Par Cecil Su | BDO Singapour
Dans le monde interconnecté d'aujourd'hui, les organisations sont confrontées à de nombreux défis pour atteindre leurs objectifs environnementaux, sociaux et de gouvernance (ESG) tout en garantissant des mesures de cybersécurité robustes. La fréquence croissante des cybermenaces présente un risque important pour les opérations commerciales, leur continuité et leur réputation. Alors que les entreprises adoptent des initiatives ESG, elles doivent également reconnaître le rôle essentiel de la cybersécurité dans la protection des données sensibles, le maintien de la confiance et de la crédibilité, l'atténuation des risques environnementaux et sociaux et l'amélioration de la gouvernance d'entreprise.
Dans le contexte du cyber paysage actuel, l’importance de la cybersécurité ne peut être surestimée. Les organisations sont confrontées à des menaces persistantes et évolutives qui peuvent avoir des conséquences financières, opérationnelles et de réputation importante. Dans le même temps, le concept ESG a gagné du terrain en tant que cadre d'évaluation du comportement d'une entreprise et de son impact sur les différentes parties prenantes. Alors que l’accent est mis sur la durabilité environnementale et la responsabilité sociale, l’intégration de la cybersécurité dans l’agenda ESG devient de plus en plus essentielle. Cet article explore le lien entre la cybersécurité et l'ESG, en soulignant les avantages de gérer ces questions à l'unisson pour préserver le bien-être des organisations, assurer leur avenir et protéger les intérêts des clients et des partenaires commerciaux.
Protection des données sensibles
L’un des principaux avantages de l’intégration de mesures de cybersécurité dans les cadres ESG est la protection des données sensibles. Les cadres ESG exigent généralement que les entreprises collectent et déclarent divers points de données, notamment la consommation d'énergie, les émissions de gaz à effet de serre, les pratiques de travail et la gestion de la chaîne d'approvisionnement. De plus, les entreprises doivent stocker des informations personnelles sur leurs employés, telles que les noms, adresses, numéros de sécurité sociale et antécédents professionnels. Ces données sur les employés sont très précieuses pour les cybercriminels qui peuvent les exploiter à des fins d'usurpation d'identité et d'autres activités malveillantes.
Les mesures de cybersécurité jouent un rôle crucial dans la protection de ces données sensibles contre les cybermenaces telles que les violations de données, les attaques de ransomwares et les escroqueries par phishing. En mettant en œuvre des protocoles de cybersécurité robustes, les entreprises peuvent garantir l'intégrité des données ESG, protéger la réputation de leur marque et maintenir leur stabilité financière.
Un autre avantage important de la cybersécurité dans les cadres ESG est la préservation de la confiance et de la crédibilité. Les entreprises qui accordent la priorité à la cybersécurité sont considérées comme dignes de confiance et crédibles par les investisseurs, les clients et les autres parties prenantes. Selon une enquête menée par BDO LLP (États-Unis) en 2023, les cybermenaces continuent de croître en nombre et en sophistication – une tendance qui s'est accélérée pendant la pandémie – il n'est donc pas surprenant que 79 % des administrateurs déclarent qu'une violation de données pose au moins quelques problèmes. Ou un risque important pour leur entreprise. Environ les deux tiers des directeurs financiers interrogés estiment que les critères ESG, les catastrophes naturelles, les violations de la confidentialité des données et les menaces pour la santé publique représentent un risque certain ou important pour l'entreprise en 2023.
D’un autre côté, les entreprises qui négligent les mesures de cybersécurité sont plus exposées aux violations de données et autres cyberincidents, qui peuvent nuire à leur réputation et éroder la confiance de leurs parties prenantes. Ces incidents peuvent entraîner des pertes financières substantielles, des responsabilités juridiques et nuire à la crédibilité et à la pérennité d'une entreprise.
L’urgence de la cybersécurité et des risques ESG
La cybersécurité et les risques ESG sont des préoccupations urgentes et financièrement importantes auxquelles les organisations doivent répondre. De nombreuses études et rapports classent systématiquement la cybersécurité et le changement climatique parmi les principaux risques auxquels les entreprises sont aujourd’hui confrontées. Les éditions actuelles du « Future Risks Report » d'AXA et du « Global Risks Report » du Forum économique mondial soulignent le caractère critique de ces risques pour façonner la prochaine décennie.
L’impact financier immédiat des incidents de cybersécurité et des menaces liées au changement climatique sur les actifs des entreprises, tant corporels qu’immatériels, ne peut être ignoré. Les entreprises investissent des ressources considérables dans la construction d’infrastructures physiques, et la valeur des données stockées sur ces systèmes, notamment les informations financières, la propriété intellectuelle et les données personnelles sensibles, est encore plus importante. En outre, les cyberincidents et le changement climatique sont de plus en plus reconnus comme des risques critiques pour les entreprises, dont les conséquences potentielles vont au-delà des impacts financiers.
La dynamique interconnectée de la cybersécurité et du changement climatique
Les dynamiques des cyber-risques et du changement climatique sont étroitement liées et continuent d’évoluer en complexité. Les cyber-risques peuvent avoir un impact direct sur les efforts de développement durable, posant des menaces aux infrastructures critiques et aux systèmes en réseau impliqués dans la transition vers les énergies renouvelables. À l’inverse, les risques liés au climat, tels que les inondations, les incendies et les vagues de chaleur, peuvent créer des vulnérabilités en termes de fiabilité des systèmes, de défense des réseaux et d’erreurs humaines. La nature interconnectée des domaines sociaux, physiques et cybernétiques signifie que les facteurs affectant un système peuvent, par inadvertance, en affecter d’autres. À mesure que les acteurs malveillants adoptent de nouvelles technologies et tactiques et que les événements liés au climat deviennent plus intenses et plus fréquents, il devient de plus en plus difficile de prévoir et d’atténuer les risques futurs.
Étendre les impacts sociaux de l’ESG à la cybersécurité
Si la cybersécurité est traditionnellement considérée comme un problème informatique, ses effets dépassent largement le cadre de la technologie. Les violations, les activités néfastes et l’ingénierie sociale peuvent avoir de vastes répercussions sociétales, notamment le vol d’identité, les risques pour les groupes démographiques vulnérables et l’exploitation des groupes marginalisés. Cibler les établissements de santé, les écoles, les petites entreprises ou les gouvernements locaux, par exemple, peut perturber les communautés et compromettre le bien-être des individus. Le passage au travail à distance, accéléré par la pandémie de COVID-19, a encore mis en évidence la nécessité de renforcer les mesures de cybersécurité pour protéger les réseaux et les données sensibles. En outre, le potentiel d’effondrement de la société alimenté par des événements climatiques extrêmes et l’instabilité énergétique présente des risques importants pour les entreprises.
Conformité réglementaire et gouvernance en ESG et cybersécurité
L’ESG et la cybersécurité sont toutes deux soumises à des cadres de conformité réglementaire croissants. Même si les régimes de conformité peuvent varier, les organisations doivent donner la priorité à une bonne gouvernance des données, de la technologie et des processus décisionnels pour garantir la résilience de leur entreprise. Une base de conformité solide aide les entreprises à éviter de trop dépendre de la couverture d’assurance pour atténuer les coûts des violations ou des événements perturbateurs.
En outre, la cybersécurité joue un rôle essentiel dans l’amélioration de la gouvernance d’entreprise, un élément fondamental des cadres ESG. Les activités de cybersécurité telles que les évaluations des risques, les plans de réponse aux incidents et les audits de sécurité aident les entreprises à identifier et à combler les lacunes en matière de gouvernance liées à la protection des données, à la gestion des risques et à la conformité.
En comblant ces lacunes, les entreprises peuvent améliorer leurs pratiques globales de gouvernance, conduisant à des rapports ESG plus efficaces, à une meilleure prise de décision et à un engagement accru des parties prenantes. De plus, les entreprises qui démontrent leur engagement en faveur d’une gouvernance de la cybersécurité sont mieux placées pour attirer et retenir les meilleurs talents et le soutien d’investisseurs axés sur l’ESG.
Alors que les compagnies d’assurance réduisent leur champ d’application en raison de la fréquence et du coût des cyberattaques, les organisations doivent faire preuve de pratiques de gouvernance solides pour protéger leurs actifs et leurs parties prenantes. Les cadres standardisés peuvent créer un précédent, aligner les parties prenantes et faciliter la mesure, l’évaluation des risques, la responsabilité et la gouvernance.
L’impératif commercial de donner la priorité à l’ESG et à la cybersécurité
Le rôle des entreprises dans la société est de plus en plus scruté, avec une plus grande attention accordée aux activités qui ont un impact sur l'environnement et la société. La survie et le succès à long terme exigent que les organisations prennent en compte les impacts plus larges entre les parties prenantes. La pression exercée par les investisseurs, les conseils d’administration, les employés, les clients, les chaînes d’approvisionnement et les accélérateurs ciblés a renforcé la nécessité de meilleures pratiques ESG. Intégrer la cybersécurité dans l’agenda ESG est non seulement une approche responsable, mais aussi une bonne affaire. En donnant la priorité à l'ESG et à la cybersécurité, les entreprises peuvent améliorer leur réputation, attirer et retenir les meilleurs talents, répondre aux attentes des clients, gérer les implications de la chaîne d'approvisionnement et s'aligner sur l'évolution des demandes sociétales.
Repenser le risque : de la cybersécurité à la résilience
Le concept ESG englobe l’évaluation des impacts environnementaux, sociaux et éthiques des investissements et des activités. Cependant, une véritable résilience commerciale à long terme exige que les organisations considèrent une vitalité commerciale rentable en conjonction avec une société et un environnement sain. L’innovation technologique est passée de la simple numérisation à des objectifs plus larges, notamment la démocratisation, la décentralisation et la décarbonation. Les entreprises qui ne reconnaissent pas l’interdépendance de la cybersécurité et de l’ESG et négligent d’intégrer leurs stratégies risquent bien plus que de simples violations ou des réclamations d’assurance coûteuses. Elles risquent de compromettre leur pérennité, leur réputation et leur capacité à prospérer dans un monde de plus en plus interconnecté et soucieux de la cybersécurité.
Conclusion
L’intégration de la cybersécurité dans l’agenda ESG est cruciale pour les organisations qui cherchent à faire face aux risques et défis complexes de l’ère numérique. En reconnaissant les dynamiques interconnectées de la cybersécurité et du changement climatique, en étendant les impacts sociaux de l’ESG à la cybersécurité et en donnant la priorité à la bonne gouvernance et à la conformité, les entreprises peuvent protéger leurs opérations, leurs clients et leur réputation tout en remplissant leurs obligations sociales et environnementales plus larges. La cybersécurité est un élément essentiel pour protéger les données sensibles et maintenir la confiance des parties prenantes. En fin de compte, la gestion efficace des risques de cybersécurité dans le cadre de l’ESG constitue non seulement une approche responsable mais aussi un impératif stratégique pour le succès et la résilience à long terme.
Les références
Pourquoi la cybersécurité est le plus grand risque ESG caché :
Cyber-résilience - Tout est question d'ESG :
Les priorités et les plans d’investissement des conseils d’administration pour les risques ESG évoluent avec le marché :
Enquête BDO ESG sur les risques et le retour sur investissement 2023 :
Rapport AXA sur les risques futurs 2022 :
Le Rapport sur les risques mondiaux 2023, 18e édition :
Quel est l’impact du changement climatique sur la cybersécurité :
www.renewableenergyhub.co.uk/blog/how-climate-change-is-impacting-cybersecurity