Manuel des risques cyber et conseils pratiques pour les conseils d’administration en Europe
Auteur : Internet Security Alliance (ISA), NACD, ecoDa et World Economic Forum
Le document présente six principes pour la gouvernance des risques cybernétiques par les conseils d’administration en Europe.
Il définit la cybersécurité comme un risque stratégique intégré à la transformation numérique.
Les conseils doivent superviser une stratégie interne, incluant actifs numériques critiques, chaîne d’approvisionnement et cloud.
Le paysage réglementaire EU couvre GDPR avec amendes jusqu’à 4% du chiffre d’affaires mondial, NIS2 pour secteurs critiques, DORA pour finance.
La structure de surveillance inclut comités d’audit (47% des cas), briefings CISO trimestriels, simulations d’attaques.
Un cadre d’entreprise combine frameworks techniques (NIST CSF, ISO 27001, CIS Controls) et gestion (modèle Three Lines).
La mesure utilise métriques quantifiées : exposition économique, temps de détection, ROI contrôles, au-delà des heat maps.
La résilience systémique encourage collaboration via ISAC, CSIRT, ENISA.
Éléments clés à retenir :
-
Cybersécurité comme risque stratégique : 80% des administrateurs améliorent leur compréhension depuis 2022.
-
Notification breaches GDPR : 72 heures, amendes British Airways 230M€, Marriott 123M€.
-
Zero-trust : adopté par 2/3 organisations européennes en 2022.
-
Surveillance : 47% audit committee, 32% plein conseil.
-
Frameworks : NIST (6 fonctions), ISO 27001, CIS 18 contrôles.
-
Quantification risque : FAIR, asset-based ou actuarial.
-
Collaboration : NIS2 transposé octobre 2024, Cyber Resilience Act.
-
Simulations attaques : annuelles pour legacy systems.