Cadre réglementaires et critères de responsabilité : quand la cybersécurité devient un enjeu de gouvernance

habillage illustration page Aéma Groupe

Admin

5 minutes

14/10/2025

La cybersécurité

Longtemps considérée comme un sujet purement technique, la cybersécurité est aujourd’hui en tête des préoccupations des entreprises. Les enjeux dépassent désormais la simple protection des systèmes : il en va de leur compétitivité, de la confiance de leurs clients et de leurs partenaires.

Dans ce contexte, le cadre réglementaire européen, levier fondamental de la résilience numérique, pousse les organisations à s’organiser davantage. Car au-delà de la conformité, la cybersécurité devient un enjeu de gouvernance et de responsabilité sociétale à part entière.

Une gouvernance numérique sous pression réglementaire

Omniprésence de l’IA, diversification des méthodes d’ingénierie sociale(1)Les cyberattaques se multiplient et se diversifient. En première ligne ? Les entreprises(2), pour qui la mise en conformité se complexifie presque autant que la menace. Mais elles n’ont plus le choix : parer à la cyber malveillance, c’est non seulement protéger leurs données – parfois sensibles –, mais aussi assurer la continuité de leur activité, leur compétitivité et préserver la confiance de leurs clients. Car une entreprise non résiliente numériquement peut les mettre en danger.

Ainsi, au même titre que toutes les sociétés de finance et d’assurance, Aéma Groupe est directement concerné par le Digital Operational Resilience Act (DORA). Ce règlement européen, dédié au secteur financier, établit des obligations strictes pour la gestion des risques numériques, en plus de celles de la directive NIS 2(3) qui vise les autres secteurs d’activité.

Il impose non seulement une gestion structurée des incidents ainsi que des tests de résilience, mais aussi un partage d’information sur les cybermenaces et la cybercriminalité. L’objectif ? Anticiper les menaces et éviter la propagation des attaques à tout le secteur. DORA incite ainsi à une plus grande coopération entre les acteurs et à une véritable cyber solidarité au sein de tout l’écosystème. 

Et c’est important. Pour répondre à ces standards de sécurité toujours plus élevés, les entreprises doivent tester régulièrement leurs capacités de défense et renforcer leurs systèmes. Si cela constitue une opportunité d’approfondir leur résilience numérique, cela implique également des modifications profondes dans leur pilotage. Terminée la liste de cases à cocher, la cybersécurité dépasse aujourd’hui le cadre de la conformité, devenant même un enjeu de gouvernance au plus haut niveau des entreprises. 

De la conformité aux critères extra- financiers : la cybersécurité, un nouvel indicateur de responsabilité

Oui, la cybersécurité représente aujourd’hui un critère de responsabilité à part entière. Car être résilient numériquement, c’est être responsable. Et cela a un impact. Il est d’ailleurs intéressant de voir à quel point politique RSE(4) et actions en matière de résilience numérique sont intimement liées. En effet, une infrastructure optimisée et mieux sécurisée limite les cybercrises et la surconsommation de ressources qui leur est associée. Au-delà de la protection des données, la cybersécurité contribue donc indirectement à la sobriété numérique en réduisant l’empreinte carbone des systèmes d’information.

Le trait d’union avec le volet social est encore plus éloquent, car même s’il est question de numérique, c’est avant tout l’humain qui est au cœur du sujet. Conséquences psychologiques, stress post traumatique, fragilisation de l’organisation… Les répercussions sociales d’une cyberattaque peuvent être lourdes pour les équipes. Et entamer durablement la confiance des clients. 

Enfin, la cybersécurité est un sujet stratégique de gouvernance. Les nouveaux cadres réglementaires de plus en plus stricts imposent aux entreprises une gestion transparente et proactive des risques. Et c’est aux conseils d’administration d’assurer aujourd’hui cette responsabilité. 

Le niveau de cybersécurité d’une entreprise révèle donc sa capacité à protéger l’intérêt collectif. Ainsi, pourquoi ne pas en faire à l’avenir un indicateur clé de responsabilité sociétale ? C’est ce pour quoi plaide Annick Rimlinger, Directrice sûreté-sécurité, cyber & data protection pour Aéma Groupe. L’idée ? Faire figurer la résilience numérique dans le reporting extra-financier des organisations, tout comme les actions environnementales, sociales et de gouvernance. Ou comment faire de la cybersécurité un nouveau critère de cotation, cette fameuse appréciation attribuée par la Banque de France sur la capacité d’une entreprise à honorer ses engagements financiers(4). Elle s’appuie sur des informations quantitatives et qualitatives collectées auprès de plusieurs sources. Intégrer la sûreté dans la cotation contribuerait ainsi à apprécier le profil global de l’entreprise. Pour mieux la comprendre et affiner l’analyse de sa résilience. Et, in fine, peut-être favoriser le positionnement des directeurs sécurité-sûreté au sein des comités de direction ou de comité exécutif ?

Vers une gouvernance partagée et collective

La sécurité numérique est aujourd’hui un marqueur de transparence et de gouvernance éthique. Et à ce titre, les assureurs mutualistes – la confiance ancrée au cœur de leur modèle – ont un rôle moteur à jouer. Car cette confiance, Aéma Groupe a à cœur de la préserver. Tout comme il souhaite défendre la protection pour tous, y compris celle au sein de l’espace numérique. 

Production d’outils pédagogiques, opérations de prévention et de sensibilisation auprès des salariés et des agents des réseaux de distribution, participation à des actions citoyennes… Pléthore d’actions sont menées pour renforcer la vigilance collective. En tant que partenaire de Cybermalveillance.gouv.fr(5), Aéma Groupe déploie également une campagne d’envergure à l’occasion du Cybermois(6). Là encore, ateliers, exercices et rencontres avec des experts ont pour but de faire prendre conscience aux équipes du rôle clé qu’ils jouent au quotidien dans la protection de l’entreprise. Et parce que la résilience numérique est aussi une question de responsabilité sociétale, Macif a rédigé un manifeste et énoncé des règles de pilotage pour une IA éthique. L’objectif ? Profiter du potentiel innovant de l’IA tout en restant conforme à ses valeurs mutualistes. 

Mais ce pour quoi milite également Aéma Groupe, c’est une gouvernance partagée. Pour Annick Rimlinger, Directrice sûreté-sécurité, cyber & data protection, chez Aéma Groupe, « la cybersécurité ne doit pas être une responsabilité individuelle mais collective, partagée entre le groupe, les Hommes (employés, sociétaires, clients) et les partenaires de l’entreprise ». La cybersécurité n’est donc plus une fonction technique isolée, elle est un pan essentiel de la culture d’entreprise. Et elle aussi devenue un véritable enjeu de solidarité nationale, où chaque acteur de l’écosystème doit prendre sa part. Car « c’est bien par le collectif qu’on réussira à se préserver ».

Le cadre réglementaire européen va dans cette direction en encourageant davantage de coopération et un partage d’informations entre les acteurs. Car la protection pour tous, sous toutes ses formes, doit être placée au cœur de la résilience numérique, pilier fondamental de l’e-santé.

—————

  1. L’ANSSI définit l’ingénierie sociale comme une « manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes »
  2. Les cyberattaques représentent même la menace n°1 pour les entreprises en 2025 d’après l’Opinion
  3. La directive NIS 2 vise à harmoniser la cybersécurité dans l’ensemble de l’Union Européenne. Elle a pour objectif d’inciter les entreprises et les organisations à atteindre un niveau de sécurité numérique élevé. Elle s’applique en parallèle du règlement DORA, qui couvre lui les secteurs de la finance et de l’assurance.
  4. A un horizon d’un à trois ans
  5. Cybermalveillance.gouv.fr est une plateforme qui informe, sensibilise et assiste les victimes de cyber malveillances. Aéma Groupe en est un partenaire.
  6. Le Cybermois – ou Mois européen de la cybersécurité – est une initiative européenne créée en 2012 par l’ENISA (Agence de l’Union Européenne pour la cybersécurité) qui vise à sensibiliser aux cybermenaces et aux bons réflexes pour s’en protéger. En France, il est piloté par Cybermalveillance.gouv.fr.

14/10/2025

La cybersécurité

La cybersécurité, un enjeu de solidarité nationale

Collectivités, associations, entreprises, particuliers jeunes et moins jeunes... chacun peut être victime de cyberattaques. Au-delà de leurs répercussions techniques et financières, elles atteignent aussi l’intimité numérique des citoyens. 

Lire la suite

14/10/2025

La cybersécurité

Protéger les plus fragiles face au risque cyber : une mission mutualiste

Aujourd’hui, plus personne n’est à l'abri de la cyber malveillance. Si les entreprises et les collectivités se mettent en ordre de bataille pour organiser leur résilience numérique, ce n’est pas toujours le cas des particuliers. Et encore moins des plus jeunes, des seniors ou des publics peu technophiles, auxquels les cybercriminels s’attaquent en priorité. 

Lire la suite