Les entreprises dotées d'une cybergouvernance créent 4 fois plus de valeur

Alors que la Securities and Exchange Commission des États-Unis a publié lignes directrices pour une meilleure gouvernance de la cybersécurité pendant des années, les entreprises publiques les ont pour la plupart ignorées. Et même si ces exigences peuvent être difficiles à satisfaire, les entreprises qui ont fait l'effort ont créé près de quatre fois leur valeur actionnariale par rapport à celles qui ne l'ont pas fait.

Bitsight et Diligent ont interrogé des milliers d'entreprises publiques et ont découvert une corrélation entre l'expérience en matière de cybersécurité et le rendement total moyen pour les actionnaires sur trois et cinq ans. (Source : Bitsight)

C'est la conclusion d'une nouvelle enquête menée conjointement par Bitsight et Diligent Institute, intitulée «Cybersécurité, audit et conseil d'administration.» L'enquête a étudié en profondeur plus de 4,000 23 entreprises de taille moyenne à grande dans le monde, en étudiant l'expertise des administrateurs ainsi que l'expérience des membres des comités d'audit et des risques spécialisés. Ils ont mesuré l'expertise en matière de cybersécurité sur XNUMX facteurs de risque différents, tels que la présence d'infections par botnet, les serveurs hébergeant des logiciels malveillants, les certificats de chiffrement obsolètes pour les communications Web et par courrier électronique et les ports réseau ouverts sur les serveurs publics.

"Les conseils d'administration qui exercent une surveillance cybernétique par l'intermédiaire de comités spécialisés composés d'un membre expert en cybersécurité, plutôt que de s'appuyer sur l'ensemble du conseil d'administration, sont plus susceptibles d'améliorer leur sécurité globale et leurs performances financières", déclare Ladi Adefala, consultant en cybersécurité et PDG d'Omega315, qui est d'accord. avec les conclusions du rapport. Il a travaillé pour une entreprise Fortune 500 sur cette question et a constaté que « le conseil d'administration ne disposait pas d'un comité spécialisé qui consacrerait du temps à approfondir les sujets liés à la cybersécurité. Ils n'avaient pas non plus suffisamment de membres et ne pouvaient donc pas se permettre d'avoir des comités spécialisés dans le cyberespace », dit-il. Une partie de sa pratique de consultant consiste à contribuer à la mise en place de tels comités, ce qu'il appelle donner des cours de cybercivisme.

Mis à part les ressources humaines, la mauvaise gouvernance de la cybersécurité n’est pas vraiment une nouveauté : les entreprises publiques négligent la cybersécurité depuis des années. Par exemple, expert en sécurité David Froud écrit sur ce sujet depuis au moins 2017. Mais ce qui est nouveau, c’est de constater à quel point il est difficile d’évaluer les connaissances en matière de cybersécurité et de construire une gouvernance durable.

Selon le rapport Bitsight, la mise en place de comités de conseil d'administration distincts axés sur les risques spécialisés et la conformité en matière d'audit produit les meilleurs résultats. Les auteurs ont écrit : « Ces comités sont mieux placés pour approfondir des questions spécifiques de cybersécurité et peuvent développer des relations plus solides avec les dirigeants chargés des opérations quotidiennes de cybersécurité. Ceci, à son tour, peut conduire à de meilleures politiques, budgets et autres décisions liées à la cybersécurité au niveau du conseil d’administration.

L’enquête a révélé un large éventail d’expériences en matière de cybersécurité parmi les entreprises liées aux soins de santé et aux services financiers – qui se classent en tête – par rapport aux entreprises industrielles, qui se classent au bas du classement.

Ce qui est révélateur, c’est que la grande majorité des entreprises ont mal réussi à intégrer de tels spécialistes dans leurs conseils d’administration et leurs comités. Le rapport révèle que 5 % des personnes interrogées (et 12 % des sociétés du S&P 500) comptaient ces spécialistes dans leur conseil d'administration. Mais le simple fait d’avoir un RSSI ou un CTO au sein du conseil d’administration ne garantit pas la performance en matière de cybersécurité. "Ces experts doivent être intégrés dans les structures" et les mesures de protection existantes, a noté Bitsight.

Le rapport ne mentionne pas un autre point faible en matière de gouvernance : la construction d’une cyber-résilience durable. Cela a fait l'objet d'une autre enquête, menée par le Cybersecurity at MIT Sloan Research Consortium et publié dans la Harvard Business Review l'année dernière. L'équipe du MIT a interrogé 600 membres du conseil d'administration et a constaté que leurs interactions avec les RSSI faisaient défaut. Moins de la moitié des personnes interrogées ont des contacts réguliers avec leur RSSI, se limitant principalement à des présentations faites lors des réunions du conseil d'administration et pas grand-chose d'autre.

Dans de nombreux cas, ces présentations se limitent aux mécanismes des mesures de protection, comme la fréquence à laquelle les équipes rouges organisent des exercices ou des formations de sensibilisation au phishing. Keri Pearlson, directrice exécutive du consortium MIT et co-auteur (avec Lucia Milică, RSSI résidente mondiale chez Proofpoint) de l'article de HBR, fait une analogie avec le monde médical : « Lorsque nous sommes exposés à une infection, soit nous ne Je ne tombe pas malade, ou si nous tombons malades, nous avons des choses dans notre corps qui se mettent automatiquement au travail pour nous permettre de redevenir meilleurs.

Ce qu'il faut, ajoute-t-elle, c'est que « les conseils d'administration discutent des risques induits par la cybersécurité de leur organisation et évaluent les plans pour gérer ces risques ».

Comme le résume Adefala : « Le moyen le plus convaincant est d’exploiter la cybersécurité comme un atout stratégique pour la création de revenus ou l’agilité opérationnelle, plutôt que comme une nécessité opérationnelle. »

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
La source: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value

Intelligence de données générative

Les entreprises dotées d’une cybergouvernance créent 4 fois plus de valeur

Drake menacé de poursuites pour les voix de Tupac AI

Shiba Inu est en tête des performances cryptographiques de Robinhood

Dernières informations

Meilleurs casinos crypto de 2024 : un guide complet

Le DOJ conteste la caractérisation par Roman Storm des opérations Tornado Cash dans un nouveau dossier

Meilleurs joueurs disponibles pour la deuxième journée du repêchage de la NFL 3

Top 5 des préventes de crypto : BDAG est en tête du peloton avec un potentiel de retour sur investissement de 30,000 XNUMX fois

Forbes dévoile 20 « zombies » cryptographiques et déclare Ripple et XRP parmi les morts-vivants

La Consob, l'organisme de surveillance italien, interdit les sites Web supplémentaires de trading de devises et de crypto-monnaies – CryptoInfoNet

Discutez avec nous