en cybersécurité et font appel à des professionnels des cyberrisques.
  • Pour soutenir l’approche rigoureuse d’une entreprise en matière de cybersécurité, les administrateurs jouent un rôle important en s’intéressant aux cyberrisques qui se trouvent à l’intersection de la cybersécurité et de la stratégie d’entreprise.
  • Les entreprises de premier plan testent leurs interventions et leur résilience en matière de cybersécurité grâce à divers exercices auxquels participe le conseil.

L’exercice en est souvent un d’équilibre, car les sociétés cherchent à fournir à la communauté des investisseurs des informations pertinentes sur l’atténuation des risques et les mesures qu’elles prennent pour répondre aux incidents importants, tout en limitant la diffusion d’informations susceptibles d’être exploitées par des adversaires ou des personnes malintentionnées.

La présentation d’informations joue un rôle important dans la communication avec les investisseurs et les parties prenantes en général. Plus de 25 années se sont écoulées depuis que les conseils inscrivent le cyberrisque à l’ordre du jour de leurs réunions, et les administrateurs comprennent désormais qu’il s’agit d’un enjeu en constante évolution dont la surveillance efficace requiert une diligence de tous les instants et une approche ciblée. Au cours de la dernière année, les cybermenaces se sont grandement complexifiées, ce qui a non seulement incité les entreprises à améliorer leurs cadres de cybersécurité, mais également amené leurs adversaires à perfectionner leurs attaques.

Évolution importante des risques pour la cybersécurité

  • Les nouvelles technologies donnent naissance à des menaces grandissantes : La quasi-totalité des sociétés (93 %) utilise désormais l’intelligence artificielle (IA) générative d’une façon ou d’une autre, et elles sont nombreuses à prévoir de l’utiliser comme moyen d’améliorer la cybersécurité1, et plus précisément de relever les cyberrisques potentiels, de détecter les vulnérabilités et les brèches de sécurité, et de prioriser les efforts de cybersécurité. Toutefois, les cybermenaces continuent de prendre de l’ampleur. L’an dernier, le FBI a constaté une hausse de 10 % des plaintes et de 22 % des pertes subies, qui s’élèvent maintenant à 12,5 milliards de dollars par année2. Dans près d’un tiers (32 %) de ces incidents, les attaquants ont eu recours à un stratagème d’extorsion, comme un rançongiciel3.
  • La plupart des brèches de sécurité informatique sont en partie attribuables aux employés : Dans plus des deux tiers des cas d’intrusion informatique, des employés sont en partie responsables, ayant cédé à de l’hameçonnage, à de la manipulation psychologique ou à d’autres méthodes employées contre eux pour obtenir leurs identifiants et les exploiter.
  • Les cyberrisques émanant de tiers sont en progression : La dépendance envers des tiers pour le maintien d’environnements d’exploitation informatiques de plus en plus complexes accroît la surface d’exposition aux menaces, c’est-à-dire l’ensemble des points exposés qu’un attaquant pourrait exploiter. Elle peut également créer des points faibles dans des systèmes critiques, qui peuvent alors être perturbés.
  • Le recours à des conseillers externes est de plus en plus courant : La cybersécurité étant, par nature, en constante évolution, elle requiert de la part des administrateurs et conseils une diligence de tous les instants. La proportion de sociétés qui ont fourni des informations sur le recours à des conseillers externes indépendants a plus que doublé, passant de 43 % en 2023 à 87 % en 2024, et 10 % d’entre elles ont indiqué que leur conseil était en communication avec un tel conseiller.

Comment EY peut vous aider

 

Tendances en matière d’informations sur la cybersécurité observées en 2024

 

Depuis que nous avons commencé à suivre les informations fournies sur la cybersécurité en 2018, la quantité d’informations publiées de façon volontaire a augmenté de manière constante. La SEC impose maintenant aux sociétés cotées en Bourse la présentation d’un large éventail d’informations sur la gestion et la surveillance des risques liés à la cybersécurité, y compris sur la façon dont le conseil encadre les cyberrisques4.

 

Dans l’ensemble, les sociétés ouvertes publient de plus en plus d’informations sur la cybersécurité. Chacun des aspects de la cybersécurité que nous suivons dans les informations fournies a pris de l’ampleur depuis que nous avons lancé ce projet en 2018. L’analyse des informations sur la surveillance de la cybersécurité fournies par les sociétés figurant au palmarès Fortune 100 nous permet de dresser les constats suivants :

 

  • Les comités d’audit continuent d’assurer la surveillance de la cybersécurité : Selon 81 % des sociétés du palmarès Fortune 100 sondées, malgré sa charge de travail croissante, le comité d’audit demeure responsable de la surveillance de la cybersécurité, une proportion en hausse par rapport à 61 % en 2018.
  • Les compétences en cybersécurité sont recherchées : Bien qu’aux termes de la règle de la SEC sur les informations à fournir en lien avec la cybersécurité, les sociétés ne soient pas tenues d’indiquer quelles compétences les membres de leur conseil possèdent dans ce domaine, notre examen de leurs documents révèle que de telles compétences sont recherchées. Près des trois quarts (72 %) des sociétés indiquent que l’informatique est un domaine d’expertise recherché au sein du conseil et presque autant de sociétés (71 %) mentionnent la cybersécurité dans au moins une de leurs biographies d’administrateur, contre 34 % en 2018.
  • Des spécialistes des cyberrisques collaborent avec le conseil : Quelque 70 % des sociétés – contre seulement 9 % en 2018 – indiquent que le chef de la sécurité de l’information présente au conseil des informations sur les cyberrisques.
  • Les conseils consacrent du temps à la cybersécurité : Plus de la moitié (57 %) des sociétés ont indiqué que leur conseil et la direction se réunissaient au moins une fois l’an ou chaque trimestre pour aborder des questions de cybersécurité. Les autres sociétés demeurent plus vagues, mentionnant que de telles réunions sont fréquentes ou périodiques. Ces mentions sont au moins quatre fois plus nombreuses qu’en 2018.
  • Les exercices de préparation sont monnaie courante : Près de la moitié des sociétés (47 %), comparativement à seulement 3 % en 2018, déclarent à présent effectuer, dans le cadre de leurs efforts de préparation, des exercices de simulation ou des tests sur le degré de préparation à l’intervention.

 

Informations sur la cybersécurité fournies par les sociétés du palmarès Fortune 100

 

Vous trouverez ci-après une analyse des informations fournies par les sociétés du palmarès Fortune 100. Au 31 mai 2024, 79 d’entre elles avaient déposé leur circulaire d’information et leur formulaire 10‑K; il s’agit donc du bassin de sociétés sondées aux fins de cette analyse. Celle-ci est le reflet d’observations formulées à partir des documents déposés par ces sociétés au cours des sept dernières années. Étant donné la période à laquelle correspondent certains exercices, le taux de présentation des informations sur la cybersécurité dont la fourniture est désormais obligatoire peut être inférieur à 100 %. Dans le cas de l’information facultative, le fait qu’une société n’ait pas mentionné une activité ne signifie pas forcément qu’elle ne l’exerce pas. Cela signifie simplement qu’elle n’a pas fourni d’informations à ce sujet dans ses documents.

Sélectionner une catégorie d’activités de surveillance par le conseil

Sujet

2024

2022

2020

2018

Sociétés ayant indiqué qu’au moins un comité du conseil était responsable de la surveillance des questions de cybersécurité*

95 %

89 %

85 %

76 %

Sociétés ayant indiqué que la surveillance des questions de cybersécurité relevait du comité d’audit

81 %

72 %

67 %

61 %

Sociétés ayant indiqué que la surveillance relevait d’un comité de gestion des risques

13 %

11 %

10 %

9 %

Sociétés ayant indiqué que la surveillance relevait d’un comité de la technologie

10 %

9 %

8 %

9 %

Sociétés ayant indiqué que la surveillance relevait d’un autre comité (p. ex., comité de conformité)

8 %

8 %

8 %

3 %

Sujet

2024

2022

2020

2018

La cybersécurité est présentée comme un domaine d’expertise recherché pour le conseil ou est mentionnée dans la biographie d’au moins un administrateur

85 %

68 %

61 %

42 %

La cybersécurité est présentée comme un domaine d’expertise recherché pour le conseil

72 %

51 %

35 %

19 %

La cybersécurité est mentionnée dans la biographie d’au moins un administrateur

71 %

56 %

49 %

34 %

Sujet

2024

2022

2020

2018

Informations concernant les rapports que la direction présente au conseil et/ou au(x) comité(s) surveillant les questions de cybersécurité**

96 %

78 %

57 %

51 %

Mention d’au moins un dirigeant responsable de fournir des informations sur la cybersécurité au conseil (p. ex., chef de la sécurité de l’information ou chef de l’information)

84 %

42 %

25 %

18 %

Mention du chef de la sécurité de l’information en particulier

70 %

28 %

16 %

9 %

Mention du chef de l’information en particulier

28 %

16 %

10 %

8 %

Mention du chef de la technologie en particulier

11 %

4 %

0 %

8 %

Formulations concernant la fréquence des rapports de la direction au conseil ou au comité (la plupart de ces formulations n’étaient pas précises)

95 %

70 %

46 %

34 %

Mention du fait que les rapports sont présentés au moins annuellement ou chaque trimestre; les autres sociétés ayant utilisé des termes comme « régulièrement » ou « périodiquement »

57 %

44 %

18 %

13 %

Sujet

2024

2022

2020

2018

Mention des mesures prises pour réduire les risques liés à la cybersécurité, comme la mise en place de processus, de procédures et de systèmes

100 %

99 %

95 %

85 %

Mention de l’adoption d’un cadre ou d’une norme externe**

57 %

20 %

4 %

2 %

National Institute of Standards and Technology (NIST)

47 %

14 %

3 %

1 %

Organisation internationale de normalisation (ISO)

20 %

4 %

1 %

1 %

Autres**

14 %

 6 %

0 %

0 %

Mentions relatives à l’état de préparation à l’intervention, comme la planification, la reprise après sinistre ou la continuité des activités

95 %

73 %

65 %

53 %

Mention de mesures de préparation comprenant des exercices de simulation ou des tests sur le degré de préparation à l’intervention

47 %

9 %

6 %

3 %

Mention du fait que la société maintient un certain niveau d’assurance cybersécurité

25 %

20 %

13 %

8 %

Inclusion de la cybersécurité dans la rémunération de la haute direction

11 %

10 %

6 %

1 %

Sujet

2024

2022

2020

2018

Mention de l’utilisation d’activités de sensibilisation et de formation pour réduire les risques liés à la cybersécurité

82 %

47 %

28 %

15 %

Sujet

2024

2022

2020

2018

Mention de collaboration avec des pairs, des groupes sectoriels et des décideurs politiques

28 %

14 %

10 %

6 %

Sujet

2024

2022

2020

2018

Mention du recours à un conseiller externe indépendant

87 %

34 %

16 %

15 %

* Certaines sociétés confient la surveillance de la cybersécurité à plus d’un comité du conseil d’administration.

** Certaines sociétés indiquent qu’elles cherchent à se conformer à plus d’un cadre ou d’une norme externe. Ces cadres normatifs ont divers champs d’application et peuvent ne pas régir tous les aspects de la société à la fois; certains d’entre eux, mais pas tous, comprennent un mécanisme de certification ou d’attestation externe. Les autres cadres normatifs qui ne sont pas expressément mentionnés dans les présentes comprennent, entre autres, les normes de sécurité des données de l’industrie des cartes de paiement, la Health Information Trust Alliance, et les contrôles 1 et 2 au niveau du système et au niveau organisationnel.


Téléchargez le rapport complet pour en savoir plus sur ces tendances sur les informations fournies en matière de cybersécurité.

Pratiques de pointe en surveillance de la cybersécurité

À la lumière des discussions qu’EY a menées avec des administrateurs, des groupes sectoriels, des leaders en cybersécurité et des professionnels en matière de politiques publiques, nous avons recensé ces 10 pratiques de pointe pour aider les conseils dans leur surveillance des cyberrisques.

Pratique

Mesures à prendre

Questions à se poser

Élever le ton

Considérer la cybersécurité comme une préoccupation majeure dans toutes les discussions du conseil. Si la technologie est la pierre angulaire de la plupart des décisions d’affaires, les questions liées au cyberrisque devraient par conséquent faire partie des discussions du conseil et de la direction portant sur la stratégie, les plans de croissance des produits et des services, la transformation numérique, etc.
  • Quels secteurs de notre entreprise sont les plus vulnérables aux perturbations de la cybersécurité?
  • Quelles sont les vulnérabilités qui représentent des risques existentiels pour la société?

Rester alerte

Aborder les nouvelles difficultés et menaces découlant du télétravail et de l’expansion de la transformation numérique.
  • Comment la société évalue-t-elle, surveille‑t‑elle et améliore-t-elle sa culture en matière de cyberrisques?
  • Quelle personne est la mieux placée pour fournir cette information au conseil?

Déterminer la valeur à risque

Faire le rapprochement entre la valeur à risque en dollars et la tolérance au risque du conseil, y compris l’efficacité de la couverture de cyberassurance.
  • Quels indicateurs montrent le mieux la valeur qui est à risque pour la société?
  • La tolérance au risque de la société convient-elle à la valeur à risque de la société?

Tirer parti des nouveaux outils analytiques

Pareils outils informent le conseil d’administration des cyberrisques – des incidents très probables dont l’incidence est faible aux incidents peu probables dont l’incidence est élevée (comme un événement de type cygne noir).
  • Comment la direction détermine‑t‑elle quels risques doivent figurer à l’ordre du jour du conseil?
  • Dans quelle mesure le conseil a‑t‑il la certitude qu’il tient des discussions sur les risques à cibler? 

Intégrer la sécurité dès le début

Adopter une philosophie axée sur la « sécurité dès la conception » pour la mise au point de nouvelles technologies et de nouveaux produits et arrangements commerciaux. L’an dernier, la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI), la National Security Agency (NSA) et des partenaires internationaux ont publié des principes et des approches de la sécurité dès la conception.
  • Quelle est l’approche de la société à l’égard de la sécurité dès la conception?
  • Comment le conseil peut‑il s’assurer que cette approche est suivie?

Évaluer de manière indépendante

Obtenir une évaluation rigoureuse par un tiers du programme de gestion des cyberrisques de la société, y compris des tests des systèmes et des processus essentiels.
  • Comment la direction a‑t‑elle déterminé vers qui se tourner pour une obtenir une évaluation par un tiers?
  • Quels sont les principaux points de désaccord avec l’examen par un tiers et quelles sont les mesures prévues?

Évaluer le risque lié aux tiers

Comprendre les processus de la direction permettant de cerner, d’évaluer et de surveiller le risque lié aux fournisseurs de services et aux parties à la chaîne d’approvisionnement de la société.
  • Quels tiers représentent un point de défaillance unique pour les systèmes critiques?
  • Que savons‑nous des risques posés par les tiers et leurs fournisseurs et prestataires de services en aval?

Mettre à l’essai les plans d’intervention et de reprise

Renforcer la résilience de l’entreprise en réalisant des simulations rigoureuses et en établissant des protocoles en collaboration avec des spécialistes indépendants avant une crise.
  • Quelle expérience le conseil possède‑t‑il des exercices de simulation réalistes et complexes?
  • De quelle façon les résultats des simulations sont‑ils intégrés au plan d’intervention en cas de crise de la société?

Comprendre les protocoles d’escalade des incidents

Disposer d’un plan de communication défini qui précise le moment auquel il convient d’informer le conseil des incidents, notamment des attaques par rançongiciel.
  • Dans quelles circonstances le conseil est‑il avisé et après combien de temps?
  • Quel rôle le conseil joue‑t‑il dans le plan et comment sera‑t‑il informé si son rôle change?

Suivre les nouveautés en matière de réglementation et de politiques publiques

Rester au fait de l’évolution des pratiques de surveillance, des obligations d’information, des structures d’information et des mesures, et en comprendre aussi l’incidence sur la conformité réglementaire de l’entreprise.
  • Qui est responsable de suivre les nouveautés en matière de réglementation et de politique publique?
  • Comment les groupes pertinents sont‑ils avisés et les processus mis à jour avec les changements pertinents?

Télécharger le rapport au complet pour en savoir plus, y compris des exemples de libellés sur la cybersécurité fournis par les sociétés publiques.

Questions que devraient se poser les administrateurs

  • Comment le conseil s’y prend‑il pour aligner le mieux possible les responsabilités de ses comités et les siennes afin de surveiller adéquatement l’évolution des besoins de la société en matière de cybersécurité?
  • Le comité auquel incombe la surveillance des cyberrisques dispose-t-il du temps et des ressources nécessaires pour bien faire son travail?
  • Quelles informations la direction a‑t‑elle fournies pour aider le conseil d’administration à déterminer quels actifs et partenaires commerciaux clés, y compris des tiers et des fournisseurs, sont les plus vulnérables aux cyberattaques?
  • Dans quelle mesure les compétences et l’expertise actuelles des membres du conseil répondent‑elles aux besoins actuels et futurs de la société?
  • Lorsque le conseil doit s’appuyer sur des connaissances spécialisées, comment les obtient‑il?
  • Que pense le conseil de l’importance de s’adjoindre un unique spécialiste de la cybersécurité ou d’accueillir divers membres possédant une expertise en cybersécurité?
  • Comment le conseil fait‑il pour s’assurer de recevoir les bonnes informations sur les cyberrisques de la part de la direction?
  • Comment le conseil fait‑il pour s’assurer que les informations sur les cyberrisques qu’il reçoit proviennent des bonnes personnes?
  • La direction a‑t‑elle une vision globale des cyberrisques, qui tient compte à la fois des menaces, des mesures d’intervention à mettre en place et de l’état de la culture de la cybersécurité de la société?
  • Quel cadre externe de cybersécurité la société applique‑t‑elle? Pourquoi la direction l’a‑t‑elle choisi et, si c’était à refaire, prendrait-elle la même décision aujourd’hui?
  • Comment le conseil fait‑il pour s’assurer que les plans d’intervention de la société en cas de crise liée à la cybersécurité sont à jour et pertinents?
  • Quels sont les rôles et responsabilités du conseil en cas d’incident de sécurité informatique? Quelles sont les responsabilités de la direction en pareil cas?

Questions que devraient se poser les administrateurs

  • Comment le conseil s’y prend‑il pour aligner le mieux possible les responsabilités de ses comités et les siennes afin de surveiller adéquatement l’évolution des besoins de la société en matière de cybersécurité?
  • Le comité auquel incombe la surveillance des cyberrisques dispose-t-il du temps et des ressources nécessaires pour bien faire son travail?
  • Quelles informations la direction a‑t‑elle fournies pour aider le conseil d’administration à déterminer quels actifs et partenaires commerciaux clés, y compris des tiers et des fournisseurs, sont les plus vulnérables aux cyberattaques?
  • Dans quelle mesure les compétences et l’expertise actuelles des membres du conseil répondent‑elles aux besoins actuels et futurs de la société?
  • Lorsque le conseil doit s’appuyer sur des connaissances spécialisées, comment les obtient‑il?
  • Que pense le conseil de l’importance de s’adjoindre un unique spécialiste de la cybersécurité ou d’accueillir divers membres possédant une expertise en cybersécurité?
  • Comment le conseil fait‑il pour s’assurer de recevoir les bonnes informations sur les cyberrisques de la part de la direction?
  • Comment le conseil fait‑il pour s’assurer que les informations sur les cyberrisques qu’il reçoit proviennent des bonnes personnes?
  • La direction a‑t‑elle une vision globale des cyberrisques, qui tient compte à la fois des menaces, des mesures d’intervention à mettre en place et de l’état de la culture de la cybersécurité de la société?
  • Quel cadre externe de cybersécurité la société applique‑t‑elle? Pourquoi la direction l’a‑t‑elle choisi et, si c’était à refaire, prendrait-elle la même décision aujourd’hui?
  • Comment le conseil fait‑il pour s’assurer que les plans d’intervention de la société en cas de crise liée à la cybersécurité sont à jour et pertinents?
  • Quels sont les rôles et responsabilités du conseil en cas d’incident de sécurité informatique? Quelles sont les responsabilités de la direction en pareil cas?

Questions que devraient se poser les administrateurs

  • Comment le conseil s’y prend‑il pour aligner le mieux possible les responsabilités de ses comités et les siennes afin de surveiller adéquatement l’évolution des besoins de la société en matière de cybersécurité?
  • Le comité auquel incombe la surveillance des cyberrisques dispose-t-il du temps et des ressources nécessaires pour bien faire son travail?
  • Quelles informations la direction a‑t‑elle fournies pour aider le conseil d’administration à déterminer quels actifs et partenaires commerciaux clés, y compris des tiers et des fournisseurs, sont les plus vulnérables aux cyberattaques?
  • Dans quelle mesure les compétences et l’expertise actuelles des membres du conseil répondent‑elles aux besoins actuels et futurs de la société?
  • Lorsque le conseil doit s’appuyer sur des connaissances spécialisées, comment les obtient‑il?
  • Que pense le conseil de l’importance de s’adjoindre un unique spécialiste de la cybersécurité ou d’accueillir divers membres possédant une expertise en cybersécurité?
  • Comment le conseil fait‑il pour s’assurer de recevoir les bonnes informations sur les cyberrisques de la part de la direction?
  • Comment le conseil fait‑il pour s’assurer que les informations sur les cyberrisques qu’il reçoit proviennent des bonnes personnes?
  • La direction a‑t‑elle une vision globale des cyberrisques, qui tient compte à la fois des menaces, des mesures d’intervention à mettre en place et de l’état de la culture de la cybersécurité de la société?
  • Quel cadre externe de cybersécurité la société applique‑t‑elle? Pourquoi la direction l’a‑t‑elle choisi et, si c’était à refaire, prendrait-elle la même décision aujourd’hui?
  • Comment le conseil fait‑il pour s’assurer que les plans d’intervention de la société en cas de crise liée à la cybersécurité sont à jour et pertinents?
  • Quels sont les rôles et responsabilités du conseil en cas d’incident de sécurité informatique? Quelles sont les responsabilités de la direction en pareil cas?

Résumé

Nous suivons l’évolution des obligations d’information en matière de cybersécurité depuis 2018. Nous constatons depuis une augmentation constante des informations fournies volontairement sur la cybersécurité dans tous les aspects des obligations d’information que nous examinons. Notre analyse révèle que les comités d’audit continuent de surveiller la cybersécurité, malgré que leur tâche continue de s’alourdir. Et même si la règle de la SEC sur les informations à fournir en lien avec la cybersécurité n’oblige pas les entreprises à préciser l’expertise que les membres de leur conseil d’administration possèdent en matière de cybersécurité, les documents déposés par les entreprises montrent qu’une telle expertise est en demande.

À propos de cet article

Ey reframe your future digital city
EY Canada
Organisation de services professionnels multidisciplinaires
Sujets connexes
Surveillance et gouvernance des conseils d’administration

EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.