Pourquoi la gestion des cyberrisques joue‑t‑elle un rôle important dans le renforcement de la résilience financière?

Dans le contexte de l’augmentation constante des coûts associés aux programmes de cybersécurité, les chefs des finances doivent procéder à l’intégration des fonctions gestion des cyberrisques et surveillance financière.

En bref

• Comme la cybercriminalité peut avoir de graves répercussions financières, les chefs des finances doivent participer activement à la gestion des cyberrisques de leur entreprise.
• En collaborant avec d’autres leaders, ils peuvent en arriver à analyser plus facilement les risques de leur entreprise et à prendre de meilleures décisions financières, en fonction de ses cyberrisques.
• En intégrant la fonction finances à la gestion des cyberrisques, les chefs des finances peuvent contribuer à la protection des actifs de l’entreprise, au maintien de la conformité aux cadres de réglementation et à la prévention des pertes financières.

Plus qu’une question de problèmes informatiques ou de scénarios de crise tirés d’un guide, la cybersécurité est une préoccupation organisationnelle constante et croissante à laquelle se rattachent de réelles répercussions financières, telles que les coûts éventuels associés aux interventions en cas de cyberincidents, aux responsabilités juridiques, aux atteintes à la réputation et aux pertes de revenus découlant de la perte de confiance des consommateurs.

En 2023, le coût moyen d’une atteinte à la cybersécurité d’une entreprise basée aux États‑Unis s’établissait à 9 M$¹. Sous l’effet combiné de divers types de stratagèmes – qui peuvent reposer aussi bien sur l’extorsion que sur l’ingénierie sociale et l’hameçonnage, entre autres – et des vulnérabilités découlant de la dépendance croissante des entreprises à l’égard de tiers, la probabilité de réalisation de cyberincidents préjudiciables continue d’augmenter. Aux États‑Unis, les cybercrimes sont à l’origine de dommages financiers dont le montant s’est élevé à 12,5 T$, s’agissant d’une augmentation annuelle de 22 % selon les statistiques du FBI².

2. Contrôle préalable en cybersécurité dans le cadre des fusions et acquisitions (F et A)

Sur le plan de la cybersécurité, les activités de F et A présentent des défis particuliers qui peuvent se traduire par des pertes inattendues. Il y a plusieurs cas notables de cyberincidents ou de violations de données découverts après une transaction qui ont amené l’acquéreur à devoir engager des coûts supplémentaires.

À l’étape du processus de contrôle préalable, le chef des finances doit collaborer avec le chef de la sécurité de l’information pour déterminer l’état dans lequel se trouve l’environnement de cybersécurité de la cible d’une acquisition potentielle. Il contribue ainsi à prévenir que l’acquéreur hérite de systèmes vulnérables ou de menaces latentes, à recenser les coûts d’intégration éventuels, à éviter les passifs imprévus et à favoriser une intégration organisationnelle harmonieuse après la fusion.

Questions à prendre en compte :

• Quel est le degré de maturité du programme de cybersécurité de notre cible?
• Comment ces risques peuvent‑ils être atténués et, à l’étape de l’intégration, comment pouvons‑nous protéger l’entreprise sur les plans financier et opérationnel? 
• Y a‑t‑il de nouvelles dispositions réglementaires auxquelles nous devrons nous conformer par suite de l’acquisition de la cible?
• Des outils et plateformes de cybersécurité peuvent‑ils être regroupés de façon à favoriser les réductions de coûts et l’amélioration des mesures de sécurité, grâce à la mise en commun de pratiques de pointe?
• Y a‑t‑il des modalités transactionnelles qui doivent être ajustées en fonction des cyberrisques et des vulnérabilités?
• Sommes‑nous prêts à assurer la protection de nos actifs avant et après la transaction?

4. Rapports financiers et informations à fournir

Plus de la moitié des conseils d’administration se réunissent au moins une fois par année avec les responsables de la gestion de la cybersécurité, et dans 80 % des entreprises figurant au classement Fortune 100 sur lesquelles a porté notre étude, la surveillance des cyberrisques relève du comité d’audit.

Les cyberrisques liés à l’adoption de technologies peuvent influer considérablement sur l’information financière d’une entreprise, y compris l’audit externe des états financiers et le contrôle interne à l’égard de l’information financière. Les cyberincidents peuvent avoir un effet disruptif sur les processus d’information financière d’une entreprise, ce qui peut l’empêcher de produire ses états financiers en temps opportun et nuire à sa capacité de se conformer aux cadres de réglementation auxquels elle est assujettie.

Les chefs des finances doivent envisager de promouvoir l’intégration des contrôles de cybersécurité au cadre global d’évaluation des risques et de contrôle interne de leur entreprise, de sorte que les lacunes et les risques susceptibles d’avoir une incidence sur son profil de cyberrisques puissent être recensés. Ils doivent aussi fournir la confirmation que le formulaire 10‑K déposé par leur entreprise présente un portrait fidèle de sa situation au regard de sa gestion, de sa stratégie et de sa gouvernance des cyberrisques.

Selon les règles de présentation de l’information sur les cyberincidents prescrites par la SEC, les sociétés cotées en Bourse doivent communiquer à leurs actionnaires et à la SEC, au moyen d’un formulaire 8‑K, tous les cyberincidents importants dont elles sont victimes, et ce, dans les quatre jours ouvrables suivant la date à laquelle elles ont déterminé qu’il s’agit de cyberincidents importants. Au moment de produire son rapport, le chef des finances doit s’assurer que les informations à communiquer sont exactes, exhaustives et déposées dans les délais prescrits.

Il est essentiel que les diverses fonctions de l’entreprise – notamment les fonctions contentieux et conformité – et le chef de la sécurité de l’information travaillent en collaboration, de sorte que les informations à fournir reposent sur les plus récentes pratiques de gestion des cyberrisques. Nous avons constaté que la mise en pratique des interventions requises dans le cadre de simulations de cyberincidents, surtout dans le cas de cyberincidents qui seraient réputés être significatifs, représente pour les chefs des finances un moyen efficace de vérifier le niveau de préparation et d’agilité de leur organisation face à un cyberincident réel, de même qu’une méthode importante pour tester les processus relatifs aux informations à fournir.

Questions à prendre en compte :

• Quelles sont les obligations d’information en lien avec les cyberrisques et les cyberincidents, et dans quelle mesure ont‑elles une incidence sur les informations que les entreprises doivent fournir et leurs obligations d’information financière?
• Quelles sont les répercussions financières en cas de non‑conformité?
• Comment concilier l’impératif de transparence et la nécessité de protéger les renseignements sensibles dans le cadre d’une enquête sur un cyberincident?
• Nos contrôles internes permettent‑ils de répondre adéquatement aux cyberrisques?
• Dans quelle mesure l’évolution des cadres de réglementation de la cybersécurité influe‑t‑elle sur nos processus d’information financière et d’audit?
• Dans quelle mesure un cyberincident influerait‑il sur nos états financiers?

Puisque des informations claires et exactes peuvent renforcer la confiance des investisseurs et prévenir l’imposition de sanctions réglementaires, le chef des finances se positionne en tant que partie prenante appelée à jouer un rôle de plus en plus important dans la préparation de l’entreprise en matière de cybersécurité. Dans l’exercice de son rôle de responsable de la surveillance et de l’orientation du programme de gestion des cyberrisques de son entreprise, et en renforçant le ton donné par la direction à l’échelle organisationnelle, le chef des finances peut promouvoir une stratégie de cybersécurité permettant à l’entreprise de gérer en toute confiance les aspects complexes de la cybersécurité.