Dans mes derniers articles Les CEO et l’angle mort des cybercrimes et Les CEO et les cybercrimes, les solutions, je présentais plusieurs des types de risques que confrontent les organisations, les problèmes de communications CEO-CIO, les problèmes de perception de la cybercriminalité des CEO, de l’audit de sécurité et de l’importance d’avoir un CISO (chief information security officer). Aujourd’hui, je continuerai à vous parler de solutions proactives de gestion des risques en vous présentant le CRO (Chief Risk Officer). Depuis un bon moment, les institutions financières se sont dotées d’un tel officier dans leurs organisations. Ils n’ont pas eu le choix étant donné les accords de Basel, Sarbanes-Oxley et le rapport Turnbull. Initialement le rôle du CRO était de prémunir les organisations contre les risques associés à l’évolution des cadres règlementaires imposés aux institutions financières. Puis, ces CRO ont aussi commencé à analyser les audits internes, les couvertures d’assurances, la détection de fraude, les investigations corporatives et… la sécurité de l’information. C’est de ce dernier point que je vous parlerai aujourd’hui.

https://en.wikipedia.org/wiki/Basel_Accords

https://en.wikipedia.org/wiki/Sarbanes%E2%80%93Oxley_Act

https://en.wikipedia.org/wiki/Turnbull_Report

https://en.wikipedia.org/wiki/Information_security

La sécurité de l’information (aussi nommé infosec) elle-même a grandement évolué au fil des ans. Elle s’intéressait d’abord  à la sûreté, la garantie, et la protection d’une donnée ou d’une information, pour évoluer vers ces mêmes activités, de formes numériques. Ainsi, le CRO est venu à s’intéresser aux télécommunications, logiciels, équipements informatiques, réseaux, hébergement, base de données, mobilité, cryptage, processus de sécurité physique et humain, menaces terroristes, environnementales, à la protection des données personnelles et vie privée, au cadre juridique et aux assurances diverses. Disons que tout d’un coup, l’assiette commençait à être pleine.

Another huge concern that was virtually unknown just a few decades ago is cybercrime, particularly the threat of hacking by those interested in stealing company secrets or customer data. According to a 2014 report from the Center for Strategic and International Studies, cybercrime drains some $375 billion to $575 billion per year from the global economy.

In recent years, data breaches at major companies in several different industries have cost CEOs their jobs. The risks intensify when companies merge and integrate their IT systems. A BCG report in February noted, « While these concerns hold true for all companies, they are acute in A&D [aerospace & defense], in which companies often are dealing with issues of national security. »

https://www.forbes.com/sites/haroldsirkin/2016/03/07/if-you-dont-have-a-chief-risk-officer-get-one/#192adb36244b

Comme la dimension technologique de cette nouvelle fonction du CRO devenait majeure, tout naturellement le premier réflexe a été de travailler avec les fournisseurs informatiques usuels de l’organisation.  Ils pouvaient fournir antivirus, pare-feu et autres « parades » informatiques. Cependant, les menaces ayant évolué de manière fulgurante, la vision des menaces sous l’œil strictement informatique est maintenant loin de suffire.

An enterprise-wide approach

While cybersecurity was once relegated to a technical or operational issue handled by IT, a cross-departmental, enterprisewide approach to cybersecurity is necessary, according to the Cyber-Risk Oversight, Directors Handbook Series, produced by the NACD. The publication suggests that cybersecurity should be evaluated and managed in the same manner as the organization considers physical security of human and physical assets.

https://www.grantthornton.com/~/media/content-page-files/advisory/pdfs/2015/BAS-FEI-CFO-whitepaper-150605FIN.ashx

Puis le CFO étant le grand manitou du « cash » qui peut entrer ou sortir (surtout en cas de risque avéré) de l’organisation, il se tourna tout naturellement vers ses conseillers financiers historiques que sont les CPA et les grandes firmes-conseil en gestion. Après tout, ils ont déjà l’habitude des audits et prétendent détenir l’expertise en gestion des risques informatiques. Donc les organisations se sont principalement tournées vers ceux qui fournissent le matériel et le logiciel pour critiquer leurs propres produits et services et verts les grands bureaux comptables qui à leur tour, analyseront les défaillances de leurs propres prestations professionnelles. Il y a ici comme un chien qui se mord la queue… D’ailleurs, les firmes comptables elles-mêmes semblent avoir de la difficulté à gérer leurs propres risques informatiques.

New research shows yet again, accountants are taking sometimes potentially disastrous risks with their firms and – worse – with their clients.

The recent “Accounting Firm Operations and Technology Survey,” published by CPA Trendlines Research, shows these risks go beyond merely “falling behind” the technology curve because of traditionally penny-wise, pound-foolish spending. At one time, “falling behind” risked obsolescence, or worse, maybe irrelevance – either of which was a business risk, but a risk that could only be measured by benchmarking against “the competition,” whatever that was.

Today accounting firms are taking on a whole new category of risk – the risk of sudden, unforeseen and irrecoverable disaster. The black swan event.

http://www.accountingweb.com/community-voice/blogs/rick-telberg/accounting-firm-tech-systems-are-weak

D’autres organisations ayant plus de flair ont décidé d’internaliser le rôle du CRO. C’était déjà un pas dans la bonne direction. Cependant, cette solution a elle aussi ses écueils, dont le risque de créer une tension évidente entre ce détective des risques et l’inertie et la culpabilité inhérente à ceux qui deviendraient possiblement coupables de manquement ou de faiblesse. On parle donc du problème « d’indépendance ».

Formal reporting lines may vary across banks, but regardless of these reporting lines, the independence of the CRO is paramount.

While the CRO may report to the CEO or other senior management, the CRO should also report and have direct access to the board and its risk committee without impediment.

Also, the CRO should not have any management or financial responsibility in respect of any operational business lines or revenue-generating functions.

Interaction between the CRO and the board should occur regularly and be documented adequately.

Non-executive board members should have the right to meet regularly – in the absence of senior management – with the CRO.

http://www.chief-risk-officer.com/

Successful CROs acknowledge the possible tension with their new peers and look for opportunities to show that their position can complement what the CFO and CAE already do, take some of the load off their already full plates, and create synergies that benefit the organization and the CFO and CAE. What does the new CRO get from taking this cooperative and conciliatory approach? The CRO gains two strong allies and proponents for ERM and support for creating a risk aware culture, as well as the insights he or she will need to do the job most effectively.

https://web.archive.org/web/20060517033324/http://www.rmmag.com/Magazine/PrintTemplate.cfm?AID=2855

Pour toutes ces raisons, nous demeurons convaincus que le CRO a tout avantage à être quelqu’un d’externe à l’organisation et que de surcroit, il se doit d’avoir l’expérience, la méthodologie et l’expertise technologique, financière, de gestion. Plusieurs organisations (dont celle de votre humble serviteur) se spécialisent dans la gestion et l’analyse des risques organisationnels, sans avoir le parti pris d’être fournisseur technologique ou de service-conseils comptables. Si toutefois l’option d’internaliser le CRO dans votre organisation, nous pourrons aussi certainement lui transférer les connaissances et l’expertise nécessaire à l’accomplissement de cette mission plus que stratégique.

Questions for the CIO Before an attack

  1. What are our major IT risks? Do we understand them? How do these compare with other enterprise risks?
  2. What is our mechanism for reviewing major IT risks and adjusting defence strategies accordingly?
  3. What are our most critical data elements? Where are they held within our enterprise or partner data system? How are we protecting them? What is our approach to cloud computing?
  4. Have we evaluated our supply-chain risk?
  5. Do we have a social media policy? Are all employees trained on it? How do we monitor its application?
  6. Do we have daily cyber threat intelligence/information that is customized for our environment and systems so we can prepare for threats before they strike?
  7. What is our response plan in the event of a cyber breach? Do we have access to professional cyber incident responders – internally or through service providers – who can help us manage and contain a breach? Do we know who to call in the government and law enforcement communities for assistance? How would you evaluate our business continuity program?

http://www.ceocouncil.ca/wp-content/uploads/2014/04/What-Every-CEO-Must-Know-Cyber-April-4-2014-Final.pdf

 

Benoit Grenier
CEO and Co-Founder
Proactive Risk Management

 

Pour la rédaction de cette série d’articles, nous avons consulté ces articles qui pourraient aussi être d’intérêts pour vous.

CEO

Our biggest blindspots as CEOs

https://m.signalvnoise.com/our-biggest-blindspots-as-ceos-5c1bdab8347c#.nwnk0qu4b

What every CEO needs to know about cybersecurity: A background paper By Ray Boisvert President and CEO I-SEC Integrated Strategies

http://www.ceocouncil.ca/wp-content/uploads/2014/04/What-Every-CEO-Must-Know-Cyber-April-4-2014-Final.pdf

Cybersecurity Questions for CEOs

https://www.us-cert.gov/sites/default/files/publications/DHS-Cybersecurity-Questions-for-CEOs.pdf

Why CEOs Are Failing Cybersecurity, And How To Help Them Get Passing Grades

http://www.forbes.com/sites/stevemorgan/2016/05/04/why-ceos-are-failing-cybersecurity-and-how-to-help-them-get-passing-grades/#43da6ebf553b

The Biggest Threat to Cyber Security–Your CEO

Preventing cyberattacks might be as simple as keeping an eye on the C-suite.

http://www.inc.com/julie-strickland/ceo-cyberattacks-hacking.html

Corporate Security Checklist – a CEO’s Guide to Cyber Security

22 essential questions to evaluate your company’s defenses

https://heimdalsecurity.com/blog/corporate-security-checklist-a-ceos-guide-to-cyber-security/

Cyber Risk Management Primer for CEOs

https://www.dhs.gov/sites/default/files/publications/C3%20Voluntary%20Program%20-%20Cyber%20Risk%20Management%20Primer%20for%20CEOs%20_5.pdf

Cyber Security: A Failure of Imagination by CEOs

http://www.theatlantic.com/sponsored/kpmg-2016/cyber-security-a-failure-of-imagination-by-ceos/912/

The CISO, the CIO, the CEO, or you: Who is really responsible for cybersecurity?

http://www.zdnet.com/article/who-is-really-responsible-for-cybersecuritythe-ciso-the-cio-the-ceo-or-you-who-is-really-responsible/

Target CEO Fired – Can You Be Fired If Your Company Is Hacked?

http://www.forbes.com/sites/ericbasu/2014/06/15/target-ceo-fired-can-you-be-fired-if-your-company-is-hacked/#d9abd317bc1c

CEOs Can No Longer Sit Idly By on Cybersecurity

https://www.entrepreneur.com/article/233911

CEOs disconnect between cyber security perception and reality; report

http://www.itp.net/610976-ceos-disconnect-between-cyber-security-perception-and-reality;-report

 

CEO/CIO

The CEO/CIO relationship

http://www.computerworld.com/article/2586489/vertical-it/the-ceo-cio-relationship.html

The Differences Between CIOs and CEOs

http://www.cioinsight.com/it-management/expert-voices/the-differences-between-cios-and-ceos.html

The CIO in Crisis: What You Told Us

https://hbr.org/2013/07/the-cio-in-crisis-what-you-tol

Is There A CEO-CIO Disconnect?

http://www.huffingtonpost.co.uk/vincent-delaroche/is-there-a-ceocio-disconn_b_12768684.html

CIO vs CEO: Finding Middle Ground

http://www.mavenwave.com/fusion-blog/cio-vs-ceo-finding-middle-ground/

Securing the C-Suite, Part 1: Lessons for Your CIO and CISO

https://securityintelligence.com/securing-the-c-suite-part-1-lessons-for-your-cio-and-ciso/

 

CRO

The Chief Risk Officer: What Does It look Like and How Do You Get There?

https://web.archive.org/web/20060517033324/http://www.rmmag.com/Magazine/PrintTemplate.cfm?AID=2855

Chief Risk Officers Are Taking on a Broader Role

http://blogs.wsj.com/riskandcompliance/2016/04/01/chief-risk-officers-are-taking-on-a-broader-role/

The Triumph of the Humble Chief Risk Officer

http://www.hbs.edu/faculty/Publication%20Files/14-114_60866b77-6b5c-4fd3-9ce1-e2ab8d5da654.pdf

If You Don’t Have A Chief Risk Officer, Get One

https://www.forbes.com/sites/haroldsirkin/2016/03/07/if-you-dont-have-a-chief-risk-officer-get-one/#192adb36244b

The role of the Chief Risk Officer in the spotlight

https://www.towerswatson.com/DownloadMedia.aspx?media=%7BA590F5C1-5630-45A8-9133-4C04AF5B80BD%7D

 

CFO

Three ways to strengthen the CFO-CIO partnership CFO Insights

https://www2.deloitte.com/us/en/pages/finance/articles/cfo-insights-cfo-cio-partnership.html

When technology meets finance: how the CFO can become an innovation catalyst

http://www.information-age.com/when-technology-meets-finance-how-cfo-can-become-innovation-catalyst-123460018/

Accountants as aggregators of data – Evading a Cyber Attack

http://www.lexology.com/library/detail.aspx?g=7ea05894-ca30-4ab8-b14e-f39cdb5a6abb

Cyber Security  Big Four get serious on cyber security

https://www.ft.com/content/270d2894-ecb5-11e3-a754-00144feabdc0

Data and Dollars: The Role of the CFO in Cybersecurity

http://www.connectedfuturesmag.com/a/F15A1/data-and-dollars-the-role-of-the-cfo-in-cybersecurity/

The CFO’s role in cybersecurity

https://www.grantthornton.com/~/media/content-page-files/advisory/pdfs/2015/BAS-FEI-CFO-whitepaper-150605FIN.ashx

Accounting Firm Tech Systems Are Weak

http://www.accountingweb.com/community-voice/blogs/rick-telberg/accounting-firm-tech-systems-are-weak

 

Cybercrimes/Cybersecurity

TOP CYBERCRIMES WHITE PAPER HOW CPAs CAN PROTECT THEMSELVES AND THEIR CLIENTS

http://www.aicpa.org/InterestAreas/InformationTechnology/Resources/Privacy/CyberSecurity/DownloadableDocuments/Top-5-CyberCrimes.pdf

Cybersecurity Best Practices Guide For IIROC Dealer Members

http://www.iiroc.ca/industry/Documents/CybersecurityBestPracticesGuide_en.pdf

Study shows businesses the ROI behind a strong security program

http://www.ncxgroup.com/2016/04/study-shows-businesses-roi-strong-security-program/#.WLc9NBLhAdU

IT security auditing: Best practices for conducting audits

http://searchsecurity.techtarget.com/IT-security-auditing-Best-practices-for-conducting-audits

Internal Audit’s Contribution to the Effectiveness of Information Security (Part 1)

https://www.isaca.org/Journal/archives/2014/Volume-2/Pages/Internal-Audits-Contribution-to-the-Effectiveness-of-Information-Security-Part-1.aspx

7 Types of Hacker Motivations

https://securingtomorrow.mcafee.com/consumer/family-safety/7-types-of-hacker-motivations/

No Business Too Small to Be Hacked

https://www.nytimes.com/2016/01/14/business/smallbusiness/no-business-too-small-to-be-hacked.html

Percentage of companies that report systems hacked

http://www.cbsnews.com/news/percentage-of-companies-that-report-systems-hacked/

{ 1 comment }

Dans mon récent article Les CEO et l’angle mort des cybercrimes, j’expliquais que les grands patrons avaient un problème de perception quant à la gravité des risques informatiques qui les entourent, qu’ils pourraient désormais être tenus responsables des conséquences de ces crimes et qu’ils ont des problèmes de communication avec leurs CIO. Quelles sont les solutions possibles ?

L’audit de sécurité, outil essentiel à la prévention des intrusions

Avant de parler de la grande entreprise, je rappelle ici que les PME demeurent les cibles de prédilection des criminels informatique. Comme on peut le lire dans l’article No Business Too Small to Be Hacked du New york Times, 60% des attaques en ligne de 2014 visaient les petites et moyennes entreprises. Comme il n’est plus très payant de voler les cartes de crédit par internet, les pirates se sont perfectionnés. Ils font maintenant ce que l’on nomme les ransomware (logiciel rançonneur). En fait, ils s’introduisent dans les systèmes informatiques parce qu’un employé clique sur le lien malicieux dans un courriel ou qu’il télécharge un fichier infecté, puis le système informatique de l’entreprise se barre et une annonce apparait demandant une rançon pour repartir le système.

Given the increase in such attacks, being unprepared is like playing security roulette, said Robert Siciliano, chief executive of IdTheftSecurity.com.

“If you’re not deploying some level of security, you’ll go under,” he added. “You have to make time for quality control. The worst thing you can do is nothing.”

Mr. Siciliano recommends a security audit as a first step. The audit should take note of potential areas of risk, like customer data or employee access. “How secure — or not — is your system?” he said.

Pour ne pas jouer à la roulette russe informatique, vous devrez donc faire un audit complet de vos risques informatiques. Si vous n’avez pas de département informatique assez développé, vous devrez donner ce mandat à une firme spécialisée.

Pour la grande et très grande entreprise, cet audit des risques informatique se fera souvent à l’interne. Malheureusement, il est très difficile, voire impossible, d’être le critique de son propre travail et de ses faiblesses. Il est aussi hasardeux de suivre adéquatement l’évolution des technologies nécessaire pour l’entreprise et de simultanément suivre l’évolution des menaces technologiques et d’ingénierie sociale associée aux risques malveillants. C’est l’une des observations de PWC, dans son document Fortifying your defenses The role of internal audit in assuring data security and privacy.

In our experience, every company has security controls and privacy policies, often quite comprehensive ones. But all too often, no one checks to see if these protocols are being followed. As well, new threats to information security are often overlooked—threats that might demand new procedures and tools.

(…)

No matter how strong its data security policies and controls, a company won’t really know the adequacy of its defenses if it doesn’t continually verify that those defenses are sound, uncompromised, and applied in a consistent manner. To achieve such assurance, internal audit has to play a far more substantial role in information security than is often the case today. Companies’ audit committees must also pay more attention to the problem, and heighten the expectations they place on internal audit regarding information security.

Isaca (Information Systems Audit and Control Association) quant à elle, souligne le conflit inhérent que peut vivre l’auditeur interne face à ses collègues des Technologies de l’information.

In the interviews, information security professionals indicated that how internal auditors approached the review of information security profoundly affected the quality of the relationship. At one extreme, the auditors could be perceived as “the police” who were out to catch mistakes; at the other extreme, they could be viewed as consultants or advisors. Not surprisingly, the two examples had markedly different effects on the quality of the relationship. When auditors were viewed as “the police,” the relationship was formal, reserved and even adversarial; but, when auditors were perceived more as advisors and consultants, the relationship was more open and positive. The latter view was most clearly explained by the information security manager who provided the comment about the “cat-and-mouse” game quoted earlier, who said: “We can leverage each other’s expertise and position in the organization to make things happen. Many times the IT department will tend to almost hide things from audit because they do not want to get a black eye and we don’t have that issue here so much…we have the same goals.

Mais si toutefois la grande entreprise persistait à gérer elle-même ses risques informatiques et à se doter d’une équipe de gestion des risques et d’un audit interne et d’un CISO (chief information security officer) qui serait sous la direction d’un CIO (en supposant qu’ils aient toute la latitude pour remettre en question les manquements de leur propre patron), la communication CEO-CIO demeurerait difficile. Le fait est que les CEO et les CIO ne partagent souvent pas le même langage. La plupart des CEO sont très familiers avec la finance, le marketing, la production ou les ressources humaines, mais les technologies de l’information sont l’enfant pauvre de leurs compétences. Les CIO quant à eux, ont aussi de la difficulté à s’imposer dans le comité de direction et à faire valoir l’importance capitale (dans le langage approprié) des technologies de l’information pour l’innovation de l’entreprise ou pour sa survie même, si les risques informatiques qu’elle peut engendrer, ne sont pas efficacement gérés. Cette dichotomie a été largement observée et se retrouve sous le vocable « CEO-CIO disconnect ». C’est l’essence de ce que disait NXC dans son article Study shows businesses the ROI behind a strong security program

The big problem with the CEO and CIO disconnect isn’t only that it weakens security, but also that it negatively impacts business growth.  A recent study showed just how influential an organization’s security impacts business dealings.

(…)

The fact that those running a business, from the CEO and the board to the CIO and the CISO, can’t agree on how to stay proactive and effective with security is something that must change.  Yes, the CIO and CEO speak a different language and have different responsibilities; but their common goal is to stay in business.  With this in mind, and the clear ROI behind a strong information security program, there has to be a meeting point between all those involved; and it starts from evaluating what’s missing with the security process in place.

Comme je le dis souvent, dans une organisation, un dossier descend toujours mieux qu’il monte. C’est l’une des raisons pourquoi, il est primordial que les CEO s’impliquent, comprennent et donnent un signal fort, que la sécurité informatique est l’un des enjeux les plus fondamentaux pour la croissance et la survie de l’entreprise, quelle qu’elle soit…

No Business Too Small to Be Hacked
https://www.nytimes.com/2016/01/14/business/smallbusiness/no-business-too-small-to-be-hacked.html

Fortifying your defenses The role of internal audit in assuring data security and privacy
https://www.pwc.com/us/en/risk-assurance-services/assets/pwc-internal-audit-assuring-data-security-privacy.pdf

Internal Audit’s Contribution to the Effectiveness of Information Security (Part 1)
https://www.isaca.org/Journal/archives/2014/Volume-2/Pages/Internal-Audits-Contribution-to-the-Effectiveness-of-Information-Security-Part-1.aspx

Study shows businesses the ROI behind a strong security program
http://www.ncxgroup.com/2016/04/study-shows-businesses-roi-strong-security-program/#.WLc9NBLhAdU

Benoit Grenier
Co-Founder and CEO
Proactive Risk Management
www.parminc.com

{ 2 comments }

English version

Depuis quelques années, il est venu à mes oreilles et j’ai été impliquée dans un nombre croissant d’évènements qui ont été, ou pouvaient devenir catastrophiques pour bien des organisations. Il suffit de songer à une entreprise exploitant des ressources naturelles, victime de groupes d’activistes écologique (hacktivist), d’une très grande entreprise industrielle non syndiquée qui subit des attaques informatiques visant à recueillir les noms et adresses des employés afin de les syndiquer (crackers), d’un manufacturier alimentaire qu’un concurrent tente de discréditer en propageant des vidéos Facebook illustrant que des corps étrangers se trouvent dans ses produits (Spy Hackers), d’une organisation sans-but lucratif qui découvre par accident que ses serveurs sont utilisés par des organisations terroristes étrangères (Cyber Terrorists) ou encore plus récemment, qu’un état étranger s’immisce dans l’élection des présidentielles d’un autre pays (State Sponsored Hackers). Et je ne parle même pas de la vague sans précédent d’extorsion numérique et de demandes de rançon (Ransomware) dont sont victimes nombre d’organisation. Les menaces informatiques et médias sociétaux sont croissantes, innovantes et peuvent affecter sérieusement le chiffre d’affaires, l’image, la réputation, la croissance ou même la survie des entreprises et organisations.

D’ailleurs, comme on peut le lire dans un reportage récent de CBS News :

More than 80 percent of U.S. companies have been successfully hacked, according to a Duke University/CFO Magazine Global Business Outlook Survey released on Friday.

(…)

« Corporate America is an easy mark for hackers as we are repeatedly reminded in the news, » John Graham, director of the survey and a professor at Duke University’s Fuqua School of Business, said in a statement. « However, it is not just big firms like Target that are being hit – 85 percent of smaller firms are also under siege. No one appears safe. The situation may even be worse than reported because many firms might not even realize that they have been attacked. »

http://www.cbsnews.com/news/percentage-of-companies-that-report-systems-hacked/

Mais bon, généralement ce sera le CIO (Chief Information Officer) qui prendra le blâme et qui se fera congédier s’il est démontré qu’une attaque est tributaire de son manque de préparation plutôt qu’à cause d’un évènement fortuit. C’est même ce qui est rassurant pour le CEO. Après tout, ne s’entoure-t-il pas de professionnels qui sont responsables de leurs champs d’expertise ? C’est sans doute ce que se disait aussi le CEO de Target qui a dû démissionner après le vol des données de cartes de crédit des 40 millions de leurs clients.

In the past, some took the view that it was cheaper to pay to clean up the mess after a breach than to invest heavily in trying to prevent it. Remediation, however, is no longer a viable strategy. The leaks of customer data from Target Corporation will cost the company more than $500 million simply to replace credit cards. Meanwhile, customers and small banks have filed 68 class action lawsuits, in more than 20 states, alleging that Target did not take proper steps to protect consumer data. Because the breach occurred early in the holiday shopping season, Target’s net income for the fourth quarter of 2013 fell by 46 per cent. The long-term impact on the retailer’s brand is as yet unclear.

http://www.ceocouncil.ca/wp-content/uploads/2014/04/What-Every-CEO-Must-Know-Cyber-April-4-2014-Final.pdf

Les problèmes de communication CEO-CIO-employés

L’une des plus importantes solutions aux problèmes de cybercrimes qui affectent les organisations est d’abord le sain dialogue entre le CEO et le CIO,  puis avec l’ensemble du management et des employés. Or, la plupart du temps, ils ne parlent pas le même langage. Ils n’ont pas les mêmes objectifs et n’évaluent pas les risques de la même manière. Ce difficile dialogue est pourtant essentiel. C’est le constat que faisait aussi Entrepreneur.com dans l’article CEOs Can No Longer Sit Idly By on Cybersecurity.

Not too long ago, a corporation’s cybersecurity initiatives were discussed only within IT departments. Even when breaches occurred, the spotlight focused on root causes and the technical fixes needed to remedy the matter. Rarely would such an issue have repercussions for any executive team member.

(…)

The loss of corporate data, violations of privacy laws and the degrading or total shutdown of business operations is becoming commonplace in today’s connected environments. These incidents put every organization — and executive team member — at risk.

This means each person on a company’s management team must be armed with the requisite knowledge to make informed decisions about cybersecurity — not just an understanding of the basic concepts. Executives must understand more in-depth technological concepts and applicable laws and the future opportunities for senior IT and business managers, innovators and information entrepreneurs to solve information-security challenges. https://www.entrepreneur.com/article/233911

Mais le problème reste que le CEO ne comprend souvent pas le langage du CIO et que celui-ci, malgré son inclinaison à s’adapter au CEO, continue à parler « technologie » au lieu « objectif d’affaires ». Ce constat est éloquent dans un article de CIOInsights.com The Differences Between CIOs and CEOs. On y apprend que lorsqu’on demande aux CIO ce que leur patron s’attendent d’eux pour l’année à venir, leurs priorités tournent autour d’atteinte des objectifs de revenu, de complétion de projets d’entreprise, d’acquisition et de rétention des clients, de simplification des TI et d’effort d’innovation de produits. Par contre, lorsqu’on leur demande leurs objectifs personnels pour l’année à venir ils discuteront plutôt de gestion de données et d’analyses statistiques, de mobilité (incluant la gestion, la sécurité et les « stores » des app et tablettes, de développement d’application incluant les ERP et CRM, d’infonuagique publique, privée et hybride et de sécurité incluant les antivirus, pare-feu VPN et identifiants uniques. Disons que c’est le genre de jargon qui rebute les grands patrons et le comité de gestion d’entreprise.

So, what’s the problem? The problem is that when the priorities of the CEO and CIO are not in synch it inevitably leads to, at best, misunderstandings about the value that IT is delivering to the organization and, at worst, a communications and credibility disconnect between the CEO and the CIO that can be difficult to repair. Neither one is good for the organization or for the CIO’s career trajectory. https://www.entrepreneur.com/article/233911

Un problème de perception

L’autre problème majeur des CEO face aux risques grandissants des cybercrimes, en est un de perception. Comme on dit dans le jargon, « les bottines ne suivent pas les babines ». La plupart des CEO américains sont conscients des enjeux et risques des cybercrimes, ils prennent à cœur ceux-ci et les mettent dans leurs objectifs, mais se dédouanes de leurs responsabilités en les faisant porter entièrement sur les épaules des CIO. Dans l’article CEOs disconnect between cyber security perception and reality; report on peut lire :

The survey, which is based on 200 CEOs from various industries, such as technology, finance, manufacturing, government and retail, discovered that 80% of CEOs are confident in their company’s cybersecurity strategies, regardless of the fact that security incidents have increased by 66% year-on-year since 2009.

Ray Rothrock, chairman and CEO of RedSeal said: « CEOs are underestimating their companies’ cyber vulnerabilities. Their confidence does not square with what we observe. Cyber-attacks are up and financial losses associated with these attacks are increasing dramatically. » 

(…)

Plus, 79% of CEOs strongly agree that cybersecurity is a strategic function that starts with executive leadership versus being a responsibility passed on to the IT team, 89% of these same CEOs report reliance on their IT team to make the budget decisions on cybersecurity. http://www.cioinsight.com/it-management/expert-voices/the-differences-between-cios-and-ceos.html

Comme quoi, encore énormément de travail reste à faire afin de conscientiser les grands patrons aux réels dangers auxquels ils s’exposent et aux manières d’appréhender ceux-ci afin de réduire sensiblement le risque. Je vous reviens bientôt avec la suite dans un prochain article.

Benoit Grenier
CEO & Founder
Proactive Risk Management
www.parminc.com

Note: Merci à Gina Savoie, Michelle Blanc et Nam Hoang pour leur contribution à la recherche pour cet article.

{ 1 comment }

Proactive Risk Management: The team

février 13, 2017

PARM’s Team #PARM #PARMINC Discover the team! https://parminc.com/about/the-team/

Read the full article →

PARM and Humintell working together for a better world. Prepare yourself.

janvier 23, 2017

PARM published today an article regarding a concerning issue for organization in 2017. An invitation to read. What would you do if? Active Shooter 2017. by Dr. David Matsumoto ….Unsurprisingly, most of these events have occurred at businesses (Figure 2). Because these data are cause for grave concern for any organization, private or public, it […]

Read the full article →

Creating Value: a reflexion on Vacation Responders

janvier 3, 2017

The Holidays. The time of the year where you have recharged your batteries with a series of family and in-law soirées.  If you were at work and had to send emails, you most likely experienced quite a lot of today’s topic: Out of Office Vacation Auto-reply Out-of-Office Messages are a fixture of the modern work […]

Read the full article →