Un récent webinaire des Jeunes administrateurs de l’Institut sur la gouvernance d’organisations privées et publiques (IGOPP) a soulevé l’enjeu de la gouvernance à l’ère de la cybersécurité et de la transition numérique.
« John Chambers a déjà dit qu’environ 70 % des entreprises débuteront leur transformation numérique mais que seulement 30 % y parviendront », a rappelé le modérateur Normand Chartrand, premier directeur, Investissement capital de risque et technologies à la Caisse de dépôt.
Comment les conseils d’administration (CA) peuvent-ils minimiser ce risque ? Jusqu’à quel point le devoir fiduciaire les incitera-t-il à intervenir dans les affaires de l’entreprise ou de l’organisation ?
Pour en savoir un peu plus, nous nous sommes entretenus avec une des participantes du webinaire, Anne-Marie Croteau. Doyenne de l’École de gestion John-Molson de l’Université Concordia, elle siège au conseil d’Hydro-Québec depuis 2016. Elle en assume la vice-présidence du comité finance, projets et technologies de l’information. Également membre du CA de la SAAQ entre 2011 et 2019, elle présidait son comité des technologies de l’information.
Éduquer et informer
« Dans les CA, la techno est trop souvent vue comme étant un coût. On oublie que des situations problématiques en cybersécurité ou en TI peuvent faire flancher l’organisation », dit Anne-Marie Croteau.
Selon elle, les CA doivent intégrer des « gens d’expérience » en technologies de l’information qui auront la capacité d’éduquer et d’informer l’équipe de direction incluant les responsables des technologies de l’information (CIO). Des connaissances de pointe pourraient alors être mieux diffusées à l’interne.
Ces gens d’expérience pourraient aussi remettre en question des orientations et choix des équipes de gestion. Par exemple, un mauvais choix de système ERP pourrait être ainsi évité.
« Les membres de CA ayant les connaissances suffisantes ne devraient pas hésiter à rencontrer personnellement les responsables des technologies de l’information afin de les aider à remplir leurs rôles », précise Anne-Marie Croteau.
Celle qui est aussi professeure titulaire en gestion des technologies de l’information à l’Université Concordia ajoute que les CA ont intérêt à entendre des points de vue d’experts situés hors de l’organisation. Dans cet esprit, elle suggère de faire appel à des spécialistes de la veille technologique, à des consultants en TI et dans le cas des grandes entreprises, aux Gartner de ce monde.
« Il ne faut pas craindre d’être accompagnés, notamment dans l’élaboration de diagnostics touchant la protection des données. Des consultants peuvent évaluer la maturité de l’organisation concernant les TI et la cybersécurité, faisant en sorte que leurs recommandations remonteront au CA », dit-elle.
Le maillon faible
La cybersécurité est « parfois le maillon faible des entreprises », rappelle Anne-Marie Croteau. L’importance de protéger les données et la cybersécurité en général pourrait-elle devenir une des obligations fiduciaires des conseils d’administration ? « Je ne serais pas surprise que cela devienne éventuellement une obligation », signale cette familière de l’univers des TI et des CA.
En conséquence, les compétences requises en TI des futurs membres de CA iront désormais en augmentant.