La CSRD, dont l’application progressive débutera en 2026 pour de nombreuses ETI et PME, introduit des changements significatifs dans les pratiques de cybersécurité des entreprises. Couplée à la directive NIS2, qui entrera en vigueur dans quelques jours, la CSRD intègre les normes ESRS, obligeant les dirigeants à rendre compte de leurs pratiques de gestion des données et des activités de cybersécurité dans les rapports de durabilité désormais rendus obligatoires.
L’ESRS S4 exige la divulgation des mesures adoptées pour gérer l’impact de la collecte et de l’utilisation des données sur les utilisateurs finaux. Qu’est-ce que cela signifie ? Cela implique que les entreprises doivent informer et expliquer aux parties prenantes les mesures de protection des données qu’elles ont mises en place et démontrer comment leurs politiques de cybersécurité assurent la résilience de leurs activités, tout en évaluant les impacts négatifs potentiels de ces activités.
L’impact de la cybersécurité sur la durabilité de l’entreprise
Par exemple, les dirigeants et DSI doivent désormais garantir que leurs infrastructures numériques et pratiques minimisent les impacts environnementaux, notamment en réduisant la surconsommation énergétique des systèmes informatiques et en utilisant les données de manière proportionnée, ou en éliminant celles qui sont inutiles. Ils doivent également veiller aux risques sur l’emploi, les clients et les partenaires, ou encore mesurer les performances économiques en vue d’une durabilité accrue.
La directive NIS2 qui entrera en vigueur le mois prochain, est ainsi renforcée par la CSRD. En effet, NIS 2 dans son article 21, indique que les mesures à adopter “comprennent au moins :
a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;
b) la gestion des incidents ;
c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;
g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.”
L’intégration de ces exigences dans les rapports de durabilité oblige les entreprises à informer amplement et à révéler comment elles gèrent les risques cyber. Elles doivent prouver que leurs pratiques respectent les règles de protection des données notamment le RGPD et la sécurité des systèmes et actifs numériques.
Le RGPD et la CSRD se complètent
Avec la CSRD, les exigences du RGPD sont renforcées. L’article 32 du RGPD impose aux entreprises de mettre en place des mesures de sécurité pour garantir la confidentialité, l’intégrité et la disponibilité des données personnelles. La CSRD renforce ainsi ces obligations en intégrant ces pratiques dans le cadre plus large de la responsabilité sociétale de l’entreprise. Le sujet cyber devient global.
Une transformation stratégique de la cybersécurité
L’intégration des exigences de NIS2, du RGPD et l’application de la CSRD avec les rapports de durabilité marquent une rupture avec les pratiques antérieures. La cybersécurité est un élément stratégique essentiel de la responsabilité sociétale de l’entreprise, devenant un facteur clé dans l’évaluation des performances environnementales, sociales et de gouvernance (ESG).
Cette nouvelle approche transforme le rôle des DSI et des RSSI. Ils ne sont plus seulement des gestionnaires techniques mais deviennent responsables de l’ impact du numérique sur la durabilité de l’entreprise. Ils doivent s’assurer que les mesures de cybersécurité soutiennent les engagements de l’entreprise en matière de développement durable. Le respect des exigences de la CSRD et des normes ESRS nécessite une gouvernance intégrée qui imposent de travailler dès à présent avec l’ensemble des parties prenantes de l’entreprise.
Patrice Remeur