Les CEO et l’angle mort des cybercrimes

by Benoit Grenier

English version

Depuis quelques années, il est venu à mes oreilles et j’ai été impliquée dans un nombre croissant d’évènements qui ont été, ou pouvaient devenir catastrophiques pour bien des organisations. Il suffit de songer à une entreprise exploitant des ressources naturelles, victime de groupes d’activistes écologique (hacktivist), d’une très grande entreprise industrielle non syndiquée qui subit des attaques informatiques visant à recueillir les noms et adresses des employés afin de les syndiquer (crackers), d’un manufacturier alimentaire qu’un concurrent tente de discréditer en propageant des vidéos Facebook illustrant que des corps étrangers se trouvent dans ses produits (Spy Hackers), d’une organisation sans-but lucratif qui découvre par accident que ses serveurs sont utilisés par des organisations terroristes étrangères (Cyber Terrorists) ou encore plus récemment, qu’un état étranger s’immisce dans l’élection des présidentielles d’un autre pays (State Sponsored Hackers). Et je ne parle même pas de la vague sans précédent d’extorsion numérique et de demandes de rançon (Ransomware) dont sont victimes nombre d’organisation. Les menaces informatiques et médias sociétaux sont croissantes, innovantes et peuvent affecter sérieusement le chiffre d’affaires, l’image, la réputation, la croissance ou même la survie des entreprises et organisations.

D’ailleurs, comme on peut le lire dans un reportage récent de CBS News :

More than 80 percent of U.S. companies have been successfully hacked, according to a Duke University/CFO Magazine Global Business Outlook Survey released on Friday.

(…)

« Corporate America is an easy mark for hackers as we are repeatedly reminded in the news, » John Graham, director of the survey and a professor at Duke University’s Fuqua School of Business, said in a statement. « However, it is not just big firms like Target that are being hit – 85 percent of smaller firms are also under siege. No one appears safe. The situation may even be worse than reported because many firms might not even realize that they have been attacked. »

http://www.cbsnews.com/news/percentage-of-companies-that-report-systems-hacked/

Mais bon, généralement ce sera le CIO (Chief Information Officer) qui prendra le blâme et qui se fera congédier s’il est démontré qu’une attaque est tributaire de son manque de préparation plutôt qu’à cause d’un évènement fortuit. C’est même ce qui est rassurant pour le CEO. Après tout, ne s’entoure-t-il pas de professionnels qui sont responsables de leurs champs d’expertise ? C’est sans doute ce que se disait aussi le CEO de Target qui a dû démissionner après le vol des données de cartes de crédit des 40 millions de leurs clients.

In the past, some took the view that it was cheaper to pay to clean up the mess after a breach than to invest heavily in trying to prevent it. Remediation, however, is no longer a viable strategy. The leaks of customer data from Target Corporation will cost the company more than $500 million simply to replace credit cards. Meanwhile, customers and small banks have filed 68 class action lawsuits, in more than 20 states, alleging that Target did not take proper steps to protect consumer data. Because the breach occurred early in the holiday shopping season, Target’s net income for the fourth quarter of 2013 fell by 46 per cent. The long-term impact on the retailer’s brand is as yet unclear.

http://www.ceocouncil.ca/wp-content/uploads/2014/04/What-Every-CEO-Must-Know-Cyber-April-4-2014-Final.pdf

Les problèmes de communication CEO-CIO-employés

L’une des plus importantes solutions aux problèmes de cybercrimes qui affectent les organisations est d’abord le sain dialogue entre le CEO et le CIO,  puis avec l’ensemble du management et des employés. Or, la plupart du temps, ils ne parlent pas le même langage. Ils n’ont pas les mêmes objectifs et n’évaluent pas les risques de la même manière. Ce difficile dialogue est pourtant essentiel. C’est le constat que faisait aussi Entrepreneur.com dans l’article CEOs Can No Longer Sit Idly By on Cybersecurity.

Not too long ago, a corporation’s cybersecurity initiatives were discussed only within IT departments. Even when breaches occurred, the spotlight focused on root causes and the technical fixes needed to remedy the matter. Rarely would such an issue have repercussions for any executive team member.

(…)

The loss of corporate data, violations of privacy laws and the degrading or total shutdown of business operations is becoming commonplace in today’s connected environments. These incidents put every organization — and executive team member — at risk.

This means each person on a company’s management team must be armed with the requisite knowledge to make informed decisions about cybersecurity — not just an understanding of the basic concepts. Executives must understand more in-depth technological concepts and applicable laws and the future opportunities for senior IT and business managers, innovators and information entrepreneurs to solve information-security challenges. https://www.entrepreneur.com/article/233911

Mais le problème reste que le CEO ne comprend souvent pas le langage du CIO et que celui-ci, malgré son inclinaison à s’adapter au CEO, continue à parler « technologie » au lieu « objectif d’affaires ». Ce constat est éloquent dans un article de CIOInsights.com The Differences Between CIOs and CEOs. On y apprend que lorsqu’on demande aux CIO ce que leur patron s’attendent d’eux pour l’année à venir, leurs priorités tournent autour d’atteinte des objectifs de revenu, de complétion de projets d’entreprise, d’acquisition et de rétention des clients, de simplification des TI et d’effort d’innovation de produits. Par contre, lorsqu’on leur demande leurs objectifs personnels pour l’année à venir ils discuteront plutôt de gestion de données et d’analyses statistiques, de mobilité (incluant la gestion, la sécurité et les « stores » des app et tablettes, de développement d’application incluant les ERP et CRM, d’infonuagique publique, privée et hybride et de sécurité incluant les antivirus, pare-feu VPN et identifiants uniques. Disons que c’est le genre de jargon qui rebute les grands patrons et le comité de gestion d’entreprise.

So, what’s the problem? The problem is that when the priorities of the CEO and CIO are not in synch it inevitably leads to, at best, misunderstandings about the value that IT is delivering to the organization and, at worst, a communications and credibility disconnect between the CEO and the CIO that can be difficult to repair. Neither one is good for the organization or for the CIO’s career trajectory. https://www.entrepreneur.com/article/233911

Un problème de perception

L’autre problème majeur des CEO face aux risques grandissants des cybercrimes, en est un de perception. Comme on dit dans le jargon, « les bottines ne suivent pas les babines ». La plupart des CEO américains sont conscients des enjeux et risques des cybercrimes, ils prennent à cœur ceux-ci et les mettent dans leurs objectifs, mais se dédouanes de leurs responsabilités en les faisant porter entièrement sur les épaules des CIO. Dans l’article CEOs disconnect between cyber security perception and reality; report on peut lire :

The survey, which is based on 200 CEOs from various industries, such as technology, finance, manufacturing, government and retail, discovered that 80% of CEOs are confident in their company’s cybersecurity strategies, regardless of the fact that security incidents have increased by 66% year-on-year since 2009.

Ray Rothrock, chairman and CEO of RedSeal said: « CEOs are underestimating their companies’ cyber vulnerabilities. Their confidence does not square with what we observe. Cyber-attacks are up and financial losses associated with these attacks are increasing dramatically. » 

(…)

Plus, 79% of CEOs strongly agree that cybersecurity is a strategic function that starts with executive leadership versus being a responsibility passed on to the IT team, 89% of these same CEOs report reliance on their IT team to make the budget decisions on cybersecurity. http://www.cioinsight.com/it-management/expert-voices/the-differences-between-cios-and-ceos.html

Comme quoi, encore énormément de travail reste à faire afin de conscientiser les grands patrons aux réels dangers auxquels ils s’exposent et aux manières d’appréhender ceux-ci afin de réduire sensiblement le risque. Je vous reviens bientôt avec la suite dans un prochain article.

Benoit Grenier
CEO & Founder
Proactive Risk Management
www.parminc.com

Note: Merci à Gina Savoie, Michelle Blanc et Nam Hoang pour leur contribution à la recherche pour cet article.

Previous post:

Next post: