D’un côté, la cybersécurité avec ses attaques, ses hackers, voire ses militaires. De l’autre, la RSE et ses questions éthiques. A priori, rien à voir… Et pourtant ! Entre ces deux univers existent de fortes convergences qui pointent vers une redéfinition très profonde de la gestion de l’entreprise du XXIe siècle.
De la transversalité avant tout
La cybersécurité est-elle une affaire strictement technique ? Non. Et dès 2014, la NACD, l’association nationale des directeurs de conseil d’administration aux États-Unis, l’affirmait : la cybersécurité est et doit être approchée comme un problème qui concerne toute l’entreprise. La production (si les machines s’arrêtent), le marketing (si les bases de données clients disparaissent), les ressources humaines (si les employés sont démoralisés par une cyberattaque dure) ou la finance (si ce sont les clients qui sont démoralisés et deviennent méfiants) sont concernés, mais aussi l’écosystème dans lequel se déploie l’entreprise. La cybersécurité est une question transverse à toute l’activité de l’entreprise, au même titre que la responsabilité sociétale des entreprises.
Car, oui, la RSE aussi est transverse – qu’il s’agisse de la production (en exigeant par exemple qu’elle n’endommage pas l’environnement), des ressources humaines (en vérifiant les conditions de travail à l’usine ou de bien-être au bureau), en passant par le marketing (notamment en gérant correctement les données et informations sur le client)… Et là encore, l’entreprise doit étendre son regard à son écosystème de sous-traitants.
Réputation et confiance
Un problème lié à la RSE ou à la cybersécurité impacte brutalement la même zone, celle de la réputation et de la confiance dans l’entreprise. L’objectif essentiel de la RSE est de créer de la confiance, et la cybersécurité doit pour sa part défendre la réputation de l’entreprise, qui, exposée, peut dégrader sa valorisation. Une étude menée avec Philippe Trouchaud, Partner cyberintelligence du cabinet d’audit PwC, montre que pour 63 % des entreprises cotées ayant subi une attaque, on constatait une baisse significative de la valeur au bout d’un mois, mais que, par la suite, les destins divergeaient. Les entreprises qui avaient su rebondir finissaient avec une hausse de 6 % de leurs cours de Bourse au bout de douze mois, tandis que celles qui n’avaient pas bien réagi enregistraient une baisse moyenne très significative de presque 20 %. Des résultats à rapprocher de ceux d’une étude plus ancienne menée par des chercheurs d’Oxford, en 2000. Elle montrait que, face à un scandale, les entreprises qui prennent les bonnes décisions finissent au bout d’un an à + 7 % – et celles qui réagissent mal finissent en moyenne à - 15 %. Clairement, les résultats sont comparables à ceux obtenus sur les questions de cybersécurité. C’est donc bien la question de la réputation qui est en jeu, tant avec la cybersécurité qu’avec la RSE.
Les nouveaux indicateurs de la performance
Et ces impacts sont désormais scrutés par les vrais « patrons » des entreprises : les fonds d’investissement. Ils affichent des demandes convergentes en matière de cybersécurité et de RSE. C’est ce qu’observe Emilie Bobin, Partner de la Sustainability team de PwC France. Dans le cadre de projets d’investissements qu’elle effectue pour des fonds de Private Equity, les trois grands sujets hors « business profile » étudiés par les fonds sont l’impact environnemental, l’absence d’abus en termes humains ou sociétaux et la qualité de la cybersécurité des entreprises. C’est aussi le type d’exigence que réclame Larry Fink, le PDG de BlackRock, le plus grand investisseur au monde avec plus de 6 000 milliards de dollars sous actifs, et qui a demandé par courrier en 2018, puis à nouveau en 2019 à ce que les entreprises embrassent des objectifs dépassant la seule maximisation des profits et s’alignent sur les principes de responsabilité sociétale des entreprises. Ces objectifs ont été repris à l’été 2019 par le Business Roundtable, le lobby des 181 principaux chefs d’entreprise des États-Unis, de JP Morgan à Apple ou General Motors.
L'éthique au coeur
Certes, les expertises techniques sont différentes entre la RSE et la cybersécurité. En revanche, certaines approches sont communes – entre autres la capacité à agir et à communiquer de manière transparente en ayant à l’esprit l’intérêt de toutes les parties prenantes ; à modifier la gouvernance mais aussi la topologie des organisations afin de mieux faire circuler l’information en cas de crise ; à changer la culture et les procédures pour transformer l’entreprise en système apprenant face à des chocs toujours plus nombreux, qu’ils viennent de l’univers de la cybersécurité ou bien des impacts environnementaux ou sociétaux. Il s’agit bien des deux facettes d’un même objectif : celui d’une entreprise éthique. Éthique dans ses murs, dans son code logiciel, et face à son environnement externe. Une entreprise capable de reprendre à son compte l’objectif de ses investisseurs, en regardant les effets universels sur la durée, c’est-à-dire en détournant l’injonction de Spinoza de regarder le monde sub specie æternitatis, en observant les effets de ce que l’on fait sur la durée la plus éternelle – et, pourrait-on ajouter, de la manière la plus universelle. C’est le cœur de l’éthique. C’est la nouvelle dimension de l’action de l’entreprise, que porte tant la cybersécurité, sa « responsabilité numérique », que sa responsabilité sociétale et environnementale.
Cet article est paru dans la revue 20 de L'ADN consacrée au temps des mutants. Pour vous procurer ce numéro, il suffit de cliquer ici.
Participer à la conversation