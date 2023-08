Innovation. Esker, plateforme cloud dédiée aux solutions d’automatisation des processus pilotées par l’intelligence artificielle, aidant les entreprises à dématérialiser leurs documents, monte la cybersécurité au niveau de son conseil de surveillance, en lui consacrant un comité dédié. «La création de ce comité s’imposait en raison de notre activité de cloud et de logiciels, afin d’encore plus sécuriser notre plateforme, d’assurer le maintien dans l’emploi de nos 1.000 salariés dans le monde, et de garantir les services rendus à nos clients», confie à L’Agefi Emmanuel Olivier, directeur général d’Esker.

Une première pour une société cotée en France. Toutefois, «en Europe, BBVA a été la première société cotée à mettre en place, dès mars 2016, un ‘Technology & Cybersecurity Committee’, précise Floriane de Saint-Pierre, présidente et fondatrice d’Ethics & Boards. Au sein des grands indices européens (SBF 120, FTSE 100, Dax, AEX, Bel, SMI, Ibex etc.), aucune autre société ne revendique un comité dédié».

Cette décision «s’inscrit dans le cadre plus global du renforcement de notre gouvernance, poursuit Emmanuel Olivier. Nous avons récemment musclé notre comité exécutif avec l’arrivée de nouveaux profils apportant du sang neuf, et étoffé notre conseil de surveillance avec le recrutement l’an dernier de Steve Vandenberg ‘Global Black Belt’ au sein de la division de solutions de sécurité de Microsoft, en vue de la création de ce comité. Deux nouveaux administrateurs devraient rejoindre le conseil dans les prochains mois».

Faire preuve de responsabilité

A lire aussi:

Ce choix, fait par une banque et par une société technologique, «montre bien comment les secteurs les plus exposés prennent le sujet à bras-le corps», poursuit Floriane de Saint-Pierre. Chaque conseil «décide des comités spécialisés à mettre en place en tenant compte des enjeux prioritaires et des spécificités de son secteur, explique Karine Dognin-Sauze, directrice générale de l’Institut français des administrateurs (IFA). Compte tenu de l’activité d’Esker et de son engagement auprès de ses clients, c’est faire preuve de responsabilité. C’est aussi une façon d’organiser une montée en compétence du conseil et de se centrer sur un risque majeur et croissant qui s’inscrit dans la lignée de l‘accélération de la transition numérique des activités et de l‘ensemble des organisations. »

Le conseil de surveillance d’Esker, qui compte quatre membres, tous indépendants, dispose désormais de quatre comités : audit et rémunérations & nominations depuis 2002 ; ESG depuis fin 2020, anticipant la recommandation de Middlenext de septembre 2021 ; et le comité cybersécurité, créé dès la fin 2022, rappelle le document d’enregistrement universel (URD) 2022 d’Esker. «Nous avons hésité à communiquer publiquement sur la création de ce comité. La modestie est une vertu cardinale sur ce sujet, souligne Emmanuel Olivier. Toutefois, il nous semble important de communiquer à nos clients sur les efforts que nous faisons.»

Présidé par Steve Vandenberg, ce comité cybersécurité a pour mission de faire un état des lieux de la politique de cybersécurité chez Esker afin de mettre en place des plans d’amélioration. Cette revue est basée sur des reportings et des indicateurs clés de performance utilisés actuellement par le responsable de sécurité des systèmes d’information (RSSI).

Nicole Pelletier-Perez, vice-présidente du conseil, et «professionnelle reconnue de l’IT», siègera dans ce comité, qui fera aussi le lien entre RSSI d’Esker et le conseil de surveillance. Il rendra compte du travail mené par l'équipe de sécurité d’Esker, familiarisera les membres du conseil avec les enjeux clés du marché de la cybersécurité et les assistera dans leur prise de décisions. «Ce comité a pour rôle d’aiguillonner le RSSI, qui comprend et accepte d’être remis en cause. Une bonne pratique qui permet de progresser», résume Emmanuel Olivier.

A lire aussi:

Se pencher sur le risque de destruction de valeur lié au cyber

«La gouvernance des risques continue à se structurer au plus haut niveau, se félicite la présidente d’Ethics & Boards. Si la cybersécurité concerne tout le conseil, la création d’un comité permet d’y consacrer plus de temps.» Faut-il alors que toutes les sociétés se dotent d’un comité cyber ? «Chaque société doit avoir une gouvernance qui lui est adaptée, en créant ou non un comité dédié, poursuit Floriane de Saint-Pierre. En revanche, tous les conseils doivent se pencher sur le risque cyber et sur le risque lié de destruction de valeur extrêmement élevé.» D’ailleurs, au sein du CAC 40, des sociétés comme «Schneider Electric ou Stellantis mentionnent explicitement la cybersécurité parmi les responsabilités d’un des comités du conseil», constate Ethics & Boards.

«Si nous avons pu réagir sans dommages aux quelques attaques de diverses natures dont nous avons été victimes, cela nous a sensibilisés, conclut le directeur général d’Esker. Nos clients aussi se sont fait attaquer, et parfois de manière très pénalisante. Aussi, nous ne pouvons négliger ces risques. Il est fondamental de mettre en place des mesures préventives pour protéger les données de toutes les parties prenantes concernées.»