En 2024, les nouvelles régulations de la Securities and Exchange Commission (SEC) pour faire face aux cybermenaces en plein essor pourrait bien modifier les priorités des CISOs. En effet, la responsabilité individuelle et légale qui leur est imposée par la SEC en cas de violation de données illustre l’enjeu croissant de la cybersécurité.
Les discussions à haut risque au sein des hautes directions sur les risques nécessitent donc maintenant un système d’enregistrement robuste non seulement comme moyen de protection personnelle, mais aussi comme démonstration de leur diligence et de leur attention dans la gestion des cybermenaces. Ce principe s’applique bien sûr directement aux CISO, et pas seulement américains (voir ci-dessous le cas des administrateurs en Albanie).
Selon l’article intéressant ci-dessous, voici quelques étapes importantes que les directeurs de la sécurité de l’information (CISOs) peuvent prendre pour se protéger contre les reproches personnels en cas de problèmes de sécurité :
- Gardez de bons dossiers : Tout comme les responsables de la santé qui tiennent des notes détaillées pour se protéger, les CISOs devraient faire de même. Puisqu’ils pourraient ne pas avoir d’assurance spéciale pour les couvrir et avec les nouvelles règles qui les tiennent personnellement responsables, la tenue de dossiers est plus importante que jamais.
- Décidez de ce qui est vraiment important : Les CISOs devraient travailler avec leur équipe juridique ou leurs gestionnaires de risques pour déterminer ce que signifie « la matérialité » pour leur entreprise. Cela les aidera à déterminer quelles informations sont suffisamment importantes pour être communiquées aux investisseurs ou actionnaires, et quelles ne le sont pas autant. Cette compréhension les aidera à rester en « sécurité juridique ».
- Parlez d’argent : Il est crucial que les CISOs expliquent pourquoi la sécurité est importante d’une manière que les dirigeants de l’entreprise, comme le conseil d’administration, puissent comprendre. Cela signifie parler de combien coûteront les actions de sécurité, pourquoi elles sont nécessaires, et ce qui pourrait se passer, en termes d’argent perdu, s’ils ne préviennent pas les violations de sécurité.
- Impliquez-vous dans les discussions sur l’assurance cyber : Les CISOs devraient participer activement lorsque leur entreprise choisit des politiques d’assurance cyber. Souvent, ils pourraient simplement être d’accord avec ce que l’équipe juridique ou le responsable financier a déjà décidé. Cependant, s’ils ne sont pas actifs dans la prise de décisions, ils pourraient consentir à quelque chose qui, en fin de compte, les laisse légalement exposés.
Les 2 autres priorités de 2024
Dans cette discussion, il est aussi mentionné 2 autres priorités qui doivent rester en vue de tous les CISOs:
- Garder un oeil sur les défis de la protection des données : Les experts estiment qu’en 2024, les entreprises offrant des assurances cyber prêteront davantage attention aux problèmes de confidentialité et de protection des données.
- Gérer les risques provenant des fournisseurs externes : La gestion des risques liés aux tiers, tels que les fournisseurs, prend de plus en plus d’importance pour les dirigeants d’entreprise. Cela est dû à de nouvelles réglementations et aux attentes des assureurs en matière de cybersécurité.