La cybersécurité est un enjeu ESG majeur : voici comment en démontrer l'importance
La question de la divulgation, désormais incontournable
Les cadres de reporting en matière de développement durable et d’ESG ont, pour l’essentiel, traité la cybersécurité comme un sujet secondaire : une simple note de bas de page dans la section consacrée à la gouvernance, une obligation de divulgation dans les normes spécifiques au secteur technologique, mais rarement une préoccupation de premier ordre en termes de matérialité, au même titre que le climat, les pratiques de travail ou la diversité au sein des conseils d’administration. Cette situation évolue rapidement, et les professionnels de l’ESG qui n’ont pas encore intégré la cybersécurité dans leurs pratiques d’évaluation de la matérialité et de divulgation sont de plus en plus exposés à cette lacune.
Les raisons ne sont pas difficiles à comprendre. Les incidents cybernétiques figurent désormais parmi les événements significatifs les plus fréquemment signalés dans les déclarations des entreprises relatives aux risques. Les conséquences financières des violations graves – amendes réglementaires, perturbations opérationnelles, frais de justice, atteinte à la réputation et perte de confiance des clients – peuvent être considérables et se manifester rapidement. Les conséquences humaines – divulgation de données personnelles, perturbation de services essentiels, préjudice causé aux populations vulnérables – constituent de véritables impacts sociaux. Et les défaillances de gouvernance qui précèdent généralement les incidents cybernétiques majeurs – surveillance inadéquate, responsabilité mal définie, investissements insuffisants, mauvaise gestion des tiers – sont précisément le type de défaillances que les cadres ESG sont conçus pour mettre en évidence et traiter.
Ce que signifie la notion d'importance relative dans ce contexte
En matière d'ESG, la matérialité désigne l'importance d'un enjeu par rapport à son impact potentiel sur l'organisation et ses parties prenantes. Différents référentiels appliquent différents critères. Les normes GRI appliquent un critère centré sur les parties prenantes : cette question est-elle suffisamment importante pour les parties prenantes pour que le fait de ne pas en rendre compte omettrait des informations dont elles ont besoin pour évaluer la performance de l'organisation en matière de développement durable ? Les référentiels ISSB et TCFD appliquent un critère de matérialité financière : cette question pourrait-elle raisonnablement affecter la situation financière, la performance ou les perspectives de l'organisation ? L'ESRS de l'UE applique un double critère de matérialité qui combine les deux.
La cybersécurité répond à tous ces critères de matérialité pour un large éventail d'organisations. Du point de vue de la matérialité financière, le risque qu'un cyberincident majeur cause un préjudice financier significatif est bien établi et de plus en plus quantifié dans les déclarations de risques. Du point de vue de la matérialité pour les parties prenantes, les clients, les employés, les investisseurs et les régulateurs ont tous un intérêt direct dans la manière dont les organisations gèrent le risque cyber. Enfin, du point de vue de la double matérialité, les incidents cybernétiques affectent et sont affectés par les impacts sociaux et environnementaux plus larges de l'organisation : la perte de données de surveillance environnementale, la divulgation d'informations personnelles sur les employés ou les clients, la perturbation des services dont dépendent les communautés.
La cybersécurité n'est pas une question technique marginale. Il s'agit d'un risque commercial comportant des dimensions financières, sociales et de gouvernance qui correspondent directement aux critères de matérialité de tous les grands référentiels de reporting ESG.
Ce que propose le NIST CSF 2.0 en matière de divulgation
Pour les professionnels de l'ESG chargés de démontrer la pertinence de la cybersécurité – ou d'élaborer le contenu des informations à publier une fois cette pertinence établie –, le NIST CSF 2.0 offre à la fois un outil d'évaluation pratique et un cadre de publication.
En tant qu'outil d'évaluation, les six fonctions du CSF 2.0 – Gouverner, Identifier, Protéger, Détecter, Réagir, Restaurer – offrent une vue d'ensemble complète des activités de gestion des risques liés à la cybersécurité qu'une organisation devrait mener. Un professionnel ESG peut utiliser cette cartographie pour évaluer les pratiques actuelles par rapport aux attentes : l'organisation dispose-t-elle des structures de gouvernance requises par la fonction « Gouverner » ? Dispose-t-elle d'un inventaire à jour et exhaustif des actifs et des risques, comme l'exige la fonction « Identifier » ? Dispose-t-elle de procédures de réponse aux incidents testées, comme l'exige la fonction « Réagir » ? Les écarts entre les pratiques actuelles et les attentes du CSF 2.0 constituent les risques soumis à l'obligation de divulgation.
En tant que structure de communication, les résultats et les catégories du CSF 2.0 offrent un cadre permettant d'organiser la communication narrative sur la gouvernance de la cybersécurité et la gestion des risques. Plutôt que de rédiger un paragraphe générique sur l'importance que l'organisation accorde à la cybersécurité, les professionnels de l'ESG peuvent structurer leur communication autour de résultats spécifiques alignés sur le CSF : quels processus de gouvernance sont en place, comment les risques liés à la chaîne d'approvisionnement sont-ils gérés, à quoi ressemble la capacité de réaction aux incidents et comment l'organisation surveille-t-elle et améliore-t-elle son niveau de cybersécurité au fil du temps.
Le contexte réglementaire
Le cadre réglementaire met de plus en plus l'accent sur l'importance de la cybersécurité aux fins de la publication d'informations. Les règles de la SEC américaine en matière de publication d'informations sur la cybersécurité, entrées en vigueur en décembre 2023 pour les grandes sociétés soumises à un régime de dépôt accéléré, imposent aux sociétés cotées de divulguer les incidents de cybersécurité significatifs dans un délai de quatre jours ouvrables et d'inclure dans leurs rapports annuels des informations sur la gestion des risques, la stratégie et la gouvernance en matière de cybersécurité. La directive NIS2 de l'UE, que les États membres devaient transposer dans leur législation nationale avant octobre 2024, impose des obligations importantes aux organisations opérant dans un large éventail de secteurs et prévoit des obligations de déclaration pour les incidents significatifs.
Au-delà de la réglementation sectorielle, les ESRS – les normes de reporting en matière de développement durable applicables aux grandes entreprises de l'UE en vertu de la directive sur le reporting extra-financier – prévoient des obligations d'information en matière de gouvernance qui englobent la gestion des risques liés à la cybersécurité pour les organisations où ces risques sont significatifs. Le processus de révision des normes universelles de la GRI a mis en évidence la gouvernance technologique, y compris la cybersécurité, comme un domaine dont l'importance ne cesse de croître dans le reporting destiné aux parties prenantes.
Pour les professionnels de l'ESG chargés de gérer les obligations de publication dans le cadre de plusieurs référentiels, le NIST CSF 2.0 offre la possibilité d'élaborer une seule fois le contenu relatif à la gouvernance et à la gestion des risques, puis de le réutiliser dans divers documents de publication. Ce référentiel jouit d'une reconnaissance et d'un respect suffisants pour que le fait de s'y référer dans les documents de publication confère crédibilité et précision à ce qui, sans cela, pourrait n'être qu'un exposé générique.
Intégrer la cybersécurité dans votre analyse de matérialité
Concrètement, les professionnels de l'ESG doivent commencer par intégrer explicitement la cybersécurité dans leur prochain processus d'évaluation de la matérialité. Cela implique de collaborer avec les services chargés de la sécurité informatique, de la gestion des risques et de la conformité afin de cerner le profil de risque actuel et la stratégie de gestion des risques en vigueur. Il s'agit également d'évaluer l'exposition financière liée à d'éventuels incidents, en s'appuyant sur les données publiques relatives au coût des incidents lorsque des estimations internes ne sont pas disponibles. Enfin, cela signifie de recenser les attentes des parties prenantes en matière de gouvernance de la cybersécurité, attentes qui sont de plus en plus souvent exprimées dans les questionnaires destinés aux investisseurs, les demandes de diligence raisonnable des clients et les directives réglementaires.
Une fois que la cybersécurité a été identifiée comme un élément significatif, la fonction « Gouvernance » du NIST CSF 2.0 fournit le cadre de gouvernance permettant de garantir que la réponse de l'organisation à cette importance relative est proportionnée – avec une responsabilité clairement établie, une politique documentée, une appétence au risque définie et un processus de contrôle crédible pouvant faire l'objet de rapports en toute confiance.
Les organisations qui établissent dès à présent ce lien – entre l'importance de la cybersécurité et la rigueur de la gouvernance ESG – seront mieux préparées à faire face aux nouvelles exigences en matière de publication d'informations que celles qui continuent de considérer la cybersécurité comme un problème qui ne les concerne pas.
Point clé : la cybersécurité répond aux critères de matérialité de tous les grands référentiels ESG. Le NIST CSF 2.0 fournit à la fois l'outil d'évaluation et la structure de communication nécessaire pour l'intégrer dans le reporting ESG avec crédibilité et précision.