Cyber résilience et gouvernance avec Chris Hetner
Nous avons eu le privilège de discuter de cyber résilience et gouvernance avec Chris Hetner il y a quelques jours. BrainStorm CyberRisque vous rend disponible cette conversation:
Chris Hetner est un cadre supérieur, un membre du conseil d'administration et un leader de la cybersécurité reconnu pour avoir élevé le risque cybernétique au niveau du conseil d'administration afin de protéger les industries, les infrastructures et les économies. Il crée une résilience opérationnelle en alignant des stratégies de cybersécurité robustes sur les objectifs de l'entreprise. Le jugement professionnel de M. Hetner, combiné à une perspective de société publique et à une expérience en matière de réglementation de la SEC et de surveillance des investisseurs, lui a permis d'occuper avec succès des fonctions au sein d'entreprises et de gouvernements. Il siège actuellement au conseil d'administration du fonds de capital-investissement TCIG, est conseiller principal du Chertoff Group, conseiller spécial pour le risque cybernétique auprès de la NACD, président de la cybersécurité et de la protection de la vie privée auprès du NASDAQ Center for Board Excellence et membre du conseil national de la Society of Hispanic Professional Engineers.
Il a été conseiller principal en cybersécurité auprès du président de la Securities and Exchange Commission (SEC) des États-Unis et responsable de la cybersécurité au sein de l'Office of Compliance Inspections and Examination (Office des inspections et examens de conformité) de la SEC. Il a également représenté le président de la SEC en tant que membre principal du comité sur l'infrastructure de l'information financière et bancaire du département du Trésor des États-Unis. Parmi ses principales contributions, on peut citer la vision et la mise en œuvre de la première structure de gouvernance en matière de cybersécurité à l'échelle de l'agence, le programme de renseignement sur les menaces et les capacités de réponse aux incidents. Le cadre de cybersécurité qu'il a mis en place a amélioré la capacité du programme national d'examen à surveiller les cyberrisques et les cybermenaces sur l'ensemble du marché américain des valeurs mobilières et à y répondre.
Tania Tanic a accumulé vingt-cinq ans d'expérience dans l'industrie en tant que cadre supérieur dans le domaine de la cybersécurité, des affaires et de la technologie, se spécialisant dans les services professionnels, la banque, l'assurance, les services financiers, la technologie, les télécommunications et d'autres secteurs. La signature de Tania est l'établissement d'une vision et d'une stratégie globales avec les conseils d'administration et les équipes de direction pour atténuer les cyber-risques et améliorer la sensibilisation à la sécurité tout en résolvant les défis commerciaux par la gouvernance, l'atténuation des risques, la conformité, l'innovation, la transformation et les changements de méthodologie et de modèle d'exploitation pour permettre la croissance, l'efficacité, l'agilité et un meilleur positionnement concurrentiel sur le marché.
Tania est titulaire d'un Executive MBA et d'une maîtrise en gestion d'entreprise, ainsi que d'un BSc en informatique et du Harvard Cybersecurity Certificate. Elle est titulaire des certifications CPA, ASC-C.DIR, PMP, ITIL et Lean Master. Elle défend la cause des femmes dans les technologies de l'information et est une fervente supportrice de l'EDI dans les diverses organisations avec lesquelles elle a travaillé. Elle a été membre du conseil d'administration de l'Institut des auditeurs internes du Québec (IAIQ) pendant deux ans.
Tania Tanic (TT)
Bienvenue sur le canal de discussion de BrainStorm Cyberrisques. Aujourd’hui nous recevons un invité de marque Christopher Hetner. Nous allons aborder le sujet de la cyber résilience et la gouvernance pour les conseils d’administration et les exécutifs. Bonjour Chris comment allez vous?
Christopher Hetner (CH)
Je me porte à merveille. Merci de m'avoir donné cette opportunité d'être ici avec vous aujourd'hui.
TT
Vous êtes le bienvenu, Chris. Pouvez-vous vous présenter à l'auditoire ?
CH
Oui, bien sûr. Chris Hetner, je travaille dans le secteur de la cybersécurité depuis près de 30 ans. La plupart du temps, au début, je soutenais et construisais des centres de sécurité, des centres de données et des centres d'opérations pour des organisations de services financiers ici à New York. J'ai eu l'occasion de travailler comme responsable mondial de la sécurité de l'information pour GE Capital. J'ai eu l'occasion d'occuper le poste de responsable mondial de la sécurité de l'information pour GE Capital. Nous avions une très grande institution financière, avec environ 500 milliards de dollars d'actifs dans 100 pays. J'ai ensuite passé quelques années dans le secteur du conseil en gestion, à la tête du service de cybersécurité d'Ernst and Young pour la gestion des actifs financiers. À cette époque, j'ai eu l'occasion unique de devenir conseiller principal en cybersécurité auprès de la Securities and Exchange Commission, au sein du bureau des présidents. J'ai donc servi et été nommé sous la direction de Mary Jo White et de Jay Clayton. La plupart de mes activités en matière de politique et d'élaboration de règles se déroulent maintenant sur les marchés financiers et concernent les informations communiquées par la SEC aux entreprises cotées en bourse. Dans mes fonctions actuelles, je suis conseiller principal en matière de cybersécurité auprès de la National Association of Corporate Directors, qui compte environ 23 000 membres de conseils d'administration, et je me concentre sur l'élaboration de rapports efficaces sur la gouvernance des cyber-risques et, avec les nouvelles règles de la SEC, sur la fourniture d'un niveau de transparence à des fins de divulgation. Nous sommes impatients de travailler avec votre écosystème. Merci de m'avoir invité aujourd'hui.
TT
Wow, un background incroyable. Merci, Chris. Chris, je voudrais passer à tout de suite à notre sujet. Comme nous le savons, les membres du conseil d'administration jouent un rôle essentiel dans la cyber-résilience et la gouvernance en fournissant une surveillance, des conseils et une orientation stratégique pour s'assurer que l'organisation gère efficacement la cybersécurité, les risques et la cyber-résilience. Tout d'abord, comment définir la cyber-résilience ?
CH
C'est une excellente question. La façon dont nous définissons la résilience au sein de notre communauté est la compréhension du niveau de risque que vous êtes prêt à accepter, à atténuer et, dans certains cas, à transférer à l'aide d'une plateforme d'assurance efficace. Ainsi, lorsque nous parlons de résilience dans le domaine de la cybernétique, nous parlons du niveau d'appétit pour le risque. Nous avons parlé du niveau d'appétit que vous allez prendre en termes de risque. Je vais vous donner un exemple. Prenons l'exemple d'un ransomware potentiel qui provoquerait une panne dans votre entreprise. Vous êtes complètement à l'arrêt. Nous discutons avec les membres de notre conseil d'administration pour savoir quelle est leur propension au risque. Est-ce 12 heures, 24 heures, 48 heures ? Une semaine ? En tant que membre du conseil d'administration, je discute avec le CISO ou le CIO, et vous me dites ce qui est acceptable du point de vue de l'appétit pour le risque. Et s'ils me disent que nous ne pouvons pas dépasser 12 heures, nous devons nous assurer que nous sommes opérationnels et que nous rétablissons nos opérations dans les 12 heures. Ce sont maintenant mes paramètres qui me permettent de construire cette architecture de sécurité pour m'assurer que nous maintenons ce point de résilience. C'est ainsi que lorsque nous parlons de résilience, il s'agit de la capacité de se rétablir à l'intérieur d'un certain nombre de paramètres que nous avons définis. Il s'agit de la capacité à se rétablir dans le cadre de certains paramètres fondés sur les risques commerciaux, opérationnels et financiers.
TT
Merci, Chris, pour cette définition, et c'est une bonne introduction pour les questions suivantes. Selon vous, Chris, comment les entreprises canadiennes et américaines abordent-elles différemment la gestion des cyber-risques ?
CH
Aux États-Unis, mon expérience est plutôt orientée vers les services financiers, Wall Street, les très grandes institutions bancaires et, par conséquent, un nombre important de réglementations émanant de Washington DC, qu'il s'agisse de la Federal Reserve Bank, de l'OCC, du Trésor américain, de la SEC, etc. C'est ce que nous appelons la ‘’soupe à l'alphabet’’ réglementaire, n'est-ce pas ? Il s'agit d'un très large éventail de régulateurs. Sur les marchés canadiens, d'après mon expérience. Je n'ai pas vu autant de réglementation renforcée. De plus, le nombre d'organes ou d'organismes de réglementation semble être réduit par rapport à ce que nous avons ici aux États-Unis, donc je pense qu'il y aura cela. Mais écoutez, si vous êtes une entreprise canadienne. Il est probable que vous fassiez des affaires aux États-Unis ou, si vous êtes une entreprise américaine, que vous fassiez des affaires au Canada. Je pense donc qu'il devrait être possible de créer des synergies à partir d'un paysage réglementaire au lieu de créer des profils de résilience et de gouvernance des cyber-risques uniques pour chaque pays, et de créer simplement une construction unifiée qui satisfasse les deux.
TT
Merci Chris pour ce tour d'horizon. Ma prochaine question est la suivante : quelles sont les responsabilités des conseils d'administration et des cadres supérieurs en matière de cyber-résilience et de gouvernance ? Pouvez-vous leur donner trois ou quatre conseils ?
CH
Quand je pense à la responsabilité du conseil d'administration, je me dis que vous êtes là en tant que conseiller de la direction. Pour aider à fournir des conseils, vous savez, faire appel à une expertise extérieure. Engagez des entreprises comme la vôtre, Brainstorm cyber risk, pour obtenir un point de vue indépendant sur l'efficacité de leur programme. La transparence et les perspectives extérieures sont donc essentielles. Il est également important de poser les bonnes questions à la direction sur la manière dont elle déploie son programme. Ressources en capital, technologie, processus personnel. En ce qui concerne la gestion du risque cybernétique, je l'examinerais également en tant que membre du conseil d'administration et en tant que membre du comité de direction. Quelle est la fréquence et la pertinence des rapports sur les cyber-risques qui sont fournis ? Ce que nous constatons, c'est qu'à travers les 23 000 membres du conseil d'administration de la NACD, les rapports qui ont le plus d'impact sur le conseil d'administration sont ceux qui sont contextualisés au risque opérationnel et financier de l'entreprise. Plutôt que de plonger en profondeur dans la technologie - nous pouvons avoir ces conversations séparées par le biais d'un comité de risque dédié - je pense que l'approche sous-jacente la plus efficace est d'aligner les cyber-menaces sur le profil de votre entreprise. En se basant sur la manière dont elles pourraient causer des dommages matériels à l'entreprise, aux opérations et aux finances, et en discutant ensuite de l'ampleur du risque que l'on est prêt à accepter, on peut se demander quel est le niveau de risque que l'on peut transférer en utilisant un système de gestion des risques. Quelle part de risque pouvons-nous transférer au moyen d'une éventuelle police d'assurance ? Ensuite, l'équilibre est atteint. Nous avons donc ce risque résiduel. Comment allons-nous déployer nos ressources limitées ?
TT
Merci pour ces trois recommandations Chris, pour passer à la question suivante sur la manière dont le conseil d'administration et la direction doivent s'engager avec les parties prenantes externes telles que les régulateurs, les actionnaires et les clients sur les questions de cyber-risques.
CH
Les parties prenantes externes, vous les avez énumérées, vous savez, les clients, les régulateurs, les investisseurs et les actionnaires. Je pense que le moment est venu d'être totalement transparent sur la manière dont vous abordez et gérez les cyber-risques, et donc d'expliquer au public que vous avez mis en place les bons processus, que vous avez les bonnes capacités de gouvernance. Vous devez donc expliquer au public que vous avez mis en place les bons processus et les bonnes capacités de gouvernance. Parlez de vos pratiques de gestion des risques sans donner trop de détails, n'est-ce pas ? Ensuite, si un événement ou un incident se produit et a un impact matériel sur votre activité, vous avez l'obligation d'en informer les autorités de régulation. Vous avez l'obligation d'informer les régulateurs ou les investisseurs et les actionnaires que, hey, nous avons eu un incident, nous l'avons maîtrisé, ce n'est pas grave. Nous avons eu un incident, il est en cours. Nous enquêtons à nouveau, mais nous pensons qu'il pourrait s'agir d'un événement matériel potentiel, de sorte que je pense que le mot d'ordre est la transparence.
TT
Merci beaucoup, Chris. Chaque jour, nous entendons parler de cyberattaques dans différents pays et secteurs d'activité. Quelles leçons peut-on tirer des récentes cyberattaques majeures au Canada et aux États-Unis et comment peuvent-elles éclairer la cyberrésilience et les pratiques de gouvernance ?
CH
Donc, si nous réfléchissons. Certaines des principales cyberattaques, c'est parce que nous voyons une tendance vers les ransomwares. Ils provoquent des interruptions d'activité. L'impossibilité de faire fonctionner vos systèmes. Certains casinos, certaines plateformes de jeux, ici aux États-Unis, ont été victimes d'une attaque par ransomware qui a entraîné l'impossibilité d'exploiter leurs systèmes. Certaines de ces entreprises sont également des fabricants qui ont subi d'importantes dépréciations financières de l'ordre de centaines de millions d'euros. Au Canada, je crois que c'est dans la région de Toronto qu'un système hospitalier, le système de santé, a été victime d'une attaque par rançongiciel, qui a entraîné une perte de données, mais aussi une perte d'exploitation, et qui a fait l'objet d'un recours collectif. Il y a eu une perte de données, mais aussi une perte d'opérations et il y a eu un recours collectif de l'ordre de 500 millions de dollars contre cette société, ce qui est très coûteux, n'est-ce pas ? Si l'on pense aux amendes réglementaires et aux actions collectives. Mais c'est également coûteux si vous n'êtes pas en mesure d'opérer. Il faut donc intégrer ces facteurs de coût dans la discussion au sein du conseil d'administration afin de s'assurer que les capitaux sont correctement alloués. Je crois que ce sont là des leçons apprises que nous devons mettre à profit.
TT
Merci beaucoup Chris pour ces précieuses informations. Comment les conseils d'administration et les dirigeants peuvent-ils se tenir informés des nouvelles menaces et tendances cybernétiques afin de prendre des décisions éclairées en matière de gestion des risques cybernétiques ?
CH
Oui, excellente question. Le conseil d'administration est donc largement composée de cadres ou de comptables, peut-être même de juristes, n'est-ce pas ? Une approche que nous avons vue fonctionner très efficacement consiste à apporter des idées. Ils ne sont pas nécessairement des experts en cybernétique. En ce qui concerne la lutte contre la cybermenace. Nous faisons appel à des analyses de pairs, c'est-à-dire à des entreprises de type similaire qui ont été confrontées à des menaces de quelque nature que ce soit. Quels types d'événements ont-ils eu lieu ? Et dans quelle mesure se sont-elles rétablies et ont-elles réagi efficacement ? L'apprentissage par le biais d'autres activités, d'autres événements peut donc être très instructif pour une communauté de direction. J'encourage toujours les conseils d'administration à faire appel à des experts extérieurs, indépendants de la direction. En fait, certains systèmes judiciaires des États-Unis, en particulier les tribunaux du Delaware, où de nombreuses sociétés sont constituées, recommandent au conseil d'administration de faire appel à des experts extérieurs pour les questions de cybernétique, d'ESG ou de conformité. C'est donc un domaine qui fait l'objet d'une attention particulière de la part de la Commission réglementaires ici. C'est donc un domaine qui est encouragé et fortement recommandé.
TT
Chris, lorsque vous parlez de l'expertise externe indépendante de la direction, est-ce pour pallier le manque d'expertise en matière de cyber-risques et de cyber-sécurité autour de la table du conseil d'administration ?
CH
C'est exact. C'est tout à fait exact et vous savez, dans certains cas, certains conseils d'administration peuvent décider de recruter un cyber-expert au sein du conseil d'administration. J'ai vu cela fonctionner de manière très efficace et très limitée parce que ce qui se passe, c'est que Vous avez une personne très technique qui parle avec votre équipe de direction, et cela devient une conversation individuelle très myope, et l'ensemble du conseil d'administration, en quelque sorte, se retire et n'apporte pas beaucoup de contexte d'affaires à la table. J'encourage donc les organisations à embaucher ces experts externes et à les intégrer au conseil d'administration et à les faire travailler tous les trimestres pour qu'ils apportent de nouvelles idées et de nouvelles perspectives.
TT
Chris, merci beaucoup pour cette formidable discussion et c'est toujours un plaisir de parler avec vous. Nous en avons terminé aujourd'hui et nous vous remercions d'avoir participé à la discussion sur le canal Brainstorm cyberrisques. À bientôt et bonne journée.
CH
Bien hâte à notre prochaine discussion- Chris, lorsque vous parlez de l'expertise externe indépendante de la direction, est-ce pour pallier le manque d'expertise en matière de cyber-risques et de cyber-sécurité autour de la table du conseil d'administration ?
CH
C'est exact. C'est tout à fait exact et vous savez, dans certains cas, certains conseils d'administration peuvent décider de recruter un cyber-expert au sein du conseil d'administration. J'ai vu cela fonctionner de manière très efficace et très limitée parce que ce qui se passe, c'est que Vous avez une personne très technique qui parle avec votre équipe de direction, et cela devient une conversation individuelle très myope, et l'ensemble du conseil d'administration, en quelque sorte, se retire et n'apporte pas beaucoup de contexte d'affaires à la table. J'encourage donc les organisations à embaucher ces experts externes et à les intégrer au conseil d'administration et à les faire travailler tous les trimestres pour qu'ils apportent de nouvelles idées et de nouvelles perspectives.
TT
Chris, merci beaucoup pour cette formidable discussion et c'est toujours un plaisir de parler avec vous. Nous en avons terminé aujourd'hui et nous vous remercions d'avoir participé à la discussion sur le canal Brainstorm cyberrisques. À bientôt et bonne journée.
CH
Bien hâte à notre prochaine discussion.