La gouvernance avant tout : comment la nouvelle fonction du NIST CSF 2.0 relie les risques cybernétiques au leadership en matière d'ESG
Le changement qui fait toute la différence
Lorsque le NIST a publié le CSF 2.0 en février 2024, le changement structurel le plus marquant a été l'ajout d'une toute nouvelle fonction : « Govern ». Il ne s'agissait pas d'une simple révision mineure ni d'un simple changement de nom d'un contenu existant. C'était un signal délibéré lancé par l'un des organismes de normalisation les plus influents au monde, indiquant que la gestion des risques liés à la cybersécurité ne peut être dissociée de la gouvernance organisationnelle – et que les conseils d'administration, les équipes de direction et les professionnels qui les conseillent doivent s'en approprier en conséquence.
Pour les professionnels de l'ESG, ce changement revêt une importance capitale. La fonction « Govern » n'est pas une fonction technique. Il s'agit d'une fonction liée au leadership, à la stratégie et à la culture. Elle englobe les politiques, les processus et les responsabilités qui déterminent la manière dont une organisation aborde les risques liés à la cybersécurité dans toutes ses activités. Tant par son contenu que par sa structure et son objectif, elle correspond directement au travail de gouvernance que les professionnels de l'ESG accomplissent au quotidien.
Ce que couvre la fonction « Govern »
La fonction « Govern » de CSF 2.0 s'articule autour de six catégories. En comprenant chacune d'entre elles, les professionnels de l'ESG peuvent identifier les liens avec leurs activités actuelles et déterminer les domaines qui nécessitent une attention particulière.
Le contexte organisationnel exige que l'organisation comprenne sa mission, l'environnement réglementaire dans lequel elle évolue et l'appétit pour le risque de ses parties prenantes – et que ce contexte guide ses décisions en matière de gestion des risques liés à la cybersécurité. Pour les professionnels de l'ESG, il s'agit là d'un terrain familier. Les évaluations de matérialité, les processus d'engagement des parties prenantes et l'analyse prospective de la réglementation sont autant d'activités ESG courantes qui alimentent directement le contexte organisationnel dont la fonction de gouvernance a besoin.
La stratégie de gestion des risques exige que l'organisation dispose d'une approche bien établie, documentée et communiquée en matière de risques liés à la cybersécurité, comprenant notamment des seuils de tolérance au risque définis et les critères utilisés pour hiérarchiser les mesures de réponse aux risques. Les professionnels de l'ESG qui travaillent sur les cadres de gestion des risques d'entreprise reconnaîtront que cela correspond exactement aux déclarations d'appétit pour le risque et aux seuils de tolérance qu'ils contribuent à élaborer pour les risques environnementaux et sociaux.
Le document « Rôles, responsabilités et pouvoirs » exige que les responsabilités en matière de cybersécurité soient clairement attribuées, comprises et communiquées à l'ensemble de l'organisation, y compris au niveau du conseil d'administration et de la haute direction. Les professionnels de l'ESG sont bien placés pour aider les organisations à y réfléchir de manière claire, car l'attribution des responsabilités relatives aux risques non financiers est un élément essentiel des bonnes pratiques de gouvernance.
La réglementation exige que des politiques de cybersécurité soient mises en place, documentées et communiquées, et qu'elles reflètent la stratégie et le seuil de tolérance de l'organisation en matière de risques. Pour les professionnels de l'ESG chargés de l'élaboration des politiques et de la communication en matière de gouvernance, il s'agit là d'un travail directement applicable.
La supervision exige que les résultats des activités de gestion des risques liés à la cybersécurité servent à éclairer et à adapter la stratégie globale de gestion des risques de l'organisation, et qu'un processus clair soit mis en place pour transmettre les informations relatives à ces risques au conseil d'administration et à la haute direction, en vue de leur examen et de la prise de décision. Il s'agit là de la fonction de reporting et d'assurance ESG appliquée aux risques cybernétiques.
La gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement implique d'identifier, d'évaluer et de gérer ces risques, tout en communiquant des attentes claires aux fournisseurs et aux tiers. Pour les professionnels de l'ESG qui travaillent sur la diligence raisonnable en matière de chaîne d'approvisionnement et l'approvisionnement responsable, il s'agit d'un prolongement naturel des pratiques existantes.
La fonction « Govern » n'est pas un concept nouveau présenté sous le prisme de la cybersécurité. Il s'agit d'une description d'une bonne gouvernance des risques – la même discipline que les professionnels de l'ESG appliquent aux risques liés au climat, aux droits de l'homme et au travail – transposée au domaine cybernétique.
Intégrer Govern aux cadres de gouvernance ESG
Les similitudes entre la fonction « Govern » du NIST CSF 2.0 et les principaux cadres de gouvernance ESG sont frappantes et présentent un intérêt pratique. Les normes GRI 205 (Lutte contre la corruption) et GRI 418 (Confidentialité des données des clients) de la Global Reporting Initiative exigent toutes deux la publication des processus de gouvernance pour des catégories de risques spécifiques. Les normes européennes de reporting en matière de durabilité (ESRS) exigent la publication des structures et des processus de gouvernance destinés à la gestion des risques et opportunités significatifs en matière de durabilité. Le cadre du Groupe de travail sur les informations financières liées au climat (TCFD) et ses successeurs, les normes ISSB, exigent la divulgation des processus de gouvernance relatifs au risque climatique.
Dans chacun de ces référentiels, les exigences en matière de publication sont structurellement similaires à celles que la fonction « Govern » du NIST CSF 2.0 impose aux organisations : une responsabilité clairement définie au niveau du conseil d'administration et de la direction, des processus de gestion des risques documentés, une appétence au risque clairement définie et la preuve de la manière dont les informations sur les risques sont transmises aux décideurs. Une organisation ayant mis en œuvre la fonction « Govern » du CSF 2.0 est bien placée pour produire des informations de gouvernance de qualité, destinées à la publication, concernant les risques liés à la cybersécurité dans l'ensemble de ces référentiels.
Ce que les conseils d'administration doivent savoir et faire
La fonction « Govern » de CSF 2.0 stipule clairement que la supervision des risques liés à la cybersécurité au niveau du conseil d'administration est une exigence de gouvernance, et non une amélioration facultative. Cela s'inscrit dans une tendance réglementaire plus large. Les règles de la SEC américaine en matière de divulgation des informations relatives à la cybersécurité, la directive NIS2 de l'UE et les recommandations du NCSC britannique attribuent toutes la responsabilité de la gouvernance en matière de cybersécurité aux plus hauts niveaux de l'organisation.
Pour les professionnels de l'ESG qui rédigent des rapports de gouvernance destinés au conseil d'administration ou qui fournissent des conseils sur les pratiques de gouvernance au sein de celui-ci, cela a des implications concrètes. Les conseils d'administration doivent être en mesure de démontrer qu'ils disposent de processus pour recevoir et examiner les informations relatives aux risques de cybersécurité, qu'ils ont défini leur appétit pour le risque en matière de cyberincidents et qu'ils ont attribué des responsabilités claires en matière de gestion des risques de cybersécurité à des postes de direction spécifiques. Ce sont précisément le genre de structures de gouvernance que les professionnels de l'ESG aident à concevoir et à documenter pour d'autres catégories de risques.
Une opportunité d'intégration
L'une des contributions les plus précieuses que les professionnels de l'ESG peuvent apporter à la gouvernance de la cybersécurité de leur organisation consiste à plaider en faveur de l'intégration plutôt que de la séparation. Le risque de cybersécurité, tout comme le risque climatique et le risque social, est un risque d'entreprise transversal qui influe sur la stratégie, les opérations, les relations avec les parties prenantes et la création de valeur. Il doit être géré au sein de la même infrastructure de gouvernance que celle qui traite les autres risques significatifs, avec la même rigueur, les mêmes structures de responsabilité et les mêmes règles de communication.
La fonction « Govern » du NIST CSF 2.0 fournit la structure nécessaire pour concrétiser cette intégration. Elle offre aux professionnels de l'ESG un cadre leur permettant de poser les bonnes questions en matière de gouvernance de la cybersécurité, d'apporter une contribution significative aux réponses et de veiller à ce que l'approche de l'organisation face aux risques cybernétiques réponde aux mêmes normes de qualité de gouvernance que celles attendues pour son approche des risques environnementaux et sociaux.
L'ajout de la fonction « Govern » à CSF 2.0 ne se résume pas à une simple mise à jour technique. Il s'agit d'une invitation adressée aux professionnels de l'ESG à mettre leur expertise en matière de gouvernance au service de l'une des catégories de risques les plus déterminantes de notre époque.
Point clé : la fonction « Gouvernance » de CSF 2.0 couvre le contexte organisationnel, la stratégie en matière de risques, les rôles et responsabilités, les politiques, la surveillance et les risques liés à la chaîne d'approvisionnement – autant de domaines dans lesquels les professionnels ESG possèdent déjà une expertise et devraient s'impliquer activement.