« Il est du devoir du PDG de réagir après une crise, dans le cas où une attaque majeure se présente. Cependant, la mission de cybersécurité devrait être confiée à temps plein à une personne, supervisée par le conseil d’administration, qui sera sanctionnée dans le cas où l’entreprise n’a pas adopté les bonnes mesures de sécurité pour se protéger d’une cyberattaque. Pour attirer suffisamment l’attention du PDG sur cette question, avant qu’une crise se présente, une partie de son salaire doit se baser sur l’efficacité de la cybersécurité de l’entreprise »