RSE : qu’en disent les candidats à la présidentielle de 2022 ?
17 janvier 2022
L’hyper-développement de la digitalisation au sein des entreprises : opportunité ou désavantage ?
20 janvier 2022
Quelles convergences entre Cybersécurité et RSE ?
Le lien entre RSE et cybersécurité n’est pas évident. Aucun rapport apparent entre les questions éthiques, environnementales et de bien-être des salariés au sein d’une entreprise, et la lutte contre les cyberattaques, les hackers, etc. Pourtant, l’une et l’autre ont un rôle-clé dans la confiance qu’une entreprise inspire, et sont fondamentales pour s’inscrire dans notre monde contemporain et ses défis.
Certes, RSE et cybersécurité impliquent des équipes et des expertises très différentes, et semblent relativement déconnectées, tant au niveau opérationnel qu’en terme de communication. Elles ont pourtant en commun de dépendre de grandes mutations de notre monde contemporain : changement climatique, prise en compte accru de l’impact social, numérisation du travail et de l’économie.
Leur principale convergence est leur rôle central dans la confiance qu’une entreprise inspire, et donc dans sa réputation. Elles visent l’une et l’autre à protéger – les salariés, les sociétés humaines, l’environnement (RSE), l’intégrité des systèmes informatiques, des données et, au final, des capacités de production de l’entreprise (cybersécurité). Elles exposent aussi, en cas de manquement, l’entreprise à de sérieux coups de canif dans sa réputation.
La convergence est encore plus nette sur la question du bien-être humain. Une démarche RSE optimale garantit le respect des droits humains tout au long de la chaîne d’approvisionnement, tant dans l’entreprise que chez ses fournisseurs ; une cybersécurité optimale garantit le respect de la vie privée des utilisateurs, via une protection optimale de leurs données contre les fuites, et une utilisation responsable de ces données, conformes aux normes comme celle du RGPD.
Une question de réputation
Ainsi, RSE et cybersécurité tendent à créer de la confiance et à défendre la réputation de l’entreprise. La gestion de crise est d’ailleurs centrale dans cette réputation, en particulier face à une cyberattaque.
D’après une étude menée avec Philippe Trouchaud, du Partner cyberintelligence du cabinet d’audit Pwc, « pour 63 % des entreprises cotées ayant subi une attaque, on constatait une baisse significative de la valeur au bout d’un mois, mais par la suite les destins divergeaient. » C’est ainsi que « les entreprises qui avaient su rebondir finissaient avec une hausse de 6 % de leurs cours de Bourse au bout de douze mois, tandis que celles qui n’avaient pas bien réagi enregistraient une baisse moyenne très significative de presque 20 % ».
Une autre étude montre, que, de façon plus générale, face à un évènement de crise étalé au grand public, une entreprise qui savait prendre les bonnes décisions finissait au bout d’un an à +7 %, tandis qu’une autre qui ne réagissait pas correctement, finissait en moyenne à -15 %.
99 % des salariés mettent en danger leur entreprise
Une cybersécurité défaillante peut ainsi nuire considérablement à une entreprise, tant par ses impacts directs que par les accrocs à sa réputation. La cybersécurité est une partie intégrante de la responsabilité de l’entreprise vis-à-vis de la société – et ce, d’autant plus que la plupart des cyberattaques ou crises cyber majeures proviennent d’une défaillance humaine.
En 2017, Sopra Steria, leader européen de la transformation numérique, révélait ainsi que 99 % des employés avaient agi dangereusement pour leur entreprise, mettant en danger les systèmes informatiques et les données de l’entreprise par une protection imparfaite de leurs identifiants. Ainsi, 24 % des collaborateurs réutilisent les mêmes identifiants de connexion au travail et pour leurs comptes personnels, 96 % enregistrent automatiquement leurs mots de passe sur leur ordinateur de travail et 42 % affirment utiliser leur mot de passe personnel pour les applications professionnelles.
Pour ne rien arranger, le développement du télétravail permet à 34 % des salariés d’accéder aux données de leur entreprise après avoir quitté leur lieu de travail (dans des environnement souvent moins sûr). Dans le secteur de l’informatique, c’est 49 % des employés qui se connectent aux données de leur entreprise en dehors des bureaux.
Comme l’explique le site Zdnet : « Les stratégies de sécurité doivent être tenues à jour par rapport aux derniers vecteurs de menaces, les derniers risques et les dernières exigences en matière de conformité. Une telle stratégie, pour être efficace, doit couvrir trois piliers fondamentaux : les technologies, les personnes et les processus. Elle doit traiter aussi bien la question de l’antimalware que celle de l’application des correctifs et fournir des informations sur la manière dont les employés peuvent utiliser l’infrastructure de l’entreprise ».
Une convergence prise en compte par un nombre croissant d’analystes et de décideurs
Au cœur de ces transformations pragmatiques, les deux thèmes occupent une place similaire dans les préoccupations des entreprises (48,2 % pour la RSE et 51,8 % pour la cybersécurité), elles font toutes deux réagir fortement les publics, notamment en cas de crise, et sont débattues comme sujet sensible et très largement abordées par les gouvernements.
La convergence RSE/cybersécurité est partout et englobe des enjeux majeurs pour les entreprises dans les années à venir. Déjà présente aux sein d’évènements organisés les dernières années, la demande d’interventions sur cette convergence continue d’augmenter (conférences, formations, workshops, etc.).
Éthique
Si les expertises techniques sont différentes entre la RSE et la cybersécurité, certaines approches sont néanmoins communes, notamment l’intérêt à agir et à communiquer de manière transparente, à modifier la gouvernance et la topologie d’une organisation afin que l’information concernant une crise circule mieux, et à changer le système d’une entreprise afin qu’elle apprenne à mieux se défendre face aux cyberattaques toujours plus nombreuses et aux impacts environnementaux et sociétaux.
Interne et externe, l’éthique qui compose le bon déroulement d’une production entrepreneuriale, est partout. Le plan d’action d’une entreprise, de la start-up au grand groupe, devra donc automatiquement inclure ce duo RSE/cybersécurité pour sa propre valorisation, dans une démarche de « responsabilité sociétale, environnementale et numérique ». C’est un fait et une avancée majeure : pas de bonne entreprise sans RSE et pas de RSE possible sans cybersécurité.
