Qu’est-ce que le cadre de cybersécurité du NIST – et pourquoi les professionnels ESG devraient-ils s’y intéresser ?
Un cadre au nom déroutant
Si vous travaillez dans le domaine de l'ESG, du développement durable ou de la responsabilité d'entreprise, vous avez sans doute déjà entendu parler du « NIST Cybersecurity Framework » (ou NIST CSF) lors d'une réunion du comité des risques, en remplissant un questionnaire de divulgation ou lors d'une conversation avec vos collègues du service de sécurité informatique. Vous avez peut-être acquiescé d'un signe de tête avant de passer à autre chose, en pensant que c'était une question dont s'occupait l'équipe technique.
Cette hypothèse mérite d'être réexaminée. Le NIST CSF est l'un des cadres de gestion des risques les plus largement adoptés au monde et sa dernière version – le CSF 2.0, publiée en février 2024 par l'Institut national américain des normes et des technologies (NIST) – énonce clairement ce que les professionnels savent depuis des années : la cybersécurité n'est pas un problème technologique. Il s'agit d'un problème de gouvernance et de gestion des risques. Et cela la place clairement dans le champ d'action des professionnels de l'ESG.
Cet article présente, dans un langage simple, ce qu'est le NIST CSF, à quoi il sert et pourquoi il est important pour vous qui travaillez à la croisée de la durabilité, de la gouvernance et des risques.
Qu'est-ce que le NIST, au juste ?
Le NIST (National Institute of Standards and Technology) est une agence fédérale américaine chargée d'élaborer des normes, des lignes directrices et des cadres de référence utilisés par des organisations du monde entier pour gérer les risques liés aux technologies. Bien qu'il soit d'origine américaine, le NIST CSF a été adopté à l'échelle mondiale par des entreprises privées, des organismes du secteur public et des autorités de régulation en Europe, en Asie et au-delà. Il ne s'agit pas d'une obligation légale dans la plupart des juridictions, mais il est devenu une norme de facto quant à la manière dont les organisations structurent leur approche de la gestion des risques liés à la cybersécurité.
Le CSF a été publié pour la première fois en 2014, s'adressant principalement aux exploitants d'infrastructures critiques – réseaux énergétiques, réseaux d'approvisionnement en eau, réseaux financiers. La version 1.1 a suivi en 2018, élargissant son champ d'application. La version 2.0, publiée en 2024, constitue la mise à jour la plus importante à ce jour. Elle étend explicitement le cadre aux organisations de toutes tailles et de tous secteurs, renforce l'accent mis sur la gouvernance et la responsabilité des dirigeants, et introduit la gestion des risques liés à la chaîne d'approvisionnement comme une préoccupation centrale. Ces changements confèrent au CSF 2.0 une pertinence directe et pratique pour les professionnels de l'ESG, ce qui n'était pas le cas des versions précédentes.
Les six fonctions – un modèle mental simple
Le NIST CSF organise la gestion des risques liés à la cybersécurité autour de six fonctions clés. Dans le CSF 2.0, il s'agit des fonctions suivantes : Gouverner, Identifier, Protéger, Détecter, Réagir et Restaurer. Il convient de les considérer comme un cycle continu d'activités plutôt que comme une simple liste de contrôle ponctuelle.
La gouvernance est la nouvelle fonctionnalité introduite dans CSF 2.0 et celle qui présente le plus d'intérêt pour les professionnels de l'ESG. Elle englobe les politiques, les processus et les structures de responsabilité organisationnels qui déterminent la manière dont les risques liés à la cybersécurité sont appréhendés, hiérarchisés et gérés à l'échelle de l'entreprise. Elle concerne le leadership, la stratégie et la culture – autant de domaines dans lesquels les professionnels de l'ESG évoluent au quotidien.
La phase « Identifier » consiste à comprendre les actifs, les systèmes et les données de l'organisation, ainsi que les risques qui y sont associés, y compris ceux liés à la chaîne d'approvisionnement. La phase « Protéger » porte sur les mesures de sécurité et les contrôles mis en place pour réduire la probabilité d'un incident de cybersécurité. La phase « Détecter » concerne les processus permettant de déterminer quand un incident s'est produit. La phase « Réagir » porte sur la manière dont l'organisation réagit. La phase « Récupérer » porte sur la manière dont elle rétablit le fonctionnement normal et tire les leçons de ce qui s'est passé.
Ensemble, ces six fonctions ne décrivent pas seulement un programme de sécurité technique, mais un cycle de vie de la gestion des risques qui correspond directement à la manière dont les professionnels de l'ESG abordent quotidiennement les risques environnementaux et sociaux.
Pourquoi le risque cyber est un enjeu ESG
Le lien entre la cybersécurité et les critères ESG n'est pas un simple argument marketing. Il reflète l'importance que revêt désormais le risque cyber pour les organisations de tous les secteurs.
Sur le plan de la gouvernance, la cybersécurité relève désormais de la responsabilité du conseil d'administration dans la plupart des grandes juridictions. La Commission américaine des opérations boursières (SEC) impose aux sociétés cotées de divulguer les risques significatifs en matière de cybersécurité ainsi que la manière dont le conseil d'administration assure la surveillance de ces risques. La directive NIS2 de l'UE impose une responsabilité personnelle aux cadres supérieurs en cas de défaillances en matière de cybersécurité au sein d'organisations considérées comme fournissant des services essentiels ou importants. Le Code de gouvernance d'entreprise du Royaume-Uni et les cadres équivalents à l'échelle mondiale considèrent de plus en plus la cyber-résilience comme une composante d'une bonne gouvernance. Pour les professionnels ESG chargés des déclarations en matière de gouvernance – que ce soit selon les normes GRI, SASB, ESRS ou équivalentes –, la gouvernance de la cybersécurité est une obligation de déclaration, et non pas seulement une préoccupation informatique.
Sur le plan social, les fuites de données et les incidents cybernétiques causent un préjudice réel à des personnes bien concrètes. Les clients perdent le contrôle de leurs données personnelles. Les informations des employés sont exposées. Les communautés qui dépendent de services essentiels en pâtissent lorsque ces services sont perturbés. Le coût humain d'une cybersécurité insuffisante est un enjeu d'impact social qui doit figurer dans l'évaluation des risques ESG d'une organisation, au même titre que les pratiques de travail, la santé et la sécurité, ainsi que les répercussions sur la communauté.
Sur le plan environnemental, le rôle croissant de la technologie dans la surveillance, la communication et la gestion de l'environnement fait que l'intégrité des données environnementales constitue désormais un enjeu de cybersécurité. Une organisation qui s'appuie sur des réseaux de capteurs pour surveiller ses émissions, sur des systèmes numériques pour rendre compte de sa conformité environnementale ou sur des infrastructures connectées pour gérer ses ressources est exposée à des risques de cybersécurité susceptibles d'affecter directement l'exactitude et la fiabilité de ses déclarations environnementales.
CSF 2.0 comme langage commun
L'un des défis concrets auxquels sont confrontés les professionnels de l'ESG qui s'intéressent aux risques liés à la cybersécurité est la barrière linguistique. Les experts en cybersécurité utilisent une terminologie technique qui peut rendre le sujet inaccessible aux non-spécialistes. Le NIST CSF a été délibérément conçu pour combler ce fossé. Il décrit la gestion des risques liés à la cybersécurité en termes de résultats et d'activités plutôt que de contrôles techniques, ce qui le rend accessible aux gestionnaires de risques, aux professionnels de la gouvernance, aux auditeurs et aux cadres supérieurs qui ne sont pas des spécialistes de la cybersécurité.
Cela en fait un langage commun utile pour les professionnels de l'ESG travaillant au sein de différentes équipes. Lorsque vous devez évaluer la posture de votre organisation en matière de risques de cybersécurité dans le cadre d'une analyse de matérialité, les six fonctions du CSF 2.0 vous offrent une méthode structurée pour poser les bonnes questions sans avoir besoin de connaissances techniques. Lorsque vous devez rendre compte de la gouvernance en matière de cybersécurité dans le cadre d'une publication ESG, la fonction « Govern » du cadre fournit la structure nécessaire pour organiser vos propos.
Par où commencer
Si vous découvrez le NIST CSF, le meilleur point de départ est le document « CSF 2.0 Core », disponible gratuitement sur le site web du NIST. Ce document est structuré, facile à lire et axé sur des résultats concrets plutôt que sur des spécifications techniques. Parallèlement, les guides de démarrage rapide du CSF 2.0 offrent des points d'entrée accessibles à différents publics, notamment aux petites organisations et à ceux qui découvrent le cadre.
Mais le point de départ le plus important réside dans un changement de mentalité : la cybersécurité fait partie intégrante de votre champ d'action ESG, elle n'en est pas exclue. Le NIST CSF 2.0 est l'un des outils les plus utiles pour apporter structure et rigueur à cet aspect de votre travail. Les articles suivants de cette série explorent plus en détail certains aspects spécifiques du CSF 2.0 ; chacun d'entre eux est conçu pour aider les professionnels de l'ESG à acquérir une maîtrise pratique d'un cadre qui revêt chaque année une importance croissante pour leur travail.
Point clé : le NIST CSF 2.0 est un cadre de gestion des risques, et non un manuel technique. Ses six fonctions – Gouverner, Identifier, Protéger, Détecter, Réagir, Restaurer – décrivent un cycle de vie des risques auquel les professionnels de l'ESG peuvent et doivent s'impliquer directement.