25 septembre 2017- Cet article présente une compilation des matrices de compétence des conseils d’administration révélées par 307 compagnies publiques canadiennes et américaines. Sans surprise, 99% des CA demandent des compétences en finance et 75% des administrateurs possèdent de telles compétences. Cette surreprésentation des compétences en finance ne concorde pas avec le besoin de diversité des CA. Ce qui est plus troublant est le fait que seulement 37% des CA recherchent des compétences en technologies et que 14.7% de tous les administrateurs rapportent une expertise en technologie, le plus bas de toutes les compétences. Le CA a un rôle essentiel à jouer dans la transformation digitale des entreprises et la cybersécurité. Cette sous-représentation est un signe que des changements sont requis. Est-ce que la composition de votre CA est optimale? http://www.equilar.com/blogs/241-hundreds-of-companies-disclose-board-skills-matrices.html

5 septembre 2017 - L’accélération du rythme des cyber-attaques et leur large couverture dans les média peuvent causer de la confusion pour les administrateurs au sujet de leur rôle en cybersécurité. Cet article est une bonne révision sur le rôle du CA. Il propose cinq étapes principales : accepter la responsabilité pour les cyber-risques, fixer les attentes envers le comité de direction, comprendre les risques, évaluer les pratiques actuelles et planifier et pratiquer. J’ajouterais à ceci une nouvelle tendance, discuter de l’adoption d’un cadre de cybersécurité comme NIST. Pour vous assister dans l’évaluation des pratiques courantes, je vous réfère à une liste de questions que j’ai publiée http://www.joseemorin.ca/fr-outils/

https://www.spencerstuart.com/research-and-insight/cybersecurity

7  août 2017 - Intéressant de voir les impacts réels d’une cyber-attaque. Plus de deux mois après une attaque en Europe, certains processus de Fedex doivent toujours être gérés manuellement et les revenus annuels pourraient être affectés de 4% à 7%. Fedex a rapporté ne pas avoir d’assurance pour couvrir cette cyber-attaque.  Ils ont été infectés par le rançongiciel Wannacry et le virus est entré par le billet d’un logiciel de taxe utilisé en Ukraine. Cette attaque démontre que les CA d’entreprises de plus petites tailles doivent aussi s’intéresser à la cybersécurité, puisque leurs infrastructures peuvent être utilisées pour pénétrer chez des partenaires commerciaux de plus grandes tailles.

https://www.bloomberg.com/news/articles/2017-07-17/fedex-says-tnt-systems-may-never-fully-recover-from-cyberattack

20 juillet 2017 - En essayant d’identifier quelques sources d’informations pertinentes pour demeurer informer dans un domaine aussi changeant que la cybersécurité, j’ai trouvé cette liste d’experts. La plupart des individus proposés adoptent une approche plutôt technique de la cybersécurité, par rapport à une approche de gouvernance. Mais en prenant le temps de lire le genre de nouvelles qu’ils publient, vous pourrez identifier ceux qui répondent à vos besoins et vous aideront à faire évoluer vos connaissances. C’est essentiel pour bien exercer votre rôle de surveillance. Avez-vous d’autres sources à proposer, peut-être canadienne ou francophone?

3 juillet 2017 - Pendant une recherche pour identifier des articles traitant de la prévalence de l’expertise en cybersécurité sur les conseils d’administration (CA), je suis tombée sur cet article qui date de 2016 mais qui est encore tellement pertinent. Il nous apprend que 40% de tous les directeurs sondés admettent qu’ils ne se sentent pas responsable des répercussions des cyber-attaques sur leur entreprise, ce qui démontre un manque de compréhension des cyber-risques. En plus, les connaissances des directeurs indépendants en la matière sont loin derrière celles des autres groupes de directeurs. Les CA en général et les directeurs indépendants en particulier ont du travail à faire pour s’assurer de rencontrer les exigences en matière de surveillance des cyber-risques. Qu’en est-il de votre propre CA?

https://corpgov.law.harvard.edu/2016/05/01/grading-global-boards-of-directors-on-cybersecurity/

2 juin 2017 - Même si les cyber-menaces reçoivent de plus en plus de couverture dans le media, la majorité des administrateurs de sociétés ne sont pas prêts à gérer les cyber-risques. Cet article du Harvard Business Review met en lumière des résultats de sondages qui démontrent que seulement 38% des administrateurs ressentent un haut niveau d’alerte face aux cyber-risques, alors que le coût moyen d’un cyber-incident est de $4 millions. Le manque de processus efficaces de surveillance des cyber-risques et le manque d’expertise sont des raisons qui expliquent cette déconnexion. Êtes-vous d’accord?

https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats

12 mars 2017 - Je viens de participer à une formation sur la cyber-sécurité et je voulais partager quelques éléments utiles pour les administrateurs de sociétés.

Faites attention au quatre types de personnes qui font des cyber-attaques car chacune a des motivations différentes qui influencent ses modes d’opération : le criminel qui cherche de l’argent, l’espion qui cherche des secrets, l’hacktiviste qui veut passer un message et l’interne qui cherche à nuire à l’entreprise.

Une bonne façon de savoir si vos comptes ont été affectés par une cyber-brèche est de visiter régulièrement le site web www.haveibeenpwned.com pour y entrer votre adresse email

Selon CSO on-line, les menaces à surveiller en 2017 sont le rançongiciel (ransomware) qui s’étendra sur plusieurs plateformes incluant les mobiles, la manipulation des objets connectés (IoT) pour semer le chaos, les téléphones portables infectés de logiciels malicieux et les cyber-attaques motivées par des raisons politiques qui seront plus fréquentes et toucheront différents types d’entreprises.

http://www.csoonline.com/article/3156893/data-breach/watch-these-top-4-cybersecurity-trends-in-2017.html

27 février 2017 - Merci à @BobZukis d’avoir partagé cet article fort intéressant qui utilise la très grande attention médiatique sur les tweets de Trump pour rappeler au CA que les risques de sécurité augmentent si les médias sociaux ne sont pas gérés adéquatement. Les CA doivent s’assurer que les entreprises ont et suivent des politiques de gestion des médias sociaux qui incluent le contrôle de la qualité. Quelques conseils pertinents : Assurez-vous que toutes les directives critiques acheminées aux employées ou aux partenaires pour la conduite des affaires sont réellement authentifiées; Vérifiez que les dirigeants ayant une haute visibilité sensibilisent leur famille à la cyber-sécurité; Évitez de transférer des filières à partir de media externes, comme par exemple des clés USB qui vous sont remises lors de conférences. Mais le plus important est de vérifier que quand vos hauts dirigeants, incluant les membres du CA, utilisent les médias sociaux, ils font passer la réputation de l’entreprise en premier. Et aussi qu’ils suivent les politiques et procédures, qu’ils ont reçu de la formation en ‘Situation Awareness (SA)’ et qu’ils sont conscients des enjeux quand ils ouvrent des emails et des liens quand ils sont à l’étranger.

http://www.csoonline.com/article/3164840/social-networking/what-company-execs-can-learn-from-trumps-tweets.html

13 février 2017 - Je viens de participer à une formation de mise à niveau sur les procès-verbaux (PV) de conseils d’administration et je souhaite partager trois éléments que j’ai trouvé pertinents

1. Le PV devrait inclure assez de détails pour refléter fidèlement les niveaux d’analyse, de discussion et de réflexion qui ont mené aux décisions. Dans cet esprit, noter l’heure de début et de fin de la rencontre aide à démontrer que le temps alloué est suffisant.

2. C’est une bonne pratique d’utiliser un tableau des suivis du PV qui inclut quoi, qui et quand. Il n’est cependant pas nécessaire d’inclure ce tableau dans le PV. C’est un outil de travail pour le conseil, qu’on préfère ne pas rendre admissible dans une poursuite.

3. Si vous faites circuler une résolution écrite pour signature, tenant lieux de rencontre, tous les membres du conseil doivent la signer, ce qui est différent de seulement les administrateurs présents lors d’une rencontre. Il est acceptable de conserver une photo de la page signature comme preuve, un original n’est pas requis.

24 janvier 2017 - Une lecture requise pour les administrateurs qui veulent comprendre l’environnement légal entourant la surveillance des cyber-risques et qui veulent évaluer si leur approche de cyber-sécurité est à niveau et à quoi ressemble leur exposition personnelle. Les conseils d’administration (CA) doivent pouvoir prouver que leurs politiques rencontrent des standards raisonnables en cyber-sécurité. Et être conforme ne sera pas suffisant, les politiques doivent rencontrer les normes de l’industrie. Cela est aussi vrai et plus pertinent pour les CA d’industries peu réglementées comme les services mobiles et ceux des PME qui pensent à tors ne jamais être visées par des cyber-attaques.

http://www.csoonline.com/article/3147628/leadership-management/why-security-leaders-need-to-embrace-the-concept-of-reasonable-security-now.html

10 janvier 2017- Je suis honorée d’être nommée sur le conseil d’administration de Inforoute Santé Canada. Je serai observatrice jusqu’en juillet 2017. Je supporte la mission d’Inforoute qui est d’améliorer la santé des Canadiens en travaillant avec ses partenaires afin d'accélérer le développement, l'adoption et l'utilisation efficace de la santé numérique. Ma carrière en technologies santé au Canada et aux États-Unis me permet de constater l’importance des solutions digitales pour transformer les soins de santé, conserver l’accessibilité et encadrer les coûts. Je suis fière de pouvoir contribuer à l’adoption de technologies digitales en santé et de mettre à profit mes expériences en gouvernance et en technologie.

15 novembre 2016 - Je viens de participer à un webinar de Gartner: Top Predictions 2017 and Beyond; Surviving the Storm Winds of Digital Disruption. Cela me permet de rester au courant des tendances qui influencent mon rôle d’administrateur de société. J’ai trouvé d’intérêt pour les entreprises qui visent les consommateurs la tendance à l’adoption graduelle de la réalité virtuelle pour les achats et celle des interactions web sans écran à travers la voix. Pour les autres types d’entreprises, il est pertinent de noter que de plus en plus d’algorithmes influenceront les comportements des employés pour réduire les coûts d’opération et qu’on peut atteindre 10% de réduction des coûts de maintenance en utilisant des senseurs connectés à l’internet (IoT). Les conseils d’administration doivent augmenter leur surveillance des technologies, après tout ce ne sont pas des manufacturiers de voitures qui ont inventé les voitures autonomes…

http://www.gartner.com/newsroom/id/3482117

9 novembre 2016 - J’aurai la chance de participer à la Conférence du Partenariat d’Inforoute Santé Canada le 17 novembre à Toronto. J’en profiterai pour en apprendre davantage sur la santé numérique au Canada et en particulier : la gestion des médicaments, l'interopérabilité et les solutions de santé grand public. Venez m’y rencontrer…

https://www.infoway-inforoute.ca/fr/ce-que-nous-faisons/conference-du-partenariat

31 octobre 2016 - Un article bien informé qui dresse un portrait de la situation actuelle en cyber-sécurité mais plus intéressant qui propose des solutions éprouvées aux entreprises qui sont déstabilisées par l’accélération des intrusions : Simplifiez vos réseaux, Construisez votre cybercommunauté de support, mais plus important, Soyez prêt pour les intrusions et pratiquez, pratiquez, pratiquez.

http://www.govtech.com/blogs/lohrmann-on-cybersecurity/your-security-team-is-outgunned-wheres-the-help.html

12 septembre 2016 - Une analyse de certaines statistiques qui démontrent que plusieurs CA n’ont pas assez de membres qui possèdent de l’expérience professionnelle en technologie et mettent à risque leurs entreprises.

https://www.linkedin.com/pulse/do-you-have-enough-technology-expertise-your-board-directors-morin?published=t

29 août 2016 - Un article intéressant qui explique pourquoi les gestionnaires de risques sont forcés d’adopter une position de défense plus forte pour les cyber-risques et quel rôle la cyber-assurance peut vraiment jouer dans ce domaine. Les questions clés qui préoccupent les entreprises sont particulièrement intéressantes pour les membres du CA et peuvent servir de bases pour une discussion constructive avec le management : (a) Qu’est-ce qui est à risque pour notre entreprise – est-ce la continuité des affaires? Subirons-nous du Denial of Service ou du vol de propriété intellectuelle ? Possédons-nous des données de consommateurs /financières /de santé?(b) Quelle est vraiment la probabilité qu’un événement se produise?; (c) Quelles sont réalistement les dommages estimés?

http://techcrunch.com/2016/05/23/can-startups-disrupt-the-20-billion-cyber-insurance-market/

8 août 2016 - Un bon résumé qui présente comment les CA devraient discuter de la technologie. Au lieu de voir la technologie comme un outil, les CA les plus performants l’utilisent comme un levier stratégique, au même titre que les RH, la marque et le financement. Le CA doit s’assurer de posséder assez de compétence technologique pour développer une bonne compréhension du rôle que la technologie doit jouer dans l’entreprise et de comment l’utiliser dans sa stratégie.

https://www.linkedin.com/pulse/10-most-powerful-technology-questions-any-board-russell-yardley-faicd

26 juillet 2016 - Un article intéressant de Deloitte. Le thème sous-jacent est que les sources de rupture sont de plus en plus nombreuses et présentes dans tous les aspect de l’entreprise : la technologie et les produits, les ressources humaines, les modèles d’affaires, la conformité, l’activisme, la cyber-criminalité. Pour être en mesure de réagir adéquatement et protéger les entreprises, les CA doivent s’assurer que les innovations dans l’entreprises sont elles aussi présentes dans tous les secteurs et qu’une culture d’innovation se développe.

http://www2.deloitte.com/ca/en/pages/audit/articles/directors-alert-2016.html

11 juillet 2016 - Je suis fière de faire partie du registre de candidates pour les conseils d’administration de l’ACTI, le premier registre canadien qui présente 33 femmes d’expérience en technologie qui sont qualifiées et intéressées à siéger sur des conseils d’administration. Ce registre aidera les compagnies canadiennes à identifier des administratrices de sociétés compétentes en technologie et favorisera la diversité sur leur conseil.

http://itac.ca/blog/itac-women-on-boards-registry-a-solution-to-lack-of-ict-board-diversity/

27 juin 2016 - Une autre bonne référence sur ce que les CA doivent rechercher chez un CIO. Un leader qui peut vraiment devenir un membre de la haute direction, près des affaires et des stratégies et qui peut réussir la transformation digitale. Pour y arriver, il devra gérer un département TI efficace et économique, réduire les coûts fixes en TI et rendre les opérations plus agiles pour s’adapter rapidement. Est-ce que cela ne ressemble pas à la description de tâches de tous les dirigeant dans l’entreprise?

http://deloitte.wsj.com/cio/2016/04/28/how-cios-can-set-a-digital-mandate/