Comment les chefs de direction peuvent-ils faire une différence dans votre entreprise?

À l’échelle mondiale, les dirigeants qui ont obtenu les meilleurs résultats en cybersécurité au cours des deux dernières années sont 14 fois plus susceptibles de soutenir la cybersécurité de façon plus importante et plus généralisée.

Multiplier l’effet par la simplification

Les Perspectives canadiennes du sondage Digital Trust 2022 révèlent comment la simplification des processus et des opérations d’affaires peut avoir un effet « multiplicateur » sur la sécurité et la protection de la vie privée. Voici les quatre lettres P qui permettront aux chefs de direction de libérer leur plein potentiel de cybersécurité, comme l’ont démontré les entreprises les plus avancées et les plus sophistiquées, qui les emploient toutes.

  • Principe. Le chef de la direction doit formuler un principe fondateur explicite et sans ambiguïté établissant la sécurité et la protection des renseignements personnels comme un impératif commercial.
  • Personnes. Embauchez le bon dirigeant et laissez votre responsable de la sécurité et ses équipes faire le lien avec les équipes d’affaires. Vos collaborateurs peuvent être à l’avant-garde de la simplification alors que vous intégrez une « bonne complexité » à l’entreprise.
  • Priorités. Vos risques évoluent continuellement à mesure que vos ambitions numériques augmentent; utilisez donc les données et les renseignements pour évaluer vos risques en permanence.
  • Perception. On ne peut sécuriser ce qu’on ne peut voir. Découvrez les angles morts dans vos relations et vos chaînes d’approvisionnement.

Aussi sensés que ces préceptes et pratiques puissent paraître, ils ne sont pas monnaie courante. Seuls les 10 % les plus performants les ont adoptés, et ces répondants affirment également avoir fait des progrès significatifs vers l’atteinte de leurs objectifs de cybersécurité au cours des deux dernières années. En revanche, de nombreuses entreprises sont toujours aux prises avec une complexité risquée, galopante et déconcertante. Les mauvaises habitudes en sont souvent la cause : utiliser un grand nombre de solutions technologiques qui, trop souvent, ne sont même pas compatibles les unes avec les autres. Ne pas coordonner le travail des différentes fonctions sur la résilience ou de gestion des risques liés à des tiers. Ne pas créer et respecter des processus de traitement de données (gouvernance). Ne pas s’exprimer dans le langage des affaires lorsqu’on parle de cybersécurité.

La bonne chose, cependant, est que les mauvaises habitudes peuvent être brisées. En plus, les chefs de direction peuvent aider à développer de nouvelles habitudes de coordination et de collaboration entre toutes les fonctions, d’affaires et technologiques, pour une organisation qui est tout simplement sûre.

La cybersécurité retient l’attention des chefs de direction, mais passent-ils à l’action?

Les résultats de notre sondage suggèrent un « fossé des attentes » en matière de cybersécurité. Dans le monde entier, les chefs de direction ont l’impression de participer davantage à la définition et à la réalisation des objectifs de cybersécurité et d’y être plus favorables que leurs équipes.

De nombreux chefs de direction à l’échelle mondiale affirment être engagés et stratégiques dans leurs approches de la cybersécurité. Les chefs de direction sondés indiquent qu’ils participent à des discussions sur les répercussions des fusions et acquisitions en matière de cybersécurité et de protection des renseignements personnels, ainsi que sur les changements futurs de leur modèle opérationnel et de leur stratégie.

Les autres dirigeants ne voient pas les choses de la même façon. À l’échelle mondiale, les autres dirigeants considèrent que leur chef de la direction est plus réactif que proactif en matière de cybersécurité. Selon eux, le chef de la direction est plus susceptible de s’intéresser aux questions relatives à la cybersécurité et à la protection des renseignements personnels après une brèche ou lorsque les organismes de réglementation le contactent, et non avant. Nous avons entendu le même discours ici au Canada.


Selon les dirigeants, les chefs de direction s’intéressent davantage à la cybersécurité en cas de crise, mais les chefs de direction estiment en faire plus

Chefs de
la direction
Autres dirigeants
Chef de direction réactif
Après une brèche de cybersécurité ou une cyberattaque majeure dans l’entreprise 3 1
Après une brèche de cybersécurité ou une cyberattaque majeure dans le secteur d’activité 5 6
Lorsque les organismes de réglementation contactent notre entreprise pour signaler un incident de cybersécurité, pour des questions nécessitant une attention particulière ou pour des mesures d’application 2 2
Chef de direction engagé
Lorsque les paramètres clés de la cybersécurité sont discutés au niveau du conseil d’administration 7 3
Lorsque les répercussions des fusions et acquisitions sur la cybersécurité et la protection des renseignements personnels sont abordées 8 8
Lorsque les répercussions d’un changement majeur de modèle opérationnel sur la cybersécurité et la protection des renseignements personnels sont abordées 1 5
Chef de direction stratégique
Lorsque les répercussions d’une nouvelle initiative d’affaires, qu’elle soit numérique ou non, sur la cybersécurité et la protection des renseignements personnels sont abordées 6 7
Lorsque les répercussions de la stratégie future sur la cybersécurité et la protection des renseignements personnels sont abordées 4 4

Question : Auquel des sujets suivants concernant la cybersécurité et la protection des renseignements vous/votre chef de la direction vous intéresseriez-vous personnellement? Classez-les dans l’ordre.
Base : 673 chefs de la direction à l’échelle mondiale; 2 929 autres dirigeants à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights 2022, octobre 2021

Dans quelle mesure le chef de direction soutient-il le leadership du responsable de la sécurité?

Les chefs de direction sont importants. Les chefs de direction dans notre groupe d’entreprises les « plus avancées » (celles qui ont obtenu les meilleurs résultats en matière de cybersécurité au cours des deux dernières années) à l’échelle mondiale sont 14 fois plus susceptibles de fournir un soutien important dans toutes les catégories. De même, les autres dirigeants du groupe d’entreprises les plus avancées sont 12 fois plus susceptibles de dire que leur chef de la direction fournit ce soutien important.

C’est un scénario que nous avons également observé au Canada : l’engagement et le soutien du chef de la direction ont une importance à long terme.

À l’échelle mondiale, les dirigeants dans la plupart des régions et des secteurs d’activité affirment que la mesure la plus importante à prendre pour rendre la société numérique plus sûre d’ici 2030 est de former les chefs de direction et les conseils d’administration afin qu’ils puissent mieux s’acquitter de leurs obligations et responsabilités en matière de cybersécurité. Nous pensons que c’est également vrai pour le Canada.

Il est temps de combler le fossé entre les attentes à l’égard des chefs de direction et celles des autres membres de la haute direction en ce qui concerne le niveau d’engagement et de soutien des chefs de direction en matière de cybersécurité. Les choses semblent aller dans la bonne direction. Les interactions avec le chef de direction sur les questions de cybersécurité ont augmenté de manière significative au cours des deux dernières années, selon 46 % des personnes interrogées à l’échelle mondiale.


À l’échelle mondiale, les chefs de direction estiment fournir un soutien « important » à la cybersécurité mais seuls 3 dirigeants sur 10 sont d’accord avec cette affirmation


Chefs de direction
Autres dirigeants

Priorisent la question et y consacrent suffisamment de ressources et de financement
%
%
Communiquent en toute confiance avec les clients et les partenaires d’affaires
%
%
Intègrent la cybersécurité et la protection des renseignements personnels aux principales opérations et décisions de l’entreprise
%
%
Atténuent l’incertitude des investisseurs quant aux cyberrisques
%
%
Inspirent l’équipe de sécurité et rehaussent sa satisfaction professionnelle
%
%
Clarifient les rôles et les responsabilités des équipes interfonctionnelles en matière de cybersécurité
%
%
Créent une culture de cybersécurité dans l’ensemble de l’entreprise
%
%
Clarifient les positions lorsqu’il y a des tensions et des conflits entre des valeurs concurrentes
%
%

Question : Quel niveau de soutien vous/votre chef de la direction fournit-il aux responsables de la sécurité pour accomplir ce qui suit?
Base : 673 chefs de direction à l’échelle mondiale; 2 929 autres dirigeants à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights 2022, octobre 2021

Les chefs de direction et autres dirigeants s’accordent sur l’évolution de la mission de cybersécurité

Lorsqu’on leur demande comment les chefs de direction définissent la mission de cybersécurité de leur entreprise, plus de la moitié (54 %) des personnes interrogées à l’échelle mondiale préfèrent que leur équipe de sécurité se fixe des objectifs de croissance à plus grande échelle, plutôt que des attentes plus étroites et à plus court terme. Nous savons que les chefs de direction au Canada sont du même avis : dans notre plus récente Enquête auprès des chefs de direction – La perspective canadienne, ils ont désigné le cyberrisque comme étant la principale menace à la croissance, avant même la pandémie.

Les autres dirigeants à l’échelle mondiale ont fait écho à cette position. Dans les deux groupes, l’option « Un moyen d’établir la confiance avec nos clients, en ce qui concerne l’utilisation éthique et la protection de leurs données » est arrivée au premier rang des choix en matière de mission de cybersécurité.

Les chefs de direction donnent vraiment le ton au reste de l’entreprise.

Les chefs de direction et autres dirigeants citent des objectifs similaires pour la cybersécurité dans les trois prochaines années. Ces objectifs s’inspirent de la célèbre théorie de Maslow, Pyramide des besoins, la prévention étant le point de départ, ou le plus important, suivie de la résilience, puis de la confiance (y compris la confiance des consommateurs). La protection, la résilience et la confiance constituent les trois fondations de la cybersécurité, chacune étant importante pour la sécurité de l’entreprise dans son ensemble.

La mission de cybersécurité évolue vers le développement de la confiance et la croissance des entreprises

Cadrage étroit de la mission et des attentes de l’équipe de sécurité  
17 % La manière de mettre en place des contrôles dans l’ensemble de l’entreprise afin de prévenir les graves perturbations de cybersécurité    

45 %

16 % Un mode de fonctionnement permettant à l’entreprise de réagir plus rapidement aux menaces et de sortir renforcée des perturbations
6 % Un coût de fonctionnement et un mal nécessaire
6 % Un moyen d’éviter les ennuis avec les organismes de réglementation
Vue d’ensemble : cadrage de la mission et des attentes liées à la croissance  
20 % Un moyen d’établir la confiance avec nos clients, en ce qui concerne l’utilisation éthique et la protection de leurs données    

55 %

13 % Un moyen pour notre entreprise d’être plus compétitive et de se développer, sur la base de la confiance
12 % Un moyen de fonctionner de manière à ce que l’entreprise soit plus difficile à attaquer pour les cybercriminels
10 % Le moyen d’accélérer la transformation numérique de notre entreprise

Question : Lequel des énoncés suivants décrit le mieux la façon dont vous/votre chef de la direction présente la mission de cybersécurité à votre entreprise?
Base : 673 chefs de direction à l’échelle mondiale; 2 929 autres dirigeants à l’échelle mondiale
Source : PwC, Sondage Global Digital Trust Insights 2022, octobre 2021
À retenir

Chef de la direction

  • Établissez l’importance de la cybersécurité pour la croissance de l’entreprise et la confiance des clients – et pas seulement pour la défense et les contrôles – afin de créer un esprit de sécurité à l’échelle de l’organisation.
  • Donnez à votre responsable de la sécurité les moyens de mener à bien la mission de cybersécurité, en exprimant votre soutien et en lui fournissant des ressources pour des processus sécurisés de par leur conception et par défaut, et en lui fournissant la plateforme pour parler des initiatives de confiance numérique aux clients et aux investisseurs à l’extérieur de l’entreprise.
  • Instaurez une mentalité de tolérance zéro à l’égard de la complexité en modifiant des éléments des modèles commerciaux ou opérationnels de l’entreprise pour la rendre plus facile à sécuriser.

Responsable de la sécurité

  • Prenez connaissance de la stratégie commerciale de votre entreprise et liez clairement la cybersécurité aux impératifs stratégiques.
  • Sortez des silos technologiques et élargissez votre champ d’action au-delà des relations avec le chef de l’information/de la technologie, pour inclure également le chef de la direction, le chef des finances, le responsable de la commercialisation et le chef de l’exploitation.
  • Dotez-vous des compétences dont vous avez besoin pour prospérer dans le rôle évolutif et en expansion de la cybersécurité dans les entreprises. N’oubliez pas non plus de réorienter vos équipes, si ce n’est déjà fait, vers la confiance des clients et la création de valeur d’affaires.

Contactez-nous

Naren Kalyanaraman

Naren Kalyanaraman

Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 815 5306

Alvin Madar

Alvin Madar

Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière et leader national, Cybersécurité, PwC Canada

Tél. : +1 604 806 7603

Charles Eckert

Charles Eckert

Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada

Tél. : +1 416 815 5274

Suivre PwC Canada