Discussion :

[Miary]

Le gouvernement britannique suggère de réduire la rémunération du PDG en cas de cyberattaque
La protection des données n'incombe pas seulement au directeur de sécurité

« Il est du devoir du PDG de réagir après une crise, dans le cas où une attaque majeure se présente. Cependant, la mission de cybersécurité devrait être confiée à temps plein à une personne, supervisée par le conseil d’administration, qui sera sanctionnée dans le cas où l’entreprise n’a pas adopté les bonnes mesures de sécurité pour se protéger d’une cyberattaque. Pour attirer suffisamment l’attention du PDG sur cette question, avant qu’une crise se présente, une partie de son salaire doit se baser sur l’efficacité de la cybersécurité de l’entreprise », c’est ce qui ressort du rapport réalisé par la Commission de la culture, des médias et du sport du Parlement britannique (DCMS), intitulé « Cybersécurité : protection des données personnelles en ligne ».

Ce rapport évoque les suites de la cyberattaque contre l’entreprise TalkTalk, un fournisseur de téléphonie et d’accès internet britannique. Huit mois après le vol d’une base de données contenant les informations personnelles de millions de clients, le Bureau du Commissaire à l'information et à la protection de la vie privée, n’a pas encore pu élucider l’affaire. Bien que des mesures aient été prises par TalkTalk pour protéger ses clients après cette cyberattaque, des victimes se seraient plaintes d’avoir subi des pertes financières suite à des appels frauduleux.

Dans ce rapport, la Commission de la culture, des médias et du sport veut encourager les entreprises à mieux prendre en considération la cybersécurité. Pour ce faire, elle recommande que la rémunération des PDG tienne compte de l’efficacité des mesures prises par l’entreprise pour faire face aux risques de piratage de leurs données. En d’autres termes, si l’entreprise est victime d’une cyberattaque, le PDG devra voir le montant de son salaire et de ses primes diminuer. En effet, il est en partie responsable de la vulnérabilité des données de son entreprise, étant donné qu’il n’a pas pris les bonnes mesures pour empêcher l’éventualité d’une cyberattaque. Pourtant, cette logique ne semblerait pas être adoptée par l’entreprise TalkTalk. En effet, malgré les pertes subies par l’entreprise à la suite de la cyberattaque, la rémunération de son PDG aurait augmenté en 2015.

D’après la commission parlementaire, la protection des données d’une entreprise ne repose pas uniquement sur le directeur de sécurité. Le PDG doit aussi contribuer à la cybersécurité de son entreprise. Par ailleurs, la commission recommande que les mesures ne concernent pas seulement la prévention des attaques, mais également celles à mettre en place, s’il y a une éventuelle fuite de données. Sur ce point justement, un rapport publié par le DCMS affirme que seulement 29 % des entreprises ont mis en place une politique de cybersécurité. À l’ère de l’économie digitale, comme aucune entreprise n’est à l’abri d’une cyberattaque, le responsable de la cybersécurité devrait mettre en place un plan d’urgence en cas de fuite de données et faire régulièrement des exercices pour être prêt si le cas se présente.

Source : Parliament.uk

Et vous ?

Qu’en pensez-vous ?

[Saverok]

Qu’en pensez-vous ?

Je trouve que c'est une très bonne suggestion et qu'elle devrait s'appliquer à l'ensemble du conseil d'administration et pas uniquement au PDG.
Non seulement chaque directeur de service aura ses primes indexées sur le niveau de sécurité informatique de l'entreprise mais aussi, il pourra le décliner comme objectif à chacun de ses N-1 et ainsi de suite.
La sécurité des données est l'affaire de tous et c'est un changement de culture important.

[TiranusKBX]

le jour ou cela serait appliqué les poules feront 15m de haut et mangeront des humains au petit dej

[Squisqui]

Sans vouloir faire l'avocat du diable, le PDG (et le CA qui va avec), fort de ses 10 doigts, ne sait qu'allouer arbitrairement des budgets à sa société. Avant de l'accuser, il faudrait être sûr que la sécurité informatique soit mauvaise spécifiquement parce qu'il a pris une mauvaise décision.

Le budget alloué à la sécurité était insuffisant ? Pourquoi ? (Le coût de la sécurité insoutenable pour une petite société ? La pression des actionnaires dans toute leur splendeur pour une grosse société ?)
Le budget alloué était suffisant, mais le résultat n'était clairement pas à la hauteur ? (société externe bidon, équipe interne bidon, audit sécurité bidon ?)

[RyzenOC]

Je vois pas le rapport entre la sécurité informatique et le PDG !

Le pdg n'est pas un dieu qui maîtrise 100% des domaines. Si on commence à lui enlever une partie de son salaire pour sa, pourquoi pas pour autre chose ? mauvaise gestion des stock, mauvaise prévision sur l'import-export....etc. Pour moi il est innocent, je sais même pas si c'est le PDG qui décide du budget de la sécurité informatique, c'est pas plutôt le DSI ?

Par contre, faudrait faire payer les PDG qui s'amuse à l'optimisation fiscale, et aux magouillent pour contourner les lois, aux dernières nouvelles les dirigeants de Volkswagen n'ont pas été puni !

[NSKis]

Il s'agit juste d'une décision "populiste" dont le seul but est pour les politiques de se faire bien voir de l'électeur "Monsieur Tout Le Monde"

1. Cette mesure n'aura aucune incidence sur l'amélioration de la sécurité des données (Le PDG va doubler le budget d'achat d'anti-virus??? Va-t-il personnellement espionner chacun de ses collaborateurs, histoire d'éviter tout vol de données à l'interne?)

2. Cela n'aura aucune incidence sur le salaire du PDG... Si la mesure est mise en application, cela lui permettra de s'allouer une augmentation de salaire "au cas où" et si il n'y a pas de problème. il gardera la plus-value... Merci qui? Merci les politicards!

En tout cas une chose est sûr: S'il fallait encore le démontrer les politicards de tout poils sont totalement déconnectés du monde réel... Mais à quoi s'attendre de mecs qui n'ont jamais travaillés dans une entreprise et qui ont pour seul métier: La politique?

[BufferBob]

Il s'agit juste d'une décision "populiste" dont le seul but est pour les politiques de se faire bien voir de l'électeur "Monsieur Tout Le Monde"

oui je suis assez d'accord

du coup la solution pour éviter que le salaire du pdg baisse, c'est de presser un peu plus le citron des salariés (principe de la hiérarchie pyramidale, on évacue sur l'étage d'en dessous) ?
ça tombe bien le RSSI n'était pas encore assez stressé

[sinople]

Bon théoriquement une cyberattaque a déjà un impact sur la marche des affaires de l'entreprise (perte d'image, perte de production, perte financière, frais de justice) et ceci devrait avoir un impact sur la rémunération du PDG.

Maintenant on peut discuter du fait que trop souvent la rémunération du PDG soit totalement déconnecté de la performance de l'entreprise ou de la légèreté des sanctions prise à l'encontre des sociétés passoires...

[Gojir4]

Sur le principe je trouve l'idée pas si mal, mais il faudrait en effet inclure le conseil d'administration et appliqué ce principe sur toute activité de l'entreprise. Actuellement lorsqu'une entreprise fonctionne bien, sa direction s'octroie des augmentations de salaire, quand ça va mal, on diminue le salaire des employés, ou pire on en met quelques-un à la porte. Alors qu'au final les mauvais résultat d'une entreprises sont généralement dûe aux mauvaises décisions de sa direction.

Tout ça pour dire qu'il est peut-être temps que ces gens prennent leurs responsabilités. Théoriquement, un gros salaire est synonyme de grande responsabilité, il serait donc logique que les sanctions en cas d'erreur soit proportionnelle à cette responsabilité. Si l'on applique cette règle dans les entreprises et les gouvernements, on aura peut être moins de gignoles qui jouent au monopoly avec la vie professionelle de leurs employés ou la vie de leur citoyens. Actuellement le seul risque pour un PDG et de se faire remercier avec un parachute doré de quelques millions, on peut comprendre dans ce cas que le PDG ne sera que peut concerné par l'avenir de l'entreprise, tout ça n'est qu'un "jeu" à son niveau.

Dans tous les cas il faudra trouver des solutions pour en finir avec les salaires indécents de la plupart des chefs de grandes entreprises. Cela se fera par des lois, ou par la force.

[Saverok]

Je vois pas le rapport entre la sécurité informatique et le PDG !

Le pdg n'est pas un dieu qui maîtrise 100% des domaines. Si on commence à lui enlever une partie de son salaire pour sa, pourquoi pas pour autre chose ? mauvaise gestion des stock, mauvaise prévision sur l'import-export....etc. Pour moi il est innocent, je sais même pas si c'est le PDG qui décide du budget de la sécurité informatique, c'est pas plutôt le DSI ?

Va falloir que tu revois ta définition du PDG.
Son rôle ne se limite pas du tout à l'aspect financier.
Il prend énormément de décisions stratégiques sur des domaines extrêmement variés.

Il est responsable de l'ensemble de la société dans tous les domaines.
Même s'il ne décide pas des solutions de sécurité informatique, rôle du DSI, il peut en faire un axe de priorité et objectiver son DSI sur cet aspect.

Quand une équipe fait une bourde, le premier responsable est le manager.
Le manager d'une entreprise, c'est son PDG.

Si le job de PDG était si simple, ça se saurait.
Je ne dis pas pour autant que ça justifie les salaires stratosphériques de certains (1 000x le salaire d'un ouvrier, voir plus, on peut dire qu'il y a de l'abus)

[RyzenOC]

Va falloir que tu revois ta définition du PDG.
Son rôle ne se limite pas du tout à l'aspect financier.
Il prend énormément de décisions stratégiques sur des domaines extrêmement variés.

Il est responsable de l'ensemble de la société dans tous les domaines.
Même s'il ne décide pas des solutions de sécurité informatique, rôle du DSI, il peut en faire un axe de priorité et objectiver son DSI sur cet aspect.

Quand une équipe fait une bourde, le premier responsable est le manager.
Le manager d'une entreprise, c'est son PDG.

Si le job de PDG était si simple, ça se saurait.

Oui je suis d'accord, mais je pense pas que le responsable se soit le PDG pour autant, ou dans de rare cas en tous cas.
Une cyber-attaque sa peut venir de n'importe ou !

Un salarié qui fait n’importe quoi
Un administrateur incompétent
Une faille 0-day
Une faille dans l'implémentation d'un programme/protocole, donc ici c'est le développeur le responsable
La faute peut revenir à un prestataire qui sécurise mal ces serveurs par exemple.

...etc, en quoi dans ces cas la le pdg est responsable !?

Accusé directement le PDG sa m'a l'air tirer par les cheveux.

[Saverok]

Oui je suis d'accord, mais je pense pas que le responsable se soit le PDG pour autant, ou dans de rare cas en tous cas.
Une cyber-attaque sa peut venir de n'importe ou !

Un salarié qui fait n’importe quoi
Un administrateur incompétent
Une faille 0-day
Une faille dans l'implémentation d'un programme/protocole, donc ici c'est le développeur le responsable
La faute peut revenir à un prestataire qui sécurise mal ces serveurs par exemple.

...etc, en quoi dans ces cas la le pdg est responsable !?

Accusé directement le PDG sa m'a l'air tirer par les cheveux.

Pas l'accuser, le responsabiliser.
C'est très différent.

La question est surtout de savoir si tout est mis en oeuvre au sein d'une société pour protéger les données des clients.
Y a t'il des audits de sécurité régulier ?
Les recommandations effectuées suites aux audits sont elles mises en oeuvre ?
Les employés sont ils sensibilisés à la sécurités ? (stages, conférences, formations, ....)
Les processus de sécurité sont ils mis en place lors des projets ? (ou est-ce, comme bien souvent, le premier axe d'économie dans un projet pour tenir le budget et le planning ?)
etc.

Si un membre de mon équipe fait une bourde, je suis autant responsable que lui.
Responsable de l'avoir laissé faire / de ne pas l'avoir vu avant / de ne pas l'avoir anticipé / de ne pas l'avoir suffisamment encadré / de l'avoir intégré à mon équipe (plusieurs choix possible).
Je ne suis pas coupable de sa bourde (ça reste la sienne) mais j'en suis responsable (car ça s'est passé sur mon projet et par un membre de mon équipe).
C'est la même chose à tous les niveaux.

On accepte parfaitement cela dans le sport où le c'est le sélectionneur qui saute (on vient de le voir avec l’Angleterre hier soir).
Pourtant, c'est l'équipe qui était sur le terrain qui a mal joué et tel ou tel défenseur qui a fait une erreur de marquage.
Pourquoi serait-ce différent dans une entreprise ?

[BufferBob]

(...) il peut en faire un axe de priorité et objectiver son DSI sur cet aspect.

en clair mettre la pression à l'étage d'en dessous, à son DSI