Les organisations qui « appliquent » des pratiques de cybersécurité à un niveau avancé génèrent un rendement 372 % plus élevé pour leurs actionnaires que celles qui fonctionnent à un niveau plus élémentaire, en particulier lorsque les membres de leur conseil d’administration sont engagés sur les questions, selon un rapport de spécialistes en gestion des risques. Diligent et Bitsight.
L’étude – Cybersécurité, audit et conseil d’administration – a analysé les réponses recueillies auprès de 4 000 sociétés de moyenne et grande capitalisation dans des indices publics du monde entier. L’étude a révélé que le rendement total pour l’actionnaire (TSR) moyen des cyber-performants avancés sur une période de cinq ans et de trois ans était respectivement de 71 % et 67 %, tandis que ceux de la fourchette de performance de base ont généré un TSR de 37 % et 14 % sur la même période. délais.
« La cybersécurité n’est pas seulement un problème informatique : c’est un risque d’entreprise qui a un impact important sur les performances à court terme et la santé à long terme d’une entreprise, et dont la direction et le conseil d’administration doivent être informés », a déclaré Keith Fenner, vice-président senior et directeur général pour la région EMEA chez Diligent.
« Alors que les menaces en matière de cybersécurité et les paysages de gouvernance au Royaume-Uni deviennent de plus en plus sophistiqués et complexes, le moment est venu pour les conseils d’administration et les dirigeants de renforcer leurs compétences en matière de cyber-risques.
Homaira Akbari, membre du conseil consultatif de Bitsight et également PDG du cabinet de conseil informatique AKnowledge Partners, a ajouté : « La cybersécurité ne consiste plus simplement à atténuer les risques, c’est désormais un indicateur clé de performance financière. Les entreprises doivent considérer la cybersécurité comme la pierre angulaire de leur stratégie commerciale, guidée par des critères clairs et ambitieux et soutenue par le plein soutien de leurs conseils d’administration.
Les co-auteurs du rapport ont également constaté que les organisations comptant plus d’administrateurs indépendants étaient plus susceptibles d’avoir des cotes de sécurité avancées : 76 % des administrateurs siégeant aux conseils d’administration de ces organisations étaient considérés comme indépendants, contre 66 % de ceux dans la catégorie de performance de base. Cependant, seulement 3 % des organisations britanniques interrogées ont déclaré avoir un expert en cybersécurité au sein de leur conseil d’administration, ce qui suggère que leur présence à elle seule n’est pas la panacée comme elle est souvent présentée.
Derek Vadala, Bitsight
Mais les plus performants n’avaient pas seulement des membres de conseil d’administration plus engagés : ceux qui ont consacré du temps et de l’argent à établir des comités d’audit spécialisés et des comités spécialisés des risques ont également tendance à obtenir de meilleurs résultats. Au Royaume-Uni, 48 % des entreprises cotées aux indices FTSE 100 et 250 disposent d’un comité des risques spécialisé, et 100 % des entreprises du FTSE 350 disposent d’un comité d’audit – conformément aux exigences réglementaires. Les organisations qui avaient un expert en cybersécurité siégeant au sein des comités de risque ou d’audit ont également atteint un niveau de performance en matière de sécurité plus élevé, indique le rapport.
Le rapport a également révélé une corrélation significative entre les organisations très performantes et le fait que leurs secteurs soient ou non hautement réglementés. Le secteur de la santé s’est avéré avoir les notes moyennes de performance en matière de sécurité les plus élevées, et parmi les entreprises ayant obtenu des notes de performance en sécurité avancées, un tiers opéraient dans le secteur des services financiers. En revanche, 24 % de ceux ayant obtenu des notes de performance de base opéraient dans le secteur industriel, les spécialistes des communications ayant également tendance à obtenir de moins bons résultats.
« La recherche montre que les entreprises leaders du marché qui donnent la priorité à la gestion des cyber-risques surpassent leurs pairs », a déclaré Derek Vadala, directeur des risques chez Bitsight. « Cela ne peut être réalisé sans une solide compréhension des performances en matière de cybersécurité et des références claires partagées au sein de l’équipe de direction et du conseil d’administration. Le rôle du RSSI a changé. Le cyber-risque est un élément clé de la performance des entreprises.