Publiée le 25 février 2025 dans L’Agefi
Dans cette tribune, les membres du groupe de travail cyber de l’institut français des administrateurs (IFA) constatent que la montée en puissance des attaques cyber, conjuguée à leur caractère évolutif et multiforme, en font un enjeu stratégique majeur pour les entreprises.
L’essor de l’intelligence artificielle offre de nouvelles possibilités en matière de fraude. De nouveaux outils peuvent aujourd’hui simuler par exemple la voix et l’image d’un dirigeant. Si le risque cyber est perçu comme très spécifique et technique, il est d’ampleur variable selon l’activité, le modèle d’affaires et les facteurs de complexité inhérents aux systèmes d’information et de leur exposition au risque de fraude. La complexité du risque cyber s’apprécie à travers plusieurs facteurs : la sensibilité des données, les systèmes d’information industriels, l’internet des objets et la multitude de capteurs, les interconnections des systèmes d’information dans la chaîne de valeur, ou encore l’utilisation de la blockchain ou de crypto-actifs.
Le conseil d’administration est un organe collégial qui supervise la direction en particulier sur la stratégie et les risques. À ce titre, son rôle est avant tout d’interroger et de remettre en question les décisions, plus que d’apporter une expertise directe, même s’il peut faire appel à des experts indépendants lorsqu’il le juge nécessaire. Dans ce contexte, une question revient souvent : quelles compétences en cybersécurité sont indispensables au conseil et sous quelle forme doivent-elles exister ? Faut-il privilégier une expertise individuelle, un comité d’audit ou des risques, un comité spécialisé ou encore un administrateur référent, comme c’est le cas dans certaines activités réglementées ?
Compétence spécifique requise
Le risque cyber est de plus en plus difficile à appréhender pour un administrateur non expert ou non spécifiquement formé sur ces sujets. Une bonne compréhension générale, voire une compétence spécifique, permet de poser les bonnes questions, au bon niveau de granularité, de comprendre et de dialoguer avec l’expert ou un auditeur externe spécialisé et plus largement d’apprécier la réponse d’ensemble de la direction. La responsabilisation des dirigeants dans les nouvelles directives NIS2 et Dora va d’ailleurs entraîner un dialogue éclairé sur les sujets cyber et de résilience opérationnelle entre les mandataires sociaux et les administrateurs.
Ainsi, comment assurer la prise en compte du risque au bon niveau par le conseil dans son ensemble en « traduisant » les subtilités ?
Le risque pour le conseil est de se reposer sur cette compétence spécifique dans la prise de décision, et de faire peser sur un administrateur et, à l’expérience, plus souvent une administratrice, une responsabilité plus forte. En clair, de ne plus avoir un fonctionnement véritablement collégial sur un sujet pourtant stratégique.
Selon l’importance des sujets de digitalisation, de gouvernance des données, d’utilisation de nouvelles technologies et d’exposition au risque cyber, le conseil se posera la question d’un comité spécialisé qui creusera ces sujets lors de réunions de travail.
Montée en compétence indispensable
Il revient à chaque conseil de définir le dispositif le plus adapté pour son fonctionnement sur ces aspects. L’administrateur référent cyber est à considérer avec attention, en encadrant son rôle dans une charte , et tout en notant que chaque administrateur devrait être capable de contribuer avec pertinence à la plupart des discussions, à des degrés divers selon son expérience. Le manque de compréhension d’ensemble peut même avoir un impact négatif sur l’efficacité du conseil dans le cas d’un cyber incident.
À l’heure où les menaces cyber se multiplient sur fond de tensions géopolitiques, il est indispensable que l’ensemble des administrateurs monte en compétence de manière réelle, structurée et encadrée. Reste à déterminer comment intégrer cette compétence cyber dans la cartographie des compétences du conseil, comment structurer un plan de formation efficace et à quelle fréquence la cybersécurité doit figurer à l’agenda des conseils.
Tribune rédigée par Anne-Hélène Monselato, administratrice indépendante, Marie-Hélène Rigal, administratrice indépendante, Damien Chaminade, directeur des risques et de la conformité dans une institution de paiement, Nathalie Kestener, entrepreneuse dans le Conseil et la Tech, experte gouvernance, Marie-Noëlle Brisson, administratrice indépendante, co-Founder, CyberReady LLC