Est-ce que les blockchain et l’IA doivent être présents dans vos conseils d’administration (CA)?

31 mai 2018 - Cet article de fond qui provient du NACD présente le blockchain comme une technologie de rupture qui pourrait transformer les entreprises autant que l’internet. Et je sais que le même argumentaire s’applique à l’Intelligence Artificielle (IA). Il soutient que les risques qui peuvent être introduits par le blockchain (ou l’IA) dans la gestion des données et les impacts sur les modèles d’affaires doivent faire partie des discussions au CA.  Il concède cependant que l’expertise interne et externe sur ces technologies est difficile à trouver et qu’elles ne seront pas adoptées largement avant 2020. Les administrateurs des compagnies qui seront impactées en premier par cette nouvelle technologie, par exemple les finances et la santé, ont la responsabilité de se former sur le sujet. Avez-vous des lectures adaptées aux administrateurs à suggérer sur l’IA et le blockchain?

http://boardleadership.nacdonline.org/Blockchain-GC-News.html

Comment les cyber-attaques sont devenues des armes en 2017 et quels sont les risques pour les conseils d’administration (CA) en 2018

7 févreir 2018 - L’utilisation des cyber-attaques comme arme géopolitique en 2017 a des impacts sur la gouvernance de la cybersécurité. Les CA des compagnies qui possèdent des infrastructures critiques ou ont des filiales partout à travers le monde sont encore plus à risque.

Cet article explique en terme simple ce qui a changé en 2017 et comment les attaques tel que WannaCry ont modifié le niveau de menace. Il passe en revue quelques incidents majeurs de 2017 et nous montre que le ransomware est maintenant une arme politique, par exemple quand une attaque potentiellement d’origine russe sur l’économie de l’Ukraine s’est répandue à plusieurs compagnies qui y ont des filiales.

http://www.bbc.com/news/technology-42338716

Adapter le rôle du Conseil d’Administration (CA) dans une ère de changements exponentiels

8 janvier 2018 -  J’ai écrit cet article suite à ma lecture d’un document exceptionnel écrit par Deloitte, pour mettre en valeur comment l’accélération des changements force l’adoption de nouvelles étapes dans le processus de planification stratégique. J’ai immédiatement adopté des éléments proposés lors de mes réflexions stratégiques en CA, (1) le besoin de développer avec la direction une vision de ce que seront vos marchés et vos industries dans 10 ans; (2) et à partir de cette vision, l’identification des facteurs différenciateurs (edges) que la compagnie possède déjà et qui pourront être développés pour mieux positionner l’entreprise dans cette réalité future.

Avez-vous d’autres perspectives à partager sur le rôle du CA dans une ère de changements exponentiels ?

https://www.linkedin.com/pulse/adapting-role-board-age-exponential-change-josee-morin/

NIST, un cadre qui appuie le conseil d’administration dans son rôle en cybersécurité

6 novembre 2017 - En cherchant des articles sur la progression de l’adoption du cadre de cybersécurité NIST, je suis tombée sur cet article qui milite pour l’adoption de ce cadre. En tant qu’administratrice, je suis aussi d’accord parce qu’il élimine la frontière entre les experts de sécurité et les administrateurs. Il est simple : Identifier, Protéger, Détecter, Répondre et Relever – 5 éléments seulement. Il permet aux individus qui ne sont pas des spécialistes en cybersécurité de participer aux discussions et décisions, ce qui est requis des administrateurs pour rencontrer leur devoir de surveillance. Il est aussi intéressant de noter que le temps moyen pour qu’une organisation non-bancaire détecte un maliciel est de 5 mois, ce qui déclenche des sonnettes d’alarme.  Avez-vous discuté lors d’un CA de l’adoption d’un cadre de sécurité? Savez-vous si votre entreprise en utilise un? Si vous désirez en apprendre plus sur le cadre NIST je vous suggère mon article http://www.joseemorin.ca/en-articles/2017/7/3/cyber-risk-oversight-tips-for-corporate-directors-to-improve-understanding-and-involvement

https://www.bna.com/2017-cybersecurity-prediction-n73014450091/

Seulement 14.2% des administrateurs de 302 compagnies publiques ont des compétences en technologie

25 septembre 2017- Cet article présente une compilation des matrices de compétence des conseils d’administration révélées par 307 compagnies publiques canadiennes et américaines. Sans surprise, 99% des CA demandent des compétences en finance et 75% des administrateurs possèdent de telles compétences. Cette surreprésentation des compétences en finance ne concorde pas avec le besoin de diversité des CA. Ce qui est plus troublant est le fait que seulement 37% des CA recherchent des compétences en technologies et que 14.7% de tous les administrateurs rapportent une expertise en technologie, le plus bas de toutes les compétences. Le CA a un rôle essentiel à jouer dans la transformation digitale des entreprises et la cybersécurité. Cette sous-représentation est un signe que des changements sont requis. Est-ce que la composition de votre CA est optimale? http://www.equilar.com/blogs/241-hundreds-of-companies-disclose-board-skills-matrices.html

Une bonne révision sur le rôle du conseil d’administration en matière de cybersécurité

5 septembre 2017 - L’accélération du rythme des cyber-attaques et leur large couverture dans les média peuvent causer de la confusion pour les administrateurs au sujet de leur rôle en cybersécurité. Cet article est une bonne révision sur le rôle du CA. Il propose cinq étapes principales : accepter la responsabilité pour les cyber-risques, fixer les attentes envers le comité de direction, comprendre les risques, évaluer les pratiques actuelles et planifier et pratiquer. J’ajouterais à ceci une nouvelle tendance, discuter de l’adoption d’un cadre de cybersécurité comme NIST. Pour vous assister dans l’évaluation des pratiques courantes, je vous réfère à une liste de questions que j’ai publiée http://www.joseemorin.ca/fr-outils/

https://www.spencerstuart.com/research-and-insight/cybersecurity

Pourquoi les conseils d’administration s’intéressent à la cybersécurité: Fedex subit encore les contrecoups d’une attaque du mois de juin.

7  août 2017 - Intéressant de voir les impacts réels d’une cyber-attaque. Plus de deux mois après une attaque en Europe, certains processus de Fedex doivent toujours être gérés manuellement et les revenus annuels pourraient être affectés de 4% à 7%. Fedex a rapporté ne pas avoir d’assurance pour couvrir cette cyber-attaque.  Ils ont été infectés par le rançongiciel Wannacry et le virus est entré par le billet d’un logiciel de taxe utilisé en Ukraine. Cette attaque démontre que les CA d’entreprises de plus petites tailles doivent aussi s’intéresser à la cybersécurité, puisque leurs infrastructures peuvent être utilisées pour pénétrer chez des partenaires commerciaux de plus grandes tailles.

https://www.bloomberg.com/news/articles/2017-07-17/fedex-says-tnt-systems-may-never-fully-recover-from-cyberattack

Quels experts les administrateurs de sociétés peuvent-ils suivre pour rester à jour en cybersécurité?

20 juillet 2017 - En essayant d’identifier quelques sources d’informations pertinentes pour demeurer informer dans un domaine aussi changeant que la cybersécurité, j’ai trouvé cette liste d’experts. La plupart des individus proposés adoptent une approche plutôt technique de la cybersécurité, par rapport à une approche de gouvernance. Mais en prenant le temps de lire le genre de nouvelles qu’ils publient, vous pourrez identifier ceux qui répondent à vos besoins et vous aideront à faire évoluer vos connaissances. C’est essentiel pour bien exercer votre rôle de surveillance. Avez-vous d’autres sources à proposer, peut-être canadienne ou francophone?

Un manque de compétences en cybersécurité au niveau des conseils d’administrations ?

3 juillet 2017 - Pendant une recherche pour identifier des articles traitant de la prévalence de l’expertise en cybersécurité sur les conseils d’administration (CA), je suis tombée sur cet article qui date de 2016 mais qui est encore tellement pertinent. Il nous apprend que 40% de tous les directeurs sondés admettent qu’ils ne se sentent pas responsable des répercussions des cyber-attaques sur leur entreprise, ce qui démontre un manque de compréhension des cyber-risques. En plus, les connaissances des directeurs indépendants en la matière sont loin derrière celles des autres groupes de directeurs. Les CA en général et les directeurs indépendants en particulier ont du travail à faire pour s’assurer de rencontrer les exigences en matière de surveillance des cyber-risques. Qu’en est-il de votre propre CA?

https://corpgov.law.harvard.edu/2016/05/01/grading-global-boards-of-directors-on-cybersecurity/

Est-ce que les conseils d’administration négligent les cyber-risques?

2 juin 2017 - Même si les cyber-menaces reçoivent de plus en plus de couverture dans le media, la majorité des administrateurs de sociétés ne sont pas prêts à gérer les cyber-risques. Cet article du Harvard Business Review met en lumière des résultats de sondages qui démontrent que seulement 38% des administrateurs ressentent un haut niveau d’alerte face aux cyber-risques, alors que le coût moyen d’un cyber-incident est de $4 millions. Le manque de processus efficaces de surveillance des cyber-risques et le manque d’expertise sont des raisons qui expliquent cette déconnexion. Êtes-vous d’accord?

https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats

Cyber-sécurité: trois informations pertinentes pour les administrateurs de sociétés

12 mars 2017 - Je viens de participer à une formation sur la cyber-sécurité et je voulais partager quelques éléments utiles pour les administrateurs de sociétés.

Faites attention au quatre types de personnes qui font des cyber-attaques car chacune a des motivations différentes qui influencent ses modes d’opération : le criminel qui cherche de l’argent, l’espion qui cherche des secrets, l’hacktiviste qui veut passer un message et l’interne qui cherche à nuire à l’entreprise.

Une bonne façon de savoir si vos comptes ont été affectés par une cyber-brèche est de visiter régulièrement le site web www.haveibeenpwned.com pour y entrer votre adresse email

Selon CSO on-line, les menaces à surveiller en 2017 sont le rançongiciel (ransomware) qui s’étendra sur plusieurs plateformes incluant les mobiles, la manipulation des objets connectés (IoT) pour semer le chaos, les téléphones portables infectés de logiciels malicieux et les cyber-attaques motivées par des raisons politiques qui seront plus fréquentes et toucheront différents types d’entreprises.

http://www.csoonline.com/article/3156893/data-breach/watch-these-top-4-cybersecurity-trends-in-2017.html

Qu’est-ce que les Conseils d’Administration (CA) peuvent apprendre des tweets de Trump

27 février 2017 - Merci à @BobZukis d’avoir partagé cet article fort intéressant qui utilise la très grande attention médiatique sur les tweets de Trump pour rappeler au CA que les risques de sécurité augmentent si les médias sociaux ne sont pas gérés adéquatement. Les CA doivent s’assurer que les entreprises ont et suivent des politiques de gestion des médias sociaux qui incluent le contrôle de la qualité. Quelques conseils pertinents : Assurez-vous que toutes les directives critiques acheminées aux employées ou aux partenaires pour la conduite des affaires sont réellement authentifiées; Vérifiez que les dirigeants ayant une haute visibilité sensibilisent leur famille à la cyber-sécurité; Évitez de transférer des filières à partir de media externes, comme par exemple des clés USB qui vous sont remises lors de conférences. Mais le plus important est de vérifier que quand vos hauts dirigeants, incluant les membres du CA, utilisent les médias sociaux, ils font passer la réputation de l’entreprise en premier. Et aussi qu’ils suivent les politiques et procédures, qu’ils ont reçu de la formation en ‘Situation Awareness (SA)’ et qu’ils sont conscients des enjeux quand ils ouvrent des emails et des liens quand ils sont à l’étranger.

http://www.csoonline.com/article/3164840/social-networking/what-company-execs-can-learn-from-trumps-tweets.html

Trois rappels pour aider à créer des procès-verbaux de conseil d’administration efficaces

13 février 2017 - Je viens de participer à une formation de mise à niveau sur les procès-verbaux (PV) de conseils d’administration et je souhaite partager trois éléments que j’ai trouvé pertinents

  1. Le PV devrait inclure assez de détails pour refléter fidèlement les niveaux d’analyse, de discussion et de réflexion qui ont mené aux décisions. Dans cet esprit, noter l’heure de début et de fin de la rencontre aide à démontrer que le temps alloué est suffisant.

  2. C’est une bonne pratique d’utiliser un tableau des suivis du PV qui inclut quoi, qui et quand. Il n’est cependant pas nécessaire d’inclure ce tableau dans le PV. C’est un outil de travail pour le conseil, qu’on préfère ne pas rendre admissible dans une poursuite.

  3. Si vous faites circuler une résolution écrite pour signature, tenant lieux de rencontre, tous les membres du conseil doivent la signer, ce qui est différent de seulement les administrateurs présents lors d’une rencontre. Il est acceptable de conserver une photo de la page signature comme preuve, un original n’est pas requis.

Pouvez-vous prouver que les politiques en cyber-sécurité de votre conseil d’administration rencontrent des standards raisonnables?

24 janvier 2017 - Une lecture requise pour les administrateurs qui veulent comprendre l’environnement légal entourant la surveillance des cyber-risques et qui veulent évaluer si leur approche de cyber-sécurité est à niveau et à quoi ressemble leur exposition personnelle. Les conseils d’administration (CA) doivent pouvoir prouver que leurs politiques rencontrent des standards raisonnables en cyber-sécurité. Et être conforme ne sera pas suffisant, les politiques doivent rencontrer les normes de l’industrie. Cela est aussi vrai et plus pertinent pour les CA d’industries peu réglementées comme les services mobiles et ceux des PME qui pensent à tors ne jamais être visées par des cyber-attaques.

http://www.csoonline.com/article/3147628/leadership-management/why-security-leaders-need-to-embrace-the-concept-of-reasonable-security-now.html

Membre du conseil d’Administration de Inforoute Santé Canada.

10 janvier 2017- Je suis honorée d’être nommée sur le conseil d’administration de Inforoute Santé Canada. Je serai observatrice jusqu’en juillet 2017. Je supporte la mission d’Inforoute qui est d’améliorer la santé des Canadiens en travaillant avec ses partenaires afin d'accélérer le développement, l'adoption et l'utilisation efficace de la santé numérique. Ma carrière en technologies santé au Canada et aux États-Unis me permet de constater l’importance des solutions digitales pour transformer les soins de santé, conserver l’accessibilité et encadrer les coûts. Je suis fière de pouvoir contribuer à l’adoption de technologies digitales en santé et de mettre à profit mes expériences en gouvernance et en technologie.

Les conseils d’administration doivent suivre les prévisions technologiques

15 novembre 2016 - Je viens de participer à un webinar de Gartner: Top Predictions 2017 and Beyond; Surviving the Storm Winds of Digital Disruption. Cela me permet de rester au courant des tendances qui influencent mon rôle d’administrateur de société. J’ai trouvé d’intérêt pour les entreprises qui visent les consommateurs la tendance à l’adoption graduelle de la réalité virtuelle pour les achats et celle des interactions web sans écran à travers la voix. Pour les autres types d’entreprises, il est pertinent de noter que de plus en plus d’algorithmes influenceront les comportements des employés pour réduire les coûts d’opération et qu’on peut atteindre 10% de réduction des coûts de maintenance en utilisant des senseurs connectés à l’internet (IoT). Les conseils d’administration doivent augmenter leur surveillance des technologies, après tout ce ne sont pas des manufacturiers de voitures qui ont inventé les voitures autonomes…

http://www.gartner.com/newsroom/id/3482117

Conférence du Partenariat d’Inforoute Santé Canada

9 novembre 2016 - J’aurai la chance de participer à la Conférence du Partenariat d’Inforoute Santé Canada le 17 novembre à Toronto. J’en profiterai pour en apprendre davantage sur la santé numérique au Canada et en particulier : la gestion des médicaments, l'interopérabilité et les solutions de santé grand public. Venez m’y rencontrer…

https://www.infoway-inforoute.ca/fr/ce-que-nous-faisons/conference-du-partenariat

Comment le CA peut questionner les stratégies pour réagir à l’escalade des cyber-menaces

31 octobre 2016 - Un article bien informé qui dresse un portrait de la situation actuelle en cyber-sécurité mais plus intéressant qui propose des solutions éprouvées aux entreprises qui sont déstabilisées par l’accélération des intrusions : Simplifiez vos réseaux, Construisez votre cybercommunauté de support, mais plus important, Soyez prêt pour les intrusions et pratiquez, pratiquez, pratiquez.

http://www.govtech.com/blogs/lohrmann-on-cybersecurity/your-security-team-is-outgunned-wheres-the-help.html