La Corporate Sustainability Reporting Directive (CSRD) est entrée en vigueur pour les grandes entreprises depuis l'exercice 2024 et s'étend aux sociétés de plus de 250 salariés dès 2026. Dans la grande majorité des organisations concernées, le rapport de durabilité a été confié aux équipes RSE, avec une participation marginale du RSSI. C'est une erreur structurelle — et elle commence à se voir dans les audits de commissaires aux comptes.
Le cadre CSRD : double matérialité et incidents cyber
La CSRD introduit la notion de double matérialité : une information est matérielle si elle a un impact sur l'environnement ou la société (impact materiality), mais aussi si un risque ou une opportunité externe peut avoir un impact financier significatif sur l'entreprise (financial materiality). Les incidents de cybersécurité satisfont les deux critères sans effort d'interprétation.
Un incident de type ransomware touche simultanément les données personnelles de clients (impact sociétal, lien RGPD), la continuité opérationnelle (financial materiality directe), et la réputation de l'organisation (financial materiality différée). En 2025, le coût moyen d'un incident de violation de données en Europe était de 4,45 millions d'euros selon IBM — un chiffre qui, au sens strict des ESRS, constitue un risque matériel.
Pourtant, l'analyse de double matérialité de la plupart des rapports CSRD traite le risque cyber comme un sous-item du risque opérationnel générique, sans lien avec les cartographies NIS2 ou les registres DORA déjà produits par les équipes GRC. Deux mondes parallèles, deux équipes, zéro alignement.
Les trois obligations ESRS qui impliquent directement votre RSSI
Les European Sustainability Reporting Standards (ESRS) contiennent plusieurs points d'entrée pour la cybersécurité. Trois sont immédiatement actionnables.
ESRS 2 — IRO-1 (Identification des impacts, risques et opportunités). L'ESRS 2 est le standard transversal obligatoire. Il exige une identification systématique des risques matériels, leur probabilité d'occurrence, et les mesures de gestion en place. Si votre organisation est dans le scope NIS2 ou DORA, vous disposez déjà d'une cartographie des risques conforme à l'article 21. Ce document est directement réutilisable comme input pour l'IRO-1 — à condition que les équipes se parlent. L'erreur courante : le département RSE conduit une analyse de matérialité indépendante qui réinvente la roue en ignorant le travail GRC existant.
ESRS S4 — Consommateurs et utilisateurs finaux. Ce standard couvre la protection des données personnelles et la vie privée des clients. Il est formellement distinct du RGPD mais recouvre exactement les mêmes obligations. Les organisations qui ont structuré un registre de traitements conforme et documenté leurs bases légales sont déjà en avance. Le piège : le rapport CSRD doit inclure des indicateurs qualitatifs et quantitatifs (nombre d'incidents de données déclarés, taux de résolution, mécanismes de plainte). Ces données vivent dans votre DPO, pas dans votre équipe RSE.
ESRS G1 — Conduite des affaires. G1 couvre la gestion des risques et les contrôles internes — un territoire naturellement GRC. L'article G1-3 exige la description des processus de prévention et détection de la corruption, mais aussi, plus largement, des dispositifs de contrôle interne couvrant les risques significatifs. Un système de management de la sécurité de l'information (SMSI) documenté et les contrôles NIS2 constituent exactement ce que les commissaires aux comptes vont chercher ici.
L'erreur systémique : le RSSI absent du processus de matérialité
Dans les organisations qui ont déjà produit un premier rapport CSRD, un schéma récurrent émerge. L'analyse de double matérialité a été conduite via des ateliers multi-parties prenantes où les équipes GRC et sécurité étaient soit absentes, soit consultées en bout de processus. Résultat : le risque cyber figure dans le rapport, mais décrit en langage RSE générique, sans granularité opérationnelle, sans lien avec les registres NIS2/DORA, et sans indicateurs mesurables.
C'est un problème de gouvernance avant d'être un problème technique. La CSRD a été perçue comme un sujet RSE. La cybersécurité a été perçue comme un sujet IT. La conformité réglementaire (RGPD, NIS2, DORA) a été perçue comme un sujet juridique. Ces trois silos ont produit trois rapports partiels qui, ensemble, ne satisfont aucun auditeur rigoureux.
Les commissaires aux comptes le savent. L'IAASB a publié en 2025 les premiers guides d'assurance sur les rapports de durabilité CSRD. Les CAC formés à l'ISAE 3000 vont demander la traçabilité entre l'analyse de matérialité et les données opérationnelles — exactement là où le silo GRC/RSE se voit.
Quatre étapes pour aligner GRC et CSRD
1. Inventaire des IRO cyber. Extraire de votre cartographie NIS2 ou DORA les risques ayant une probabilité annuelle d'occurrence non-négligeable et un impact financier potentiel documenté. Ces éléments constituent la base de votre contribution à l'IRO-1 ESRS 2. Format attendu : risque + probabilité (qualitatif ou quantitatif) + mesures en place + indicateur de suivi.
2. Scoring de double matérialité. Pour chaque risque cyber identifié, appliquer les deux dimensions : impact financier sur l'organisation (financial materiality) et impact sur les parties prenantes — clients, collaborateurs, société (impact materiality). Un incident ransomware sur un système de paie est doublement matériel. Une indisponibilité de 4 heures d'un outil collaboratif interne ne l'est probablement pas. Cette granularité est ce qui distingue un rapport CSRD crédible d'un document de communication.
3. Intégration dans les états de durabilité. Les indicateurs GRC peuvent directement alimenter les tableaux CSRD : nombre d'incidents de sécurité déclarés à l'ANSSI (NIS2 Art. 23), taux de disponibilité des systèmes critiques (DORA), nombre de sous-traitants ICT évalués (DORA TPRM), couverture MFA sur les comptes administratifs. Ces métriques sont déjà dans vos dashboards. Elles méritent d'être dans votre rapport.
4. Revue conjointe avec les CAC. Anticiper une session de travail entre le RSSI, le DPO, le responsable conformité, et les commissaires aux comptes avant la clôture de l'exercice. L'objectif : aligner la description narrative des risques cyber dans le rapport avec les preuves opérationnelles disponibles. Cette session, prise trop tard, génère des demandes de justification stressantes. Prise en amont, elle évite 80 % des allers-retours.
Évaluer votre alignement GRC–CSRD
La maturité sur ce sujet se teste en trois questions directes. Votre responsable RSE connaît-il l'existence de votre registre NIS2 ? Vos indicateurs de sécurité opérationnelle (taux MFA, délai moyen de patch critique, nombre d'incidents déclarés) sont-ils intégrés dans le rapport de durabilité ? L'analyse de double matérialité a-t-elle explicitement inclus les risques cyber avec leur probabilité et leur impact financier estimé ?
Si la réponse à l'une de ces questions est "non" ou "je ne sais pas", votre organisation a un angle mort CSRD que le prochain cycle de reporting va exposer. Les équipes Valtieri accompagnent les organisations dans la construction d'un reporting GRC-CSRD aligné — voir notre analyse sur l'automatisation GRC et la cartographie des risques fournisseurs. Pour un diagnostic de votre situation actuelle : contactez-nous.
Conclusion
Trois insights à retenir. Le risque cyber est doublement matériel au sens CSRD : impact financier direct et impact sociétal sur les parties prenantes. Les cartographies NIS2 et DORA que vous avez déjà constituent un input direct pour l'analyse IRO-1 — à condition de briser le silo GRC/RSE. Les CAC formés à l'assurance CSRD vont chercher la traçabilité entre la narrative du rapport et les données opérationnelles : les équipes qui l'auront préparée en amont seront les seules à ne pas improviser.
Les organisations qui arrivent au prochain cycle CSRD avec un alignement GRC-RSE structuré ne sont pas celles qui ont fait le plus de travail supplémentaire. Ce sont celles qui ont évité de le faire deux fois.