Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le gouvernement britannique suggère de réduire la rémunération du PDG en cas de cyberattaque
La protection des données n'incombe pas qu'au DSI

Le , par Miary

101PARTAGES

9  0 
« Il est du devoir du PDG de réagir après une crise, dans le cas où une attaque majeure se présente. Cependant, la mission de cybersécurité devrait être confiée à temps plein à une personne, supervisée par le conseil d’administration, qui sera sanctionnée dans le cas où l’entreprise n’a pas adopté les bonnes mesures de sécurité pour se protéger d’une cyberattaque. Pour attirer suffisamment l’attention du PDG sur cette question, avant qu’une crise se présente, une partie de son salaire doit se baser sur l’efficacité de la cybersécurité de l’entreprise », c’est ce qui ressort du rapport réalisé par la Commission de la culture, des médias et du sport du Parlement britannique (DCMS), intitulé « Cybersécurité : protection des données personnelles en ligne ».

Ce rapport évoque les suites de la cyberattaque contre l’entreprise TalkTalk, un fournisseur de téléphonie et d’accès internet britannique. Huit mois après le vol d’une base de données contenant les informations personnelles de millions de clients, le Bureau du Commissaire à l'information et à la protection de la vie privée, n’a pas encore pu élucider l’affaire. Bien que des mesures aient été prises par TalkTalk pour protéger ses clients après cette cyberattaque, des victimes se seraient plaintes d’avoir subi des pertes financières suite à des appels frauduleux.

Dans ce rapport, la Commission de la culture, des médias et du sport veut encourager les entreprises à mieux prendre en considération la cybersécurité. Pour ce faire, elle recommande que la rémunération des PDG tienne compte de l’efficacité des mesures prises par l’entreprise pour faire face aux risques de piratage de leurs données. En d’autres termes, si l’entreprise est victime d’une cyberattaque, le PDG devra voir le montant de son salaire et de ses primes diminuer. En effet, il est en partie responsable de la vulnérabilité des données de son entreprise, étant donné qu’il n’a pas pris les bonnes mesures pour empêcher l’éventualité d’une cyberattaque. Pourtant, cette logique ne semblerait pas être adoptée par l’entreprise TalkTalk. En effet, malgré les pertes subies par l’entreprise à la suite de la cyberattaque, la rémunération de son PDG aurait augmenté en 2015.

D’après la commission parlementaire, la protection des données d’une entreprise ne repose pas uniquement sur le directeur de sécurité. Le PDG doit aussi contribuer à la cybersécurité de son entreprise. Par ailleurs, la commission recommande que les mesures ne concernent pas seulement la prévention des attaques, mais également celles à mettre en place, s’il y a une éventuelle fuite de données. Sur ce point justement, un rapport publié par le DCMS affirme que seulement 29 % des entreprises ont mis en place une politique de cybersécurité. À l’ère de l’économie digitale, comme aucune entreprise n’est à l’abri d’une cyberattaque, le responsable de la cybersécurité devrait mettre en place un plan d’urgence en cas de fuite de données et faire régulièrement des exercices pour être prêt si le cas se présente.

Source : Parliament.uk

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Gojir4
Membre averti https://www.developpez.com
Le 28/06/2016 à 10:30
Sur le principe je trouve l'idée pas si mal, mais il faudrait en effet inclure le conseil d'administration et appliqué ce principe sur toute activité de l'entreprise. Actuellement lorsqu'une entreprise fonctionne bien, sa direction s'octroie des augmentations de salaire, quand ça va mal, on diminue le salaire des employés, ou pire on en met quelques-un à la porte. Alors qu'au final les mauvais résultat d'une entreprises sont généralement dûe aux mauvaises décisions de sa direction.

Tout ça pour dire qu'il est peut-être temps que ces gens prennent leurs responsabilités. Théoriquement, un gros salaire est synonyme de grande responsabilité, il serait donc logique que les sanctions en cas d'erreur soit proportionnelle à cette responsabilité. Si l'on applique cette règle dans les entreprises et les gouvernements, on aura peut être moins de gignoles qui jouent au monopoly avec la vie professionelle de leurs employés ou la vie de leur citoyens. Actuellement le seul risque pour un PDG et de se faire remercier avec un parachute doré de quelques millions, on peut comprendre dans ce cas que le PDG ne sera que peut concerné par l'avenir de l'entreprise, tout ça n'est qu'un "jeu" à son niveau.

Dans tous les cas il faudra trouver des solutions pour en finir avec les salaires indécents de la plupart des chefs de grandes entreprises. Cela se fera par des lois, ou par la force.
4  1 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 27/06/2016 à 17:49
Citation Envoyé par Miary Voir le message
Qu’en pensez-vous ?
Je trouve que c'est une très bonne suggestion et qu'elle devrait s'appliquer à l'ensemble du conseil d'administration et pas uniquement au PDG.
Non seulement chaque directeur de service aura ses primes indexées sur le niveau de sécurité informatique de l'entreprise mais aussi, il pourra le décliner comme objectif à chacun de ses N-1 et ainsi de suite.
La sécurité des données est l'affaire de tous et c'est un changement de culture important.
3  1 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 27/06/2016 à 18:18
le jour ou cela serait appliqué les poules feront 15m de haut et mangeront des humains au petit dej
2  0 
Avatar de sinople
Membre chevronné https://www.developpez.com
Le 28/06/2016 à 9:36
Bon théoriquement une cyberattaque a déjà un impact sur la marche des affaires de l'entreprise (perte d'image, perte de production, perte financière, frais de justice) et ceci devrait avoir un impact sur la rémunération du PDG.

Maintenant on peut discuter du fait que trop souvent la rémunération du PDG soit totalement déconnecté de la performance de l'entreprise ou de la légèreté des sanctions prise à l'encontre des sociétés passoires...
2  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 28/06/2016 à 11:39
Citation Envoyé par sazearte Voir le message
Oui je suis d'accord, mais je pense pas que le responsable se soit le PDG pour autant, ou dans de rare cas en tous cas.
Une cyber-attaque sa peut venir de n'importe ou !

Un salarié qui fait n’importe quoi
Un administrateur incompétent
Une faille 0-day
Une faille dans l'implémentation d'un programme/protocole, donc ici c'est le développeur le responsable
La faute peut revenir à un prestataire qui sécurise mal ces serveurs par exemple.

...etc, en quoi dans ces cas la le pdg est responsable !?

Accusé directement le PDG sa m'a l'air tirer par les cheveux.
Pas l'accuser, le responsabiliser.
C'est très différent.

La question est surtout de savoir si tout est mis en oeuvre au sein d'une société pour protéger les données des clients.
Y a t'il des audits de sécurité régulier ?
Les recommandations effectuées suites aux audits sont elles mises en oeuvre ?
Les employés sont ils sensibilisés à la sécurités ? (stages, conférences, formations, ....)
Les processus de sécurité sont ils mis en place lors des projets ? (ou est-ce, comme bien souvent, le premier axe d'économie dans un projet pour tenir le budget et le planning ?)
etc.

Si un membre de mon équipe fait une bourde, je suis autant responsable que lui.
Responsable de l'avoir laissé faire / de ne pas l'avoir vu avant / de ne pas l'avoir anticipé / de ne pas l'avoir suffisamment encadré / de l'avoir intégré à mon équipe (plusieurs choix possible).
Je ne suis pas coupable de sa bourde (ça reste la sienne) mais j'en suis responsable (car ça s'est passé sur mon projet et par un membre de mon équipe).
C'est la même chose à tous les niveaux.

On accepte parfaitement cela dans le sport où le c'est le sélectionneur qui saute (on vient de le voir avec l’Angleterre hier soir).
Pourtant, c'est l'équipe qui était sur le terrain qui a mal joué et tel ou tel défenseur qui a fait une erreur de marquage.
Pourquoi serait-ce différent dans une entreprise ?
2  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 27/06/2016 à 19:15
Sans vouloir faire l'avocat du diable, le PDG (et le CA qui va avec), fort de ses 10 doigts, ne sait qu'allouer arbitrairement des budgets à sa société. Avant de l'accuser, il faudrait être sûr que la sécurité informatique soit mauvaise spécifiquement parce qu'il a pris une mauvaise décision.

Le budget alloué à la sécurité était insuffisant ? Pourquoi ? (Le coût de la sécurité insoutenable pour une petite société ? La pression des actionnaires dans toute leur splendeur pour une grosse société ?)
Le budget alloué était suffisant, mais le résultat n'était clairement pas à la hauteur ? (société externe bidon, équipe interne bidon, audit sécurité bidon ?)
4  3 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 28/06/2016 à 11:20

Va falloir que tu revois ta définition du PDG.
Son rôle ne se limite pas du tout à l'aspect financier.
Il prend énormément de décisions stratégiques sur des domaines extrêmement variés.

Il est responsable de l'ensemble de la société dans tous les domaines.
Même s'il ne décide pas des solutions de sécurité informatique, rôle du DSI, il peut en faire un axe de priorité et objectiver son DSI sur cet aspect.

Quand une équipe fait une bourde, le premier responsable est le manager.
Le manager d'une entreprise, c'est son PDG.

Si le job de PDG était si simple, ça se saurait.
Oui je suis d'accord, mais je pense pas que le responsable se soit le PDG pour autant, ou dans de rare cas en tous cas.
Une cyber-attaque sa peut venir de n'importe ou !

Un salarié qui fait n’importe quoi
Un administrateur incompétent
Une faille 0-day
Une faille dans l'implémentation d'un programme/protocole, donc ici c'est le développeur le responsable
La faute peut revenir à un prestataire qui sécurise mal ces serveurs par exemple.

...etc, en quoi dans ces cas la le pdg est responsable !?

Accusé directement le PDG sa m'a l'air tirer par les cheveux.
1  1 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 28/06/2016 à 10:49
Citation Envoyé par sazearte Voir le message
Je vois pas le rapport entre la sécurité informatique et le PDG !

Le pdg n'est pas un dieu qui maîtrise 100% des domaines. Si on commence à lui enlever une partie de son salaire pour sa, pourquoi pas pour autre chose ? mauvaise gestion des stock, mauvaise prévision sur l'import-export....etc. Pour moi il est innocent, je sais même pas si c'est le PDG qui décide du budget de la sécurité informatique, c'est pas plutôt le DSI ?
Va falloir que tu revois ta définition du PDG.
Son rôle ne se limite pas du tout à l'aspect financier.
Il prend énormément de décisions stratégiques sur des domaines extrêmement variés.

Il est responsable de l'ensemble de la société dans tous les domaines.
Même s'il ne décide pas des solutions de sécurité informatique, rôle du DSI, il peut en faire un axe de priorité et objectiver son DSI sur cet aspect.

Quand une équipe fait une bourde, le premier responsable est le manager.
Le manager d'une entreprise, c'est son PDG.

Si le job de PDG était si simple, ça se saurait.
Je ne dis pas pour autant que ça justifie les salaires stratosphériques de certains (1 000x le salaire d'un ouvrier, voir plus, on peut dire qu'il y a de l'abus)
0  1 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 28/06/2016 à 11:57
Citation Envoyé par Saverok Voir le message
(...) il peut en faire un axe de priorité et objectiver son DSI sur cet aspect.
en clair mettre la pression à l'étage d'en dessous, à son DSI
0  1 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 27/06/2016 à 19:47
Je vois pas le rapport entre la sécurité informatique et le PDG !

Le pdg n'est pas un dieu qui maîtrise 100% des domaines. Si on commence à lui enlever une partie de son salaire pour sa, pourquoi pas pour autre chose ? mauvaise gestion des stock, mauvaise prévision sur l'import-export....etc. Pour moi il est innocent, je sais même pas si c'est le PDG qui décide du budget de la sécurité informatique, c'est pas plutôt le DSI ?

Par contre, faudrait faire payer les PDG qui s'amuse à l'optimisation fiscale, et aux magouillent pour contourner les lois, aux dernières nouvelles les dirigeants de Volkswagen n'ont pas été puni !
1  3