Pourquoi la cybersécurité est-elle un enjeu RSE pour les PME ?
20 oct. 2022
Pourquoi la cybersécurité est-elle un enjeu RSE pour les PME ?
Pourquoi la cybersécurité est-elle un enjeu RSE pour les PME ?
La cybersécurité est perçue comme un sujet technique. A tort. Les cyberattaques peuvent anéantir une entreprise et ses salariés, à l'image de la société alsacienne Clestra. Dès lors, chacun est concerné, décideurs comme employés. Développer une stratégie de cybersécurité avec un cyber score constitue l’opportunité de poser une première brique pour passer à la Responsabilité Numérique d’Entreprise (RNE).
Savez-vous, qu’aujourd’hui, la valeur des actifs immatériels des grandes entreprises représente 90% de la valeur des entreprises selon Standard and Poor’s ? Les PME basculent rapidement également. La mutation est accélérée par les différentes crises que sont le Covid, la guerre d’Ukraine, la crise énergétique … Qui augmentent de manière continue la numérisation, la surface d’attaque et la quantité de données.
Plus la valeur des actifs immatériels des entreprises augmente, plus le coût économique, social et environnemental d’une violation ou d’une défaillance est élevé.
La mise en place du cyber score, le 1er octobre 2023 en France pour les grands acteurs du numérique (moteurs de recherches, réseaux sociaux, médias, ...) va doper la nécessité de mettre en place une cybersécurité élevée. Elle va insuffler une responsabilité numérique des entreprises (RNE), y compris pour les plus petites entreprises, bien que pour l’instant non concernées.
Que va changer le cyber score ?
Toutes les entreprises (y compris celles exclues de la loi du 3 mars 2022) ont intérêt à adopter un cyber score.
Il permet de poser un premier élément de leur RNE, d’illustrer à la fois leur résilience et d’afficher leurs engagements responsables.
L’étiquette cyber score va aider les entreprises, les clients, les fournisseurs, les collectivités, les investisseurs et le régulateur dans leur gestion.
En effet, les partenaires commerciaux disposeront d’un indicateur pour estimer la solidité de l’entreprise et la qualité dans les échanges de données ou de la relation.
Les banques, les assurances ou les repreneurs d’entreprises pourront ainsi obtenir une meilleure appréciation de la durabilité de l’entreprise et du risque de défaillance. Par exemple, une entreprise disposant d’un « A » pourrait bénéficier d’un prêt avec un taux bonifié, ou souscrire une assurance cyber sans malus en raison de leur risque plus faible et de la plus probable pérennité de leurs activités.
Au sein de l’entreprise, la mise en place d’une démarche pour atteindre un cyber score élevé permettra de montrer la maîtrise et la performance dans la gestion des actifs immatériels, mais aussi sa capacité de mobilisation et d’innovation.
Le cyber score, outil de mesure commun à tous, va faciliter le pilotage de la cyber sécurité et la diffusion d’une culture de cyber sécurité.
Le cyber score, au même titre que la performance économique, sociale ou environnementale de l’entreprise, va progressivement devenir un critère de sélection pour les acheteurs privés ou publics.
Les entreprises disposant d’un faible score seront les premières victimes des attaques. Leur manque de résilience va accélérer leur destin.
Comment sera établi le cyber score ?
Plusieurs facteurs vont permettre d’établir un cyber score :
-
La nature juridique, l’organisation pour la sécurité des données et la localisation de celles-ci.
-
La nature technique pourrait être retenue sur des critères tels que la mise en place de chiffrement, la sécurité des dispositifs de bout en bout.
-
La nature comportementale de l’acteur et sa réputation. “Le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel ou le nombre de failles logicielles mises à jour”, figurent dans les éléments précisés par le législateur.
Des prestataires agréés par l’ANSSI réaliseront les audits de cyber sécurité.
D’autres éléments pourraient être ajoutés dans le cyber score. Par exemple, la composante humaine, la fréquence et le niveau de formation ou la vitesse de réaction à une crise ou encore la qualité organisationnelle…. permettraient d’appréhender la cyber sécurité dans sa globalité.
En complément du cyber score, d’autres facteurs pourraient contribuer à impulser une l’évaluation globale de la responsabilité numérique des entreprises. L’accessibilité numérique, l’inclusion, l’empreinte carbone et la démarche environnementale, le volume de données, le numérique et l’automatisation responsable, les compétences numériques et l’emploi, l’éthique, la conception circulaire des écosystèmes, la transparence des algorithmes et IA, la surveillance, le bien être numérique… sont autant de conditions nécessaires à une cyber sécurité efficace et pérenne.
Pourquoi le cyber score est-il une opportunité de s’engager ?
Le dispositif cyber score permettra à l’entreprise d’afficher son impact et la mise en place de sa démarche de conformité, voire d’anticipation des réglementations La société pourra montrer que ses produits et services sont réalisés de manière responsable avec une responsabilité dans leurs usages. Elle améliorera sa communication et sa réputation.
L’étiquette sera aussi un indicateur de l’engagement de l’entreprise dans la lutte contre les conséquences négatives liées au développement numérique et défenseuse de la préservation des actifs et des emplois. Elle donnera du sens à ses activités et pourra attirer de meilleurs talents en instaurant de nouveaux comportements et valeurs.
Le dispositif permettra de montrer ainsi l'impact économique et sociétal de l'organisation et favorisera le bien être des utilisateurs ou partenaires par la garantie d’un environnement sûr. L’entreprise illustrera ainsi sa contribution au développement humain et sociétal.
Ce dispositif devrait répondre aux attentes des dirigeants. 86 % considèrent que la stratégie ESG et la transformation numérique sont intimement liées, selon l’étude KPMG du 7 octobre 2022.
Enfin, il est à noter que plusieurs évolutions réglementaires sont en cours, telles que la directives NIS, SRI, CER ou Digital operational résilience. Elles pourraient être effectives sous peu de temps. Elles concernent les banques et les grands opérateurs d'importance vitale.
Par viralisation du renforcement de la cybersécurité et de la RNE, les grands opérateurs vont contractualiser avec les entreprises les plus résilientes et répondant à la durabilité dans leurs activités. Il est donc nécessaire d'anticiper ces évolutions dès à présent.
Nous sommes à votre disposition pour vous accompagner.
Patrice Remeur pour Prorisk Cyber