RSE et cybersécurité : un mariage de raison au service d'une entreprise plus sereine

Kamel Adrouche est Responsable juridique au sein de la RATP et René Picon-Dupré ancien DRH, Consultant RH et management.

---

Initialement, la RSE a été définie par la Commission Européenne comme "un concept qui désigne l’intégration volontaire par les entreprises de préoccupations sociales et environnementales dans leurs activités commerciales et leurs relations avec leurs parties prenantes ». Elle est, depuis 2011, entendue comme étant la « responsabilité des entreprises vis-à-vis des effets qu’elles exercent sur la société". Les organisations et les entreprises prennent ainsi de plus en plus conscience que les attentes et les préoccupations sociales et environnementales sont devenues essentielles pour l’ensemble des acteurs économiques, qu’il s’agisse des dirigeants d’entreprise, des organisations patronales, des syndicats de salariés, des salariés eux-mêmes ou même des pouvoirs publics. Elles tentent de (re)donner un cadre attractif à leur environnement et leur image afin de favoriser l’envie et l’intérêt de (re)venir travailler dans leur établissement.

Une notion éminemment sociale. A priori, la RSE est sans lien et valeur ajoutée avec la cybersécurité, notion technique liée aux nouvelles technologies de la communication, qui s’inscrit dans une transformation numérique croissante et dont les risques de déstabilisation, espionnage ou encore sabotage sont redoutés. En réalité, les deux sont porteurs d’enjeux colossaux pour les années à venir et doivent être appréhendés de manière simultanée et globale afin d’apporter une protection suffisante au niveau de la réputation et de la confiance, tout en assurant une performance optimale de la structure. 

Au départ, un monde cloisonné, replié sur lui-même et peu ouvert. L’entreprise était identifiée par son métier, souvent unique et implantée dans un village, une ville, une vallée, une région, au mieux dans un pays. Même lorsque leurs produits étaient suffisamment attractifs pour être vendus au-delà de leur région ou même de la France, elles restaient implantées dans leur lieu d’origine et peu d’entre elles étaient vraiment ouvertes sur le monde. C’était un monde fermé où l’on entrait pour y rester : un peu comme dans le théâtre classique, il y avait pour les salariés une unité de temps et de lieu : on y faisait carrière ; la vie privée et la vie au travail étaient deux mondes séparés. Les éventuelles ouvertures étaient essentiellement au profit de l’entreprise : campus où les salariés peuvent bénéficier de toutes facilités, pratiquement de la naissance à la mort (Michelin à Clermont-Ferrand, Godin à Guise, Peugeot à Sochaux). Pour autant, le but est avant tout de conserver ou de faire venir les salariés et on est toujours dans la vision de ce monde fermé, d’autant plus que l’on peut tout faire au sein des murs de l’entreprise. Même l’apprentissage qui est très développé est au service de l’entreprise formatrice : on forme pour garder celui qu’on a formé, non pour le laisser partir chez le voisin.

Mais l’entreprise a, peu à peu, pris conscience de son environnement et de son rôle social, voire sociétal. Le développement d’une économie mondiale a conduit les entreprises, et pas seulement les plus grandes, à se tourner vers des débouchés et des coopérations avec des pays et des entreprises étrangers. L’entreprise n’est plus seule au fond de sa vallée qui est devenue le monde et cela crée des obligations : ouverture vers d’autres cultures, d’autres pratiques, d’autres techniques et nouvelles responsabilités. Au sein même de l’entreprise, la place de l’humain est mieux prise en compte, d’abord sous la pression de la loi mais, peu à peu, en considérant que c’est un plus. Le marketing RH est là pour le prouver : c’est devenu un des critères de choix des salariés. Ce sont l’hygiène et la sécurité, les conditions de travail, la lutte contre les inégalités et discriminations de toutes sortes et contre les harcèlements qu’ils soient moraux ou sexuels. Quant à la version positive, il s’agit de la QVT et ces sujets sont devenus un thème de dialogue social. L’entreprise, parallèlement, est devenue plus altruiste : on ne forme plus les apprentis pour soi mais pour la collectivité et l’alternance, y compris pour des hauts niveaux d’études, est un mode normal de formation. Au-delà, apparaît un rôle environnemental de l’entreprise qui, ouverte sur le monde, devient un acteur positif ou négatif de l’environnement.[i]

Et cette entreprise d’un nouveau genre a dû se tourner vers de nouvelles technologies. Il s’agit là d’une réponse à la fois au souci de faciliter le travail des hommes et de mieux communiquer avec son environnement et ses homologues. En même temps, cela traduisait le passage de l’individuel au collectif, avec cependant une facilité inconnue jusqu’alors pour voir la vie professionnelle faire irruption dans la vie privée. La première manifestation a été interne et a simplifié la vie des collaborateurs : machines à commandes numériques dans l’industrie et traitement de texte dans le tertiaire, en attendant l’irruption des ordinateurs dans tous les secteurs. Puis, le développement d’internet a ouvert les entreprises en facilitant les communications et en offrant la possibilité de travailler quasiment où l’on veut si le métier s’y prête. Il y avait là les bases pour faciliter la RSE de nos entreprises : meilleure prise en compte de l’humain et de la vie des salariés et meilleure insertion des entreprises dans leur environnement grâce aux communications. Mais, face à l’émergence de nouveaux risques, il est apparu que prendre en compte la sécurité de l’information est devenu un élément de la RSE. Il est donc essentiel que les entreprises réussissent ce pari de prendre en compte au mieux ce risque dit "de cybersécurité". À ce prix, elles pourront se féliciter d’avoir inscrit cet élément de plus au titre de leur RSE.

La dimension cybersécurité de la RSE doit être renforcée. Rechercher les causes à l’origine d’une cyberattaque afin de proposer des mesures de prévention et de sécurisation (et éviter la reproduction d’évènements similaires ou plus graves) n’est plus suffisant. Les conséquences d’une cyberattaque peuvent être importantes et sont redoutées (atteinte à la confiance et/ou la réputation, dommages matériels, répercussions financières, voire fermeture de l’entreprise). Il est nécessaire d’institutionnaliser la stratégie cybersécurité au sein de la RSE de l’organisation ou de l’entreprise concernée, compte tenu du lien et des enjeux qui les rassemblent. La RSE constitue un vecteur permettant d’assurer une diffusion et une adhésion optimale de la politique décidée. Comme toute démarche de prévention des risques, son efficacité est conditionnée par la participation et l’adhésion de tous, quelles que soient la forme et la taille de la structure concernée.[ii] Il s’agit d’une démarche collective et volontaire, qui doit être inscrite dans les valeurs de la structure afin d’en constituer son "ADN", avec une prise en compte de la transformation numérique et des aspects humains, environnementaux et éthique[iii]. 

La politique RSE constitue un levier d’information du personnel sur les enjeux attachés à la cybercriminalité. Dans un monde qui laisse place à une économie numérisée, il convient de protéger les informations, les données et les connaissances acquises par l’organisation ou l’entreprise concernée. Les systèmes d’informations participent au fonctionnement d’une organisation ou d’une entreprise. Ils contribuent à sa performance. La direction et l’encadrement doivent prendre conscience de ce contexte. Les multiples facettes que recouvrent la notion de risque "informationnel" doivent être abordées : les informations commerciales, financières, industrielles et technologiques, la clientèle, le personnel, les partenaires commerciaux, les savoir-faire de l’entreprise, les projets de l’entreprise, les procédés de fabrication, les contentieux ou encore la situation de trésorerie et/ou fiscale. Le collectif doit mesurer l’ampleur prise par le phénomène des actes de piratage. L’utilisation des nouvelles technologies doit garantir la protection des données personnelles et la santé des salariés. Chacun doit intégrer et mesurer cette responsabilité afin de consolider sa capacité de réponse et ne pas devenir un éventuel "cheval de Troie" et ce, dès son entrée dans la structure.[iv]

La politique RSE permet de planifier l’acculturation des salariés au risque cybersécurité. Une communication ciblée doit être déployée afin que les salariés prennent connaissance des principes de gouvernance et de la politique de cybersécurité, des consignes en matière de cybersécurité ou encore des procédures en vigueur. Le développement de règles procédurales et d’outils destinés à identifier et à prévenir la réalisation de certains risques[v], la publication et la diffusion de référentiels dédiés, l’organisation de rencontres (moments conviviaux) sur la cybersécurité sont des pratiques qui peuvent être mises en œuvre afin de s’assurer que chacun puisse disposer des bases, du vocabulaire approprié et des bons réflexes. Les RH et la DSI doivent travailler de concert au décloisonnement d’une matière qui reste technique et non maîtrisée, afin de rendre le cadre attractif et accessible. Les modules de sensibilisation et de formation, ayant pour objet d’alerter et conseiller les salariés, contribuent à une meilleure compréhension des dimensions du risque cyber et favorisent le partage des compétences numériques adéquates.

Des dispositifs de revue et d’amélioration continue à intégrer dans la politique RSE. Progresser par l’entraînement en matière de prévention du risque cyber est une dynamique à instaurer via la politique RSE. A l’instar des exercices d’évacuation incendie, la tenue régulière d’exercices de cybersécurité institutionnalisés dans une politique RSE est une pratique recommandée. Ils permettront de s’assurer que, d’un point de vue opérationnel, les procédures et règles en vigueur sont fonctionnelles, que chacun dispose des consignes ad hoc en cas de cyberattaque. S’assurer que les rôles et responsabilités des parties prenantes sont clairement identifiés est également un indicateur pertinent pour mesurer la capacité de répondre à des situations de crise. Concrètement, la pluralité des parties prenantes mobilisables dans le cadre d’un incident de cybersécurité seront sollicités afin de répondre aux enjeux stratégiques et opérationnels de la crise. De même, instaurer une instance de pilotage et de suivi chargée d’évaluer les organisations en place, les modes opératoires ou encore qui est force de proposition afin de faire évoluer les dispositifs actuels (en cas de modification législative ou d’incident significatif par exemple) constitue également une pratique à intégrer à la politique RSE de l’organisation ou de l’entreprise considérée. En tout état de cause, devant une cybercriminalité en pleine essor, l’humain doit rester au cœur des dispositifs de prévention de sécurisation à mettre en place. La politique RSE doit devenir le « bouclier » permettant aux entreprises de disposer d’une culture cyber performante et protectrice à tous les niveaux. 

Kamel Adrouche et René Picon-Dupré

---

[i] La loi PACTE qui a prévu que les statuts de l’entreprise peuvent désormais intégrer la RSE, affichant ainsi que la société est gérée dans son intérêt social en prenant en compte les enjeux sociaux et environnementaux de son activité (C. civ., nouvel art. 1833 al. 2).

[ii] La démarche cybersécurité de la RSE doit obéir à une logique de prévention primaire : associer au diagnostic de la situation des différentes parties prenantes que sont principalement les représentants du personnel et les collaborateurs, management compris.

[iii] « Tout ce que vous avez toujours voulu savoir sur la compliance... Mais vous n’aviez pas osé demander », Revue Internationale de la Compliance et de l’Éthique des Affaires, 06/2018.

[iv] « Garantir la sécurité des données et mieux prendre en compte la cybercriminalité dans une logique de responsabilisation pour les entreprises », Dalloz IP/IT, 04/2019.

[v] « L’intelligence contractuelle et numérique au service de la responsabilité sociétale des entreprises », AJ contrat, 03/2020.