ESG et cybersécurité : la protection des données et de l'environnement

Découvrez le rôle stratégique de la cybersécurité dans le traitement des sujets ESG. Renforcez la confiance grâce à notre approche par les risques.

Publié le 20 avril 2023

Les critères ESG (Environnement, Social et Gouvernance) sont devenus en quelques années un enjeu majeur pour les entreprises, répondant aux attentes des consommateurs, des collaborateurs, des investisseurs et des régulateurs tant en termes de durabilité que d’impact social et environnemental. Ainsi, les performances d’une organisation ne peuvent plus être évaluées qu’à l’aune de ses résultats financiers mais doivent également tenir compte des effets de son activité sur les personnes, l’environnement et la société dans son ensemble. Parallèlement, 7 dirigeants sur 10 affirment que l’incertitude géopolitique suscite des inquiétudes quant au risque de cyberattaques pour les entreprises1. Les entreprises ont ainsi considérablement renforcé leur dispositif de cybersécurité face aux cyberattaques dans un contexte sensible.

La cybersécurité au service de la protection de l’environnement

Le critère environnemental est celui qui suscite des attentes les plus importantes des parties prenantes. Les entreprises vont devoir rendre compte de l’impact environnemental de leurs activités, via des rapports de durabilité annuels incluant des informations qui portent notamment sur les émissions de gaz à effet de serre et la consommation d’eau et d’énergie, les déchets produits, les impacts sur la biodiversité. Ces rapports sont construits à partir de données, collectées, consolidées, fiabilisées et traitées dans des systèmes d’information spécialisés. Etant donné la sensibilité du sujet environnemental, il faut s’attendre à ce que les chiffres publiés soient scrutés, voire parfois remis en cause. Les infrastructures et les solutions de collecte et de traitement des données utilisées pour produire ces rapports devront donc être particulièrement sécurisées, afin notamment de garantir l’intégrité des données et des traitements associés. Outre le reporting, la cybersécurité permet de protéger ces systèmes d’information industriels. Cette protection est d’autant plus indispensable que des cyberattaques les ciblant pourraient entraîner de véritables « sinistres environnementaux ». Songeons aux secteurs de la chimie, du nucléaire, du pétrole, du traitement des eaux et des déchets, qui sont soumis à des obligations renforcées de cybersécurité depuis la loi de programmation militaire (LPM) de 2013. Un troisième domaine où cybersécurité et critères environnementaux se rejoignent est la sécurisation des infrastructures, solutions et usages permettant de réduire les impacts sur l’environnement. On peut évoquer notamment le télétravail, pour lequel des moyens additionnels sont mis en place pour assurer un niveau de cybersécurité similaire à celui garanti au sein des locaux de l’entreprise.

La cybersécurité pour protéger les personnes

La cybersécurité et l’ESG se rencontrent également sur la protection des personnes. De nombreuses données personnelles sont utilisées par les entreprises au quotidien, qu’il s’agisse de celles de collaborateurs ou des clients. La réglementation, en particulier le RGPD, oblige les entreprises à analyser les risques encourus par les personnes dont les données sont collectées et traitées. La cybersécurité réduit les risques d’un usage mal intentionné de ces données, en garantissant que seuls des acteurs légitimes peuvent y accéder et qu’elles ne peuvent pas être transférées à des tiers malveillants. Le rôle de la cybersécurité s’étend aux objets connectés vendus à des utilisateurs finaux, notamment pour les protéger contre l’espionnage ou la fraude. La cybersécurité protège également les entreprises contre les cyberattaques de type « ransomware » très dommageables pour les personnes impliquées (employés, clients) car susceptibles de les priver d’accés aux services.

La cybersécurité au cœur du modèle de gouvernance des entreprises

Enfin, la cybersécurité a sans doute quelque chose à apporter à l’ESG en matière de gouvernance. Dans les entreprises les plus matures, la fonction cybersécurité établit une cartographie des risques cyber, en lien avec les équipes technologiques et les métiers et avec l’aval du ComEx. Cette cartographie permet d’établir des plans de traitement des risques, des modes d’organisation et des programmes de cybersécurité, qui sont suivis via des indicateurs et des plans de contrôle. Des synthèses sont également partagées régulièrement au ComEx, au Comité d’Audit et au Conseil d’Administration, qui possèdent donc une bonne vision des cybermenaces et de la capacité de l’entreprise à y faire face. Avec l’accroissement des cyberattaques, les Directeurs Cybersécurité jouent un rôle clé dans la gouvernance des entreprises et ont accès plus facilement au ComEx en cas de nouvelles menaces ou de crise. Ces dispositifs sont mis à jour chaque année pour suivre le rythme des nouveautés technologiques et l’évolution des menaces. Des normes et référentiels internationalement reconnus comme l’ISO27001 et le NIST CSF permettent de partager au sein de l’entreprise et sur la place un langage commun. Les entreprises collaborent en outre de plus en plus entre elles via des associations de Directeurs Cybersécurité comme le CESIN en France, ou par le biais des organismes d’échange d’informations sur les cybermenaces comme les ISAC (Information Sharing and Analysis Center), organisés sur une base sectorielle.                

Les responsables ESG ont donc tout intérêt à se rapprocher des Directeurs Cybersécurité et des Délégués à la Protection des Données. Une coopération accrue entre les équipes chargées de ces deux sujets pourrait conduire rapidement à une meilleure cohérence dans la gouvernance de l’entreprise et à une efficacité accrue contre les cybermenaces.

La cybersécurité, un allié clé de l'ESG

18/04/2023 | La tribune de Vincent Maret est à lire sur le site du JDN.

Auteur :

Vincent Maret

Associé, Responsable du pôle Cybersécurité et Protection des données personnelles

KPMG en France

Aller plus loin

insights INSIGHTS

Cybersécurité et confiance numérique : comment renforcer la fiabilité

Découvrez comment renforcer la confiance au sein de votre entreprise grâce à la cybersécurité et la protection de la vie privée.

notes ARTICLE

Transformation digitale réussie : l'importance de l'approche par les risques

Optimisez votre programme de transformation digitale grâce à notre approche par les risques. Analyse approfondie, évaluation des risques

notes ARTICLE

La cybersécurité : un enjeu pour l'entreprise responsive de demain

Comment maintenir l'attention de la Direction Générale sur la cybersécurité en dehors des crises ? Découvrez les meilleures pratiques.


 

Restez informés des dernières actualités de KPMG en vous abonnant dès maintenant à nos communications personnalisées.