Le balado « CEO Viewpoints »

Richard : Bonjour et bienvenue à la série balado « CEO Viewpoints » de PwC Canada. Pour ceux qui se joignent à nous pour la première fois, c’est une série dans laquelle nous discutons avec des dirigeants de grandes entreprises canadiennes des thèmes clés de notre 25e Enquête mondiale annuelle auprès des chefs de direction. Dans notre dernier épisode, nous avons abordé la façon dont les PDG abordent les enjeux de cybersécurité, qu’il s’agisse du renforcement de la législation, des tactiques de gestion des risques ou de la mobilisation du conseil d’administration. Je m’appelle Richard Wilson et je suis un associé chez PwC Canada, spécialisé en cybersécurité et protection des renseignements personnels. Aujourd’hui, nous avons un invité avec lequel je suis personnellement très heureux de passer un peu de temps, Ken Hartwick, président et chef de la direction d’Ontario Power Generation ou OPG. Ken, nous sommes ravis de vous accueillir parmi nous aujourd’hui. Bienvenue.

Ken : J’apprécie, Rich, et ça va être une bonne conversation, très actuelle étant donné ce qui se passe dans le monde, à la fois sur la façon dont cet enjeu nous affecte et sur la perspective de PwC.

Richard : Tout à fait d’accord. Le cyberespace ne semble pas près de disparaître, n’est-ce pas? Alors, plongeons dans le vif du sujet. Il n’est pas surprenant qu’au cours des cinq dernières années consécutives de notre enquête annuelle, 53 % des cadres canadiens se disent très ou extrêmement préoccupés par les menaces liées à la cybersécurité qui pourraient nuire à leur entreprise. Le fait qu’il s’agisse d’une menace majeure depuis tant d’années montre à quel point il est difficile pour les entreprises d’essayer de résoudre ce problème. C’est un risque important. Nous aimerions connaître votre point de vue sur la question. En tant que chef de direction, comment pensez-vous et comment gérez-vous le cyberrisque?

Ken : Commençons par votre tout premier commentaire sur ce sujet. Je pense que la raison pour laquelle ce risque reste en tête des préoccupations des chefs de direction et de beaucoup d’autres personnes, c’est qu’il est de plus en plus difficile à gérer. Pour beaucoup des enjeux que nous traitons dans les affaires, qu’il s’agisse de l’intégration d’une entreprise ou de la sécurité, nous avons l’impression de pouvoir les devancer ou de progresser dans leur gestion. Or, je pense que le cyberrisque est l’un des rares domaines où, personnellement, j’ai toujours l’impression que quoi que nous fassions, nous ne sommes pas plus avancés. C’est peut-être à cause de la nature de la menace, de la nature des gens qui s’adonnent à ces activités criminelles que vous voyez probablement dans le monde. Ils deviennent de plus en plus intelligents. Et je pense que c’est ce qui met les conseils d’administration mal à l’aise. Et les chefs de direction et les cadres sont mal à l’aise parce qu’ils n’ont pas l’impression d’avoir acquis plus de sécurité ou de performance la semaine suivante, le mois suivant ou l’année suivante. C’est toujours un travail en cours et c’est pourquoi il reste en haut de notre liste. À cause de ce manque d’assurance de pouvoir dire « super, en voilà un de réglé ». Quel risque vais-je devoir gérer ensuite? Je ne pense pas que l’enjeu de la cybersécurité puisse jamais être éliminé de la carte des risques.

Richard : Assez juste. Donc vous allez continuer à faire des progrès. Vous décelez et gérez ces risques et vous en réglez certains, et puis d’autres commencent à se présenter. Et vous avez l’impression qu’il y a ce mouvement perpétuel autour d’eux. Comment faites-vous pour que votre conseil d’administration soit relativement à l’aise avec ce processus?

Ken : C’est certainement tout un travail. Nous gérons de gros actifs énergétiques, des actifs de production. Beaucoup d’entre eux sont essentiels au fonctionnement du réseau de distribution électrique de la province de l’Ontario et d’un grand nombre d’actifs hydroélectriques aux États-Unis. Donc, dans nos interactions avec le conseil, nous essayons de tenir compte de cette perspective quand nous parlons de ce que nous faisons pour gérer le cyberrisque, tout en indiquant clairement nos lacunes. À mon avis, l’une des erreurs que les gens font est d’essayer de faire croire que le risque est mieux maîtrisé qu’il ne l’est. Je pense que si les conseils d’administration sont vraiment ouverts, honnêtes et transparents à propos des lacunes qui subsistent, ils sont probablement conscients que les plus grandes lacunes sont celles que nous ne connaissons pas encore en tant qu’entreprise. Et quand elles se manifestent et que les problèmes surviennent, il faut être vraiment ouvert et essayer de comprendre, d’expliquer à votre conseil d’administration pourquoi ça s’est produit. Et puis, des problèmes surviennent dans toutes les entreprises, y compris dans le domaine de la cybersécurité, et je pense souvent qu’avec n’importe quel conseil d’administration, c’est la vitesse à laquelle on réagit et on résout les problèmes qui donnera confiance au conseil d’administration, en lui montrant qu’on dispose des bonnes ressources. Parce qu’autrement, la seule solution pour n’importe quel conseil d’administration, c’est d’injecter plus de ressources dans la gestion d’un enjeu. Et parfois, davantage de ressources ne vous donne pas une meilleure réponse. Parfois, c’est en étant plus intelligent qu’on obtient une meilleure réponse. Et c’est là que je pense que les cadres, avec l’aide de conseillers comme vous, peuvent nous aider à être plus intelligents plutôt que d’en faire plus.

Richard : En tant qu’ancien membre d’un CA, je me sens très rassuré d’entendre ce que vous venez de dire, parce que quand on siège à un CA et qu’on écoute un rapport de la direction, une question binaire traverse l’esprit, à savoir d’abord « est-ce que j’obtiens une information vraie et transparente? » Je n’ai pas besoin que ce soit parfait. J’ai juste besoin d’avoir l’heure juste sur la situation pour pouvoir réfléchir à comment la gérer. Et l’autre volet de cette question, c’est que ça semble trop beau pour être vrai, alors est-ce le cas? Donc la franchise, la transparence dont vous avez parlé à propos de ces lacunes, donne certainement au CA l’assurance de connaître les enjeux, et de pouvoir ensuite y travailler ensemble avec la direction. C’est donc vraiment un bon conseil. Eh bien, explorons dans la question suivante, que vous avez commencé à aborder, à savoir l’impact réel de ces cybercrimes sur les opérations d’une entreprise, sur sa réputation ou sur ses finances, voire sur son développement durable. Nous observons sur le marché une forte tendance à l’intégration des technologies, des processus et des organisations, certainement dans le secteur de l’énergie. Du point de vue d’un chef de direction, l’intégration est-elle une force ou une faiblesse en matière de cybersécurité?

Ken : La force, quand on intègre un système – par exemple, si nous nous intégrons avec le Québec, le Manitoba, New York, le Michigan –, est une force économique, parce qu’on est plus optimal dans l’utilisation des ressources et dans la production d’énergie dont on a besoin. Dans notre cas, cela se mesure en volume de transport d’énergie. C’est donc une force. La faiblesse, c’est que vous êtes aussi fort que le maillon le plus faible de cette chaîne d’intégration. C’est tout à fait vrai pour le réseau électrique. Nous sommes fortement intégrés aux provinces voisines et jusqu’au nord-est, et au Midwest des États-Unis. Et si l’un d’entre nous a un problème majeur, c’est le problème de tous. Aujourd’hui, vous savez, cette intégration oblige vraiment toutes les entités qui en font partie à surveiller les autres et à les tenir responsables de maintenir un niveau très élevé de cybersécurité. C’est un environnement difficile à gérer quand on essaie de compter sur le fonctionnement interne de, probablement dans notre cas, environ 50 autres organisations, pour atteindre le niveau d’excellence qu’on pense avoir atteint. Ça peut occuper vos pensées la nuit plus que vous ne le voulez.

Richard : Je ne peux qu’imaginer, et je suppose qu’en ce qui concerne le réseau de distributeurs et de fournisseurs sur lequel vous comptez pour gérer votre entreprise, vous adoptez peut-être là aussi une stratégie du type « faire confiance mais vérifier ». Autrement dit, vous pourriez leur demander de manière contractuelle de se sécuriser à un certain niveau, et de vous donner une certaine assurance qu’ils y parviennent. Il semble donc qu’il y a là tout un écosystème coordonné et interconnecté.

Ken : Parce que nous gérons des installations nucléaires, nous vérifions. La confiance n’entre pas vraiment en ligne de compte. Vous ne pouvez tout simplement pas faire confiance, parce que ce serait une erreur n’importe où dans la chaîne. Et je pense que la plupart de nos fournisseurs préfèrent que nous vérifiions tout le long de la chaîne pour leur donner l’assurance que leurs programmes de qualité fonctionnent, que leurs programmes de cyberprotection fonctionnent. Encore une fois, c’est peut-être l’un de ces secteurs, comme le nôtre, les soins de santé et les banques, dans lesquels on peut insister davantage sur la vérification sans que personne ne s’énerve. Si on nous demande de vérifier notre état de préparation en cybersécurité pour en rendre compte aux entités qui supervisent le réseau électrique nord-américain, tout est vérifié.

Richard : Ça semble être un signe des choses à venir. C’est donc un bon conseil pour toute organisation d’accroître son efficacité à prouver qu’elle est sécurisée. Parce qu’il parait que la question sera de plus en plus posée à mesure que les choses avancent. Tournons nos regards vers l’intérieur de votre organisation pendant une minute. Il est évident que vous vous tenez informé des tendances qui pourraient nuire à votre organisation. Et il semble que vous ayez besoin de développer une bonne culture de cybersécurité pour y faire face. Donnez-nous donc votre avis. Comment développez-vous une cyberculture efficace au sein de votre entreprise, et quels conseils avez-vous pour donner le bon ton depuis le sommet?

Ken : Peut-être deux ou trois choses. Nous sommes très fiers de notre culture de sécurité. Vous savez, nous travaillons avec des équipements, des pièces mobiles, de l’eau, de l’eau en mouvement, des centrales nucléaires. La priorité à la sécurité est donc ancrée dans l’entreprise. Prendre soin de la personne qui travaille à ses côtés. Ne pas pénétrer dans un environnement de travail qui n’est pas sûr pour pouvoir rentrer chez soi à la fin de son quart ou de sa journée exactement comme on est entré. Je pense que la cybersécurité doit atteindre le même niveau de priorité. Pour moi, c’est la même philosophie que pour tout ce que nous faisons, parce qu’un cyberévénement peut entraîner un événement de sécurité, des impacts sur les clients, des problèmes de réputation. Mais en réalité, il s’agit de toute la culture de l’organisation. Les employés réfléchissent tout autant à l’ouverture d’un courriel qu’à la vérification d’une pièce d’équipement qui entre dans notre usine. C’est donc une seconde nature. Je pense que c’est là le défi. Dans chaque organisation, c’est une chose différente qui est la plus importante. Chez nous, par exemple, nous misons vraiment sur la sécurité. Personne ne doit être blessé. Et ça résonne aux oreilles des employés. Le conseil que je donne aux gens, c’est donc de choisir une analogie que la personne moyenne au sein de votre organisation peut comprendre. Parce qu’encore une fois, ce que je vois parfois chez nous, c’est que la conversation est ciblée sur nos informaticiens et sur les gens qui sont déjà informés. Eh bien, elle doit être ciblée sur chacun de ceux qui ont un courriel, chacun de ceux qui font de l’assurance qualité sur des pièces d’équipement, chacun de ceux qui participent à notre intégration avec ces autres services publics. Donc, les analogies ont tendance à être la meilleure chose. Nous misons beaucoup sur l’analogie selon laquelle si on pense à la sécurité d’une certaine manière, on doit penser à la cybersécurité de la même manière.

Richard : Formidable! Est-ce que vous organisez des réunions sur la cybersécurité au cours desquelles le chef de la sécurité de l’information informe la direction, ou bien avez-vous un mécanisme de briefing ascendant et comment cela se passe-t-il?

Ken : Toutes les trois semaines, nous nous réunissons, moi-même et cinq autres membres de notre équipe de direction, pour une séance d’information. Et vous pourriez dire que se réunir toutes les trois semaines, c’est beaucoup. Mais si vous revenez aux résultats de votre enquête, qui révèlent que c’est l’un des trois principaux risques, pourquoi ne participerai-je pas aussi fréquemment à l’analyse de cet enjeu? C’est très régulier, et nous faisons deux choses au cours de ces briefings. La première est de savoir quels ont été les événements des deux dernières semaines. Et puis un deuxième aspect est l’éducation pure. Parce que je pense que c’est la seule façon d’élever une organisation. Je suis un comptable, et non un spécialiste de la technologie. Je ne suis certainement pas un cyber-spécialiste. Mais je dois avoir une bonne connaissance pratique de ce à quoi nous sommes confrontés en tant qu’organisation, afin de pouvoir prendre des décisions en matière de budget, d’affectation des ressources et de gestion du personnel, car c’est ce que le conseil attend. Donc, sachant que c’est l’un de nos trois principaux risques, en tant que chef de la direction, je ne peux pas assumer mes fonctions sans savoir comment tout cela fonctionne.

Richard : Assez juste. Je suppose que cela repose également sur le fait d’avoir un chef de la sécurité de l’information vraiment à l’écoute, qui ne vous inonde pas de jargon technique, mais qui sait comment traduire toutes les données techniques qu’il reçoit sur les cybermenaces en une information que la direction peut absorber, comprendre et appliquer. On dirait que vous avez un bon chef de la sécurité de l’information qui vous aide à vous équiper de cette information.

Ken : Notre groupe fait exactement ce que vous avez décrit. Notre équipe réussit très bien à transposer un enjeu hautement technique dans l’environnement de gestion pour que les gens comme moi puissent le comprendre et, comme je l’ai dit, prendre des décisions de ressources en conséquence.

Richard : Dernière question pour vous, je suppose que les chefs de direction font face ces jours-ci à une liste croissante d’enjeux stratégiques qu’ils doivent prendre en considération dans la gestion de leur organisation, à savoir l’environnement, le social, la gouvernance, ou ce qu’on appelle les facteurs ESG, l’équité, la diversité et l’inclusion. Ces enjeux sont importants. La grande démission. Je veux dire, il y a un flux constant de sujets. Comment faire pour que la cybersécurité ne devienne pas un autre mot tendance, vide de sens? Comment rendre la cybersécurité pratique et l’intégrer aux processus de votre organisation pour réduire les risques plutôt que de la réduire à un acronyme?

Ken : J’en reviens à la question de savoir sur quoi les dirigeants insistent et ce qu’ils ne laissent pas passer. Nous pourrions dire que nous sommes confrontés à la même chose en matière de sécurité. Il serait très facile de passer à ces autres sujets, et de perdre de vue l’importance de la sécurité, et de la cybersécurité. Il s’agit juste de notre façon d’établir les priorités. Je pense donc que lorsque la haute direction sait que j’ai un certain degré d’intérêt pour la cybersécurité et que je connais les cinq autres cadres qui en sont régulièrement informés, elle comprend rapidement que c’est important pour l’organisation et pour notre réussite. Et encore une fois, ce que notre équipe cyber a fait, c’est vraiment simplifier le message pour que tout le monde dans l’organisation l’entende. Je pense qu’une autre sorte de séance de formation sera organisée à l’échelle de l’entreprise le mois prochain, pour permettre au personnel de garder le sujet à l’esprit. Je pense donc que si je me déconcentre de l’un de ces enjeux, l’organisation le fera aussi, et on aura un problème. Mais comme je l’ai dit, si la cybersécurité fait partie de nos trois principaux enjeux, ce qui est le cas, il n’y a aucune excuse pour la perdre de vue.

Richard : Formidable. On dirait que c’est un message très fort du haut vers le bas, et on dirait qu’il est répété souvent. Eh bien, vous nous avez donné des idées formidables et percutantes à considérer. Je tiens donc à vous dire un grand merci. Merci d’avoir été des nôtres aujourd’hui et de nous avoir donné quelques pistes de réflexion intéressantes.

Ken : Merci. J’apprécie la conversation, et j’apprécie l’aide précieuse de votre cabinet pour nous engager dans cette voie de constant rattrapage.

Richard : Très bien. Eh bien, nous voilà à la conclusion de notre discussion d’aujourd’hui. Ken, merci beaucoup d’avoir passé du temps avec moi. Le temps est passé trop vite. Mais nous avons obtenu de vous d’excellentes idées sur l’incidence de la cybersécurité pour les organisations et sur la manière dont vous vous organisez pour la gérer, du haut vers le bas. Je tiens également à remercier nos auditeurs. Merci d’avoir passé du temps avec nous aujourd’hui. Si vous avez apprécié cet épisode, n’hésitez pas à vous abonner à la série balado « CEO Viewpoints » et à écouter le dernier épisode de la saison.