En 2018, Diligent et Forrester Research publient un rapport sur les pratiques de communication au sein des conseils d’administration dans le monde et leur impact sur la cybersécurité en entreprise. Les résultats sont flagrants, 51% des administrateurs utilisent un email personnel pour partager et recevoir les documents du conseil, 87% des administrateurs dans le monde déclarent être inquiets des pratiques de communication de leur Conseil qu’ils jugent trop peu sécurisées, 29% des professionnels de gouvernance annoncent avoir perdu un appareil professionnel (téléphone, tablette, ordinateur) l’année précédente. Deux ans plus tard, où en sont les conseils d’administration en France ? Quel chemin reste-t-il à parcourir, quels sont les enjeux pour 2021 ? Interview avec Liam Healy, Managing Director EMEA chez Diligent Corporation.
Quelles sont les plus grandes menaces aujourd’hui quand on parle de cyber risque ?
Selon le site du gouvernement français, une cyberattaque est une atteinte aux systèmes informatiques réalisée dans un but malveillant. Elle peut cibler différents dispositifs informatiques et avoir différentes formes et objectifs. Le plus souvent, malheureusement systématiquement, les conséquences sont néfastes, jusqu’à dévastatrices pour les entreprises. En 2019, les attaques les plus courantes sont :
Le phishing ou spear-phishing, 79%
L’arnaque au président, 47%
L’exploitation d’une vulnérabilité, 43%
A noter également que les entreprises ayant constaté au moins une attaque en ont constaté 3,9 en moyenne. Le problème, c’est qu’au fur et à mesure que les systèmes de défense informatique gagnent en robustesse, les pirates gagnent en agilité et en créativité. Ainsi, les cyberattaques n’ont jamais été aussi sophistiquées et fréquentes qu’en 2020, surtout avec la crise sanitaire, et parviennent à mettre à mal de grandes organisations comme Sopra Steria, Doctolib, France Télévision… Dans tout ça, la digitalisation joue un rôle ambivalent, car, bien menée avec les bons outils, elle permet de limiter les cyber risques et améliorer la sécurité des infrastructures, mais peut également mettre l’entreprise plus à risque si elle n’est pas correctement envisagée – ou tout simplement ignorée.
Comment mettre en place une politique de cybersécurité raisonnée ?
Il existe des gestes simples pour garantir la cybersécurité en entreprise et se protéger des risques cyber. Une grande partie de cette réponse passe par la prévention et la formation. Toutes les entreprises ont le devoir de former l’ensemble de leurs collaborateurs, du président au stagiaire, aux risques cyber, aux attaques et aux « gestes qui sauvent ». Le conseil d’administration lui-même doit prendre le sujet à bras le corps, inviter des experts en cybersécurité à intervenir régulièrement, voir même créer un comité spécialisé.
Par ailleurs, le choix des partenaires est crucial, car une entreprise n’est jamais aussi protégée que par son maillon le plus faible. Ainsi, vous pourrez mettre en place toutes les barrières et sécurités pour votre entreprise, si l’un de vos prestataires est négligeant et s’il manipule des données sensibles, vous serez tout autant à risque. Pensez ainsi à auditer les pratiques de sécurité de vos partenaires, lors de la mise en place du contrat mais également de manière récurrente, notamment pour le département juridique qui manipule des données confidentielles à longueur de journée.
Quel est le rôle du juriste, dans tout ça ?
L’équipe juridique joue ou doit jouer plusieurs rôles, au-delà de la mise en place des contrats, pour assurer la cybersécurité en entreprise :
Grace à sa relation étroite avec le conseil d’administration, la direction juridique doit être force de proposition en termes d’outils et de protection du board. Garante de l’intégrité des données et de la distribution des documents en temps et en heure, il est important qu’elle soit aux faits des dernières innovations et travaille avec le CA pour la mise en place d’outils nécessaires à la bonne collaboration en toute sécurité.
Les directions juridiques sont parmi les départements encore les moins transformés par la digitalisation, alors que les LegalTech surgissent partout pour venir accompagner ce département encore trop peu digitalisé. Que ce soit pour limiter les impressions de documents papier à signer, le partage d’emails et fichiers excels non sécurisés ou des intranets qui ne permettent pas de travailler correctement avec des parties prenantes externes, la direction juridique doit, pour son bien et celui de son entreprise, sauter le pas de la digitalisation.
Ainsi, un travail de fond et d’accompagnement au changement est nécessaire, tant pour venir sécuriser les données de l’entreprise qui transitent par le département juridique et qui sont souvent particulièrement confidentielles, que pour venir accompagner des équipes trop souvent en flux tendu et sous forte pression.
Comment appréhendez-vous les sujets de cybersécurité chez Diligent ?
En tant que partenaire privilégié des conseils d’administration, Diligent prend les sujets de cybersécurité très au sérieux. En interne, chaque employé est formé de manière régulière aux enjeux, tendances et innovation de cybersécurité. Nos investissements dans ce domaine sont parmi les plus hauts du marché et atteignent plusieurs dizaines de millions d’euros par an. Nous bénéficions également de certificats d’audits très reconnus, comme SOC I et SOC II ou l’ISO 27001, et ce depuis plusieurs années.
Mais ce qui fait vraiment la différence, chez Diligent, c’est que nous avons réussi à allier sécurité informatique et ergonomie. Ainsi, nos logiciels fonctionnent en cercle fermé, avec une préautorisation des utilisateurs (que ce soit pour notre salle de données virtuelles, notre logiciel de gestion des entités juridiques ou notre portail digital pour le CA), qui permet à tous de collaborer l’esprit serein depuis les appareils qu’ils utilisent au quotidien. C’est notamment pour cette raison que notre taux de rétention est un des plus hauts du marché des logiciels, à 98%.
La cybersécurité en entreprise est un enjeu de taille aujourd’hui, peu importe le pays ou le secteur d’activité. Personne n’est épargné, et le département juridique, tout particulièrement. Bien qu’ayant timidement commencé sa transformation digitale, les directions juridiques doivent maintenant prendre le sujet à bras le corps pour améliorer leur productivité et sécuriser leurs processus.