Connexion

Rechercher

Dans l’environnement actuel de digitalisation, procurant aux entreprises de multiples avantages compétitifs, la mise en place obligatoire de la facture électronique est une étape importante et structurante pour votre organisation. L’ensemble des règles et des lois qui constituent le cadre juridique et fiscal de cette évolution ne doit pas constituer un obstacle mais l’assurance d’un terrain propice à la mise en place de nouveaux processus au sein de votre entraeprise et garantir leur bon fonctionnement.


Déjà obligatoire dans les échanges avec le secteur public, la facturation électronique va désormais s’étendre aux relations inter-entreprises. à partir du 1er septembre 2026, toutes les entreprises devront être en mesure de recevoir puis d’émettre (selon un calendrier spécifique) les factures au format électronique, indépendamment de leur taille.
Dès lors, afin de se préparer au mieux à cette transformation votre expert-comptable met à votre disposition ce guide traitant des principales évolutions en la matière.

Guide la facturation électronique 2025Télécharger

N’hésitez pas à nous solliciter pour vous accompagner dans la compréhension de cette importante réforme et la mise en place de cette nouvelle étape de la digitalisation de votre entreprise.

Comment capitaliser sur la transposition de la Directive NIS 2 en loi française qui vous contraint à relever votre niveau de cybersécurité ?

Dans le contexte international actuel, la cybersécurité est au cœur de toutes les attentions : le conflit en Ukraine et la situation régionale en sont la parfaite illustration.
Mais vous êtes-vous intéressé aux sabotages de câbles sous-marins reliant les pays scandinaves au reste de l’Europe ?

Avez-vous déjà songé à l’incidence d’une entreprise américaine comme Starlink sur un pays en conflit  ?

C’est précisément pour répondre à ces défis que l’Union européenne a introduit la Directive NIS 2, dont l’objectif est de promouvoir la souveraineté des systèmes d’information au sein de l’Union européenne, en renforçant la sécurité et la résilience des infrastructures critiques.

Dans cet article nous verrons ce qu’est concrètement la Directive NIS 2, nous ferons ensuite un point sur l’état de son implémentation en Europe, nous étudierons son champ d’application pour vous permettre de savoir si votre entreprise est concernée, avant de nous concentrer sur les exigences de la Directive et comment s’y conformer.

Comprendre la directive NIS 2

NIS 2 : la capitalisation sur une réussite de l’UE

NIS 2, pour « Network and Information Systems Directive 2 » est une directive européenne qui se concentre sur la sécurisation des acteurs, publics et privés, critiques pour les états membres.

Cette directive est l’extension de la Directive NIS 1, introduite en 2016. NIS 2 reprend les bases posées par NIS 1 et les développe davantage en élargissant le champ d’application, en incluant davantage de secteurs d’activité, et en renforçant les exigences de sécurité et les obligations de notification des incidents.

Une directive qui précise des jalons de sécurité

NIS 2 introduit deux catégories d’entités : les entités essentielles (EE) et les entités importantes (EI). Elles se distinguent selon le degré de criticité lié à leur secteur d’activité, selon leur taille ainsi que leur chiffre d’affaires.

Chaque entité régulée, privée ou publique, doit se signaler au régulateur (l’ANSSI en France), lui fournir des informations, mettre en place des mesures de gestion des risques qui pourraient affecter le système d’information et déclarer tout incident de sécurité. Vous retrouverez le détail des mesures dans le chapitre « Exigences de la Directive NIS 2 ».

En cas de non-respect des dispositions, les entités peuvent recevoir des sanctions financières pouvant représenter jusqu’à 2% du chiffre d’affaires mondial ou 10 millions d’euros (le montant le plus élevé étant retenu) pour les entités essentielles et 1,4% ou 7 millions d’euros pour les entités importantes.

Un calendrier avec des jalons immédiats

Le 27 décembre 2022, la Directive NIS 2 a été publiée au Journal officiel de l’UE, avec les échéances suivantes :

  • Le 17 octobre 2024, tous les États membres ont terminé leur transposition nationale de la Directive NIS 2
  • Le 17 janvier 2025, les États membres informent la Commission européenne des règles et mesures adoptées
  • Le 17 avril 2025, chaque États membre établit la liste des Entités Essentielles et Entités Importantes

La France n’a pas encore, au moment de la rédaction de cet article, de loi de transposition à proprement parler, mais le projet de loi a été construit et soumis à délibération du Conseil des Ministres et à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), l’entité régulatrice en France, a partagé pour consultation un référentiel de cybersécurité à destination des acteurs économiques assujettis à NIS 2.

Bien que ces éléments soient retardés par rapport au calendrier initial et qu’il est probable qu’ils soient mis en œuvre progressivement, comme cela a été fait pour le RGPD, un ensemble tangible se dessine pour encadrer les activités de nos entités essentielles et importantes.

Enfin, il est notable que cette transition fixera définitivement le calendrier d’applicabilité de ces mesures pour la France.

Etat de l’implémentation de la directive en France et en Europe

Etat des lieux de la transposition en Europe

La France n’est pas le seul État membre à avoir du retard dans la transposition de la Directive. Seuls la Belgique 1, la Croatie, la Hongrie 2, l’Italie 3, la Lettonie 4 et la Lituanie ont achevé cette démarche sur les 27 pays membres de l’UE.

Le graphique à trois couleurs ci-dessous permet d’identifier les pionniers en vert, d’identifier les pays ayant proposé la législation mais pas encore adoptée, et enfin en rouge, les pays pour lesquels aucune proposition n’a été publiée, et pour lesquels les délais d’implémentation ne sont pas complètement figés à la date de rédaction de l’article.

Il est tout particulièrement notable que l’Islande, le Liechtenstein, la Suède et la Norvège sont intégrés à cette carte, car bien que n’étant pas membres de l’Union européenne, ces États ont choisi de transposer cette directive dans leur corpus législatif national.

Figure 1 – État de la transposition de la NIS 2 en Europe en novembre 2024

Champ d’application de la directive NIS 2

Il est important pour les dirigeants d’entreprise de savoir que NIS 2 exige que les entreprises soient autonomes sur leurs déclarations. Il revient à chaque entreprise de savoir si elle est, oui ou non, concernée par la Directive NIS 2 et, le cas échéant, de se déclarer auprès de l’ANSSI.

L’ANSSI met à disposition sur son site un questionnaire5 permettant de savoir si une entité est concernée par NIS 2.

Situation géographique de NIS 2

Application aux entreprises européennes et extra européennes

NIS 2 s’applique aux entreprises établies dans au moins un état membre de l’union européenne.

La Directive NIS 2 s’applique également aux entreprises situées hors de l’Union européenne si elles fournissent des services ou produits à des clients situés dans l’UE et opèrent dans des secteurs critiques définis (par exemple, énergie, santé, transport, infrastructures numériques). Ces entreprises doivent garantir que leurs services respectent les normes de cybersécurité imposées par la Directive et sont tenues de désigner un représentant légal dans l’UE chargé d’agir comme point de contact avec les autorités européennes. Ce représentant est responsable de la conformité de l’entreprise, notamment en ce qui concerne la mise en œuvre de mesures de gestion des risques et la notification d’incidents graves affectant leurs clients européens. En cas de non-respect, des sanctions importantes peuvent être imposées, ce qui oblige les entreprises à s’aligner sur les exigences européennes pour gérer leurs activités sur le marché de l’UE.

Application aux entreprises présentes dans plusieurs états membres

Lorsqu’une entité est présente au sein de plusieurs états membres de l’Union européenne, la Directive établit un cadre pour harmoniser son application et éviter les doublons ou incohérences dans les exigences.

Si une entreprise opère dans plusieurs états membres, l’autorité compétente de l’État membre où se trouve son siège social est généralement désignée comme autorité de supervision principale. Les autorités des autres états membres collaborent avec l’autorité principale pour superviser les activités locales de l’entreprise.

L’entreprise doit se conformer aux mêmes exigences de cybersécurité (gestion des risques et notification des incidents) dans tous les états membres où elle exerce des activités, selon les normes minimales définies par NIS 2.

Les sanctions en cas de non-conformité sont appliquées par l’autorité compétente de l’État membre concerné, en fonction de l’impact local ou transfrontalier de la violation.

Types d’entités et secteurs concernées

NIS 2 concerne des entités variées qui vont de la collectivité territoriale à la grande entreprise, en passant par les administrations publiques et les entreprises de taille moyenne.

Les secteurs concernés sont découpés en trois catégories : les secteurs hautement critiques, les secteurs critiques, et les acteurs choisis en inclusion ou exclusion par l’autorité administrative compétente, à sa discrétion.

Les deux premiers secteurs sont définis dans l’annexe 1 de la Directive. Le schéma ci-dessous présente les onze secteurs d’activités hautement critiques et les sous-secteurs définis pour les transports et l’énergie.

Figure 2 – Secteurs et sous-secteurs d’activités hautement critiques au sens de l’annexe 1

La Directive NIS 2 introduit également dans une seconde annexe, les « autres secteurs d’activités critiques » qui sont représentés ci-dessous.

Figure 3 – Autres secteurs d’activités critiques au sens de l’annexe 2

Pour les entités opérantes dans ces secteurs d’activités, la taille de l’entreprise permet de définir la catégorie d’entité :

  • Les micros et petites entreprises ne sont pas concernées par NIS 2.
  • Les entreprises de tailles moyennes ayant un des secteurs d’activité décris par l’annexe 1 ou l’annexe 2 sont considérées comme Entités Importantes (EI).
  • Les entreprises de tailles intermédiaires et grandes ayant un secteur d’activité hautement critique par l’annexe 1 sont considérées comme Entités Essentielles (EE) et celles ayant un secteur d’activité critique au sens de l’annexe 2 sont considérées comme Entités Importantes (EI).

Le tableau ci-dessous récapitule ces éléments.

Taille de l’entrepriseNombre d’employésChiffre d’Affaires (millions d’€)Bilan Annuel (millions d’€)Annexe 1Annexe 2
Intermédiaires et grandesX ≥ 250 ouY ≥ 50 ouZ ≥ 43Entités essentiellesEntités importantes
Moyennes250 ≥ X ≥ 50 ou50 ≥ Y ≥ 10 ou43 ≥ Z ≥ 10Entités importantesEntités importantes
Micro et petitesX < 50 etY < 10 etZ < 10Non concernéesNon concernées

Sont enfin, et par exception, considérées comme entités essentielles :

  • Les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les fournisseurs de services DNS, et ce, quelle que soit leur taille.
  • Les fournisseurs de réseaux publics de communications électroniques publiques ou de services de communications électroniques accessibles au public qui constituent des entreprises de taille moyenne.
  • Toute entité soumise à la Directive Résilience des Entités Critiques (REC).
  • Toute entité désignée Opérateur de service essentiel au titre de NIS 1.

Régime spécifique pour les acteurs numériques

Les acteurs numériques ne sont pas soumis aux exigences relatives aux mesures de sécurité transposées à l’échelle nationale.

Ils sont soumis à un acte d’exécution publié le 17 octobre 2024 par la Commission européenne6 qui précise les mesures à appliquer.

Périmètre d’application pour les entités concernées

La Directive NIS 2 et sa transposition visent l’ensemble des systèmes d’information d’une entité, que ces systèmes participent ou non aux activités et services pour lesquels l’entité est considérée comme EE ou EI.

Par ailleurs, il est possible d’exempter certains sous périmètres de l’application des mesures de sécurité lorsque ces SI ne sont pas exposés à des risques pouvant impacter l’activité ou les services fournis par l’entité. Néanmoins cette exemption doit être justifiée par une analyse de risque complète et approfondie.

Les critères permettant à l’entité d’exempter un SI sont précisés avec les objectifs de sécurité dans le référentiel des mesures NIS 2.

Exigences de la Directive NIS 2

Les exigences pour les entités concernées par la Directive NIS 2 se divisent en trois catégories :

  1. Le partage d’information
  2. La gestion des risques cyber
  3. La déclaration d’incident

Nous pouvons également citer la coopération avec les autorités compétentes en cas de contrôle de conformité.

Partage d’information des entités vers l’autorité

Il est de la responsabilité des entités soumises à NIS 2 de se déclarer auprès de l’ANSSI.

Les entités doivent identifier et mettre à jour la liste de leurs systèmes d’information critiques, en spécifiant les services essentiels qui en dépendent et en analysant les interdépendances avec d’autres entités.

Elles doivent également réaliser des analyses de risque pour identifier les menaces potentielles et mettre en œuvre des mesures techniques, organisationnelles et opérationnelles pour assurer la continuité des activités, incluant un plan de résilience global.

Une évaluation des dépendances vis-à-vis des fournisseurs et partenaires, y compris les vulnérabilités dans les chaînes d’approvisionnement, est nécessaire.

Les entités essentielles et importantes doivent déclarer l’identification et la localisation de leurs infrastructures critiques, la nature des services fournis, et tout changement significatif.

Elles doivent démontrer la conformité aux exigences de sécurité prescrites par l’autorité nationale, y compris l’utilisation de produits certifiés et la réalisation d’audits externes.

Enfin, elles doivent documenter leurs procédures internes, incluant la formation des membres de direction et des personnels exposés aux risques de sécurité et simplifier les démarches de contrôles menés par les autorités compétentes.

La déclaration d’incidents

La Directive demande aux entités essentielles et importantes de déclarer tout incident ayant un « impact important » sur la fourniture de leurs services et activités.

Un incident est un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services des entités essentielles ou importantes que les réseaux et systèmes d’information offrent ou rendent accessibles.

Il est ensuite qualifié d’important s’il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ou s’il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels, ou moraux considérables.

La déclaration d’incident s’effectuera en plusieurs étapes : La notification, le rapport d’avancement et le rapport final :

  • Dans les 24h suivant l’incident, l’entité doit transmettre une alerte à l’ANSSI.
  • Dans les 72h une notification d’incident, mettant à jour la notification précédente, indique une évaluation initiale de la gravité de l’incident et de son impact, et les indicateurs de compromission le cas échéant (notons alors que cela correspond au délai réglementaire pour signifier un incident à la CNIL).
  • A la demande de l’ANSSI ou du Computer Security Incident Response Team (CSIRT) un rapport immédiat mis à jour avec les statuts de l’incident et des processus correctifs en cours.
  • Après un mois, les entités doivent soumettre un rapport final détaillé en cas d’incident critique, incluant au moins une action corrective. Ce rapport doit contenir une description précise de l’incident, identifier le type de menace ou la cause à l’origine de l’incident, et décrire les mesures appliquées ainsi que celles en cours d’implémentation. Si au bout de 30 jours l’incident est encore en cours, un rapport de progression doit être fourni.
  • Enfin, un rapport final détaillant la gestion de l’incident doit être soumis dans un délai de 60 jours, offrant une vue complète des actions entreprises pour résoudre et prévenir de futurs incidents similaires.

Cas des systèmes d’information gérés par des prestataires

En cas d’incident impactant un système d’information géré par un prestataire, et même si celui-ci est régulé par la directive NIS 2, c’est à l’entité propriétaire du Système d’information, c’est-à-dire l’entité régulée victime, d’assurer ces déclarations.

De plus, les entités essentielles et importantes doivent également informer sans délai tous les destinataires de leurs services potentiellement affectés par l’incident, en leur communiquant les mesures correctives à appliquer. Si le prestataire de services informatiques est lui-même victime de l’incident et régulé par la Directive, il doit notifier l’incident à l’autorité nationale compétente et à ses clients.

Mesures de sécurité imposées par NIS 2

Bien que la transposition dans la loi française ne soit pas encore complète à l’heure de la rédaction de cet article, de nombreux éléments et communications ont déjà été effectués par l’ANSSI. Aussi, nous anticipons que les mesures de sécurité finalement retenues dans la loi française seront proches des éléments décrits ci-après.

La liste actuellement étudiée est constituée de 20 objectifs de sécurité à l’intention des entités concernées7 :

  1. L’entité recense ses systèmes d’information.
  2. L’entité dispose d’un cadre de gouvernance de la sécurité numérique.
  3. L’entité essentielle met en place une approche par les risques.
  4. L’entité maitrise son écosystème.
  5. L’entité essentielle audite la sécurité de ses systèmes d’information.
  6. L’entité prend en compte la sécurité numérique dans la gestion de ses ressources humaines.
  7. L’entité maîtrise ses systèmes d’information réglementés.
  8. L’entité maîtrise les accès physiques à ses locaux.
  9. L’entité sécurise l’architecture de ses systèmes d’information réglementés.
  10. L’entité sécurise les accès distants à ses systèmes d’information réglementés.
  11. L’entité protège ses systèmes d’information réglementés contre les codes malveillants.
  12. L’entité essentielle sécurise la configuration des ressources de ses systèmes d’information réglementés.
  13. L’entité gère les identités et les accès des utilisateurs à ses systèmes d’information réglementés.
  14. L’entité maitrise l’administration de ses systèmes d’information réglementés.
  15. L’entité essentielle réalise les actions d’administration depuis des ressources dédiées.
  16. L’entité essentielle supervise la sécurité de ses systèmes d’information réglementés.
  17. L’entité a la capacité de réagir aux incidents de sécurité.
  18. L’entité dispose de capacité de continuité et de reprise d’activité.
  19. L’entité a la capacité de réagir aux crises d’origine cyber.
  20. L’entité dispose de moyens pour vérifier le fonctionnement de ses capacités opérationnelles.

Chacun de ces objectifs se décline en multiples moyens acceptables de conformité et mesures de sécurité associées.

Mise en œuvre des exigences de la Directive NIS 2

La Directive contraint les entités à la considérer comme un cadre de travail et non comme un chantier temporaire de mise en conformité.

La mise en conformité avec la Directive NIS 2 nécessite un engagement stratégique et une approche systématique. En mobilisant les ressources humaines, techniques et financières appropriées, les entreprises peuvent non seulement répondre aux exigences réglementaires mais aussi transformer la cybersécurité en un avantage compétitif.

De plus, la Directive NIS 2 exige que les entreprises effectuent des audits réguliers et des tests de pénétration pour évaluer l’efficacité de leurs mesures de sécurité et identifier les domaines nécessitant des améliorations. En adoptant une approche proactive et en intégrant la cybersécurité dans leur culture organisationnelle, les entreprises peuvent non seulement se conformer aux exigences de la directive NIS 2, mais aussi renforcer leur résilience face aux cybermenaces croissantes.

La question se pose alors des premières étapes à initier pour mettre sous contrôle son système d’information et se conformer à la réglementation.

Établir les fondations de la gouvernance de la cybersécurité

La mise en conformité débute par une gouvernance solide. Il s’agit de nommer un Responsable de la Sécurité des Systèmes d’Information (RSSI), chargé de conseiller la direction et de superviser la stratégie de cybersécurité.

La création d’un comité dédié permet de piloter la mise en œuvre des mesures et d’assurer un suivi régulier. Enfin, une Politique de Sécurité des Systèmes d’Information (PSSI) doit être adoptée et mise à jour annuellement pour garantir une gouvernance claire et adaptée.

Possibilité de s’appuyer par exemple sur des normes ou référentiels externes tels que ISO, SOC, COBIT, TOGAF….

Cartographier et prioriser

Une vision précise des actifs numériques et de l’écosystème est essentielle pour prioriser les efforts. Il s’agit de recenser tous les systèmes d’information, en identifiant ceux qui supportent des activités critiques. Parallèlement, une cartographie des fournisseurs et prestataires IT permet de repérer les flux sensibles et les dépendances.

Un audit de l’état de conformité actuel permet de révéler les écarts et vulnérabilités, posant alors les bases d’une stratégie d’amélioration.

Mettre en place une gestion des risques

L’analyse des risques permet de comprendre les menaces pesant sur les systèmes critiques et d’élaborer des scénarios de cyberattaques susceptibles d’impacter ses activités. Cet exercice doit être récurrent dans la méthodologie.

Cette démarche, complétée par une hiérarchisation des risques en fonction de leur gravité et probabilité, aide à définir les priorités de traitement. Un plan d’action structuré, validé par la direction, garantit que les mesures de mitigation sont cohérentes avec les objectifs de l’entreprise.

Malgré la présence de nombreuses ressources, notamment la méthodologie EBIOS poussée par l’ANSSI, cette étape est trop souvent sous-évaluée. Elle est pourtant essentielle pour communiquer avec tous les acteurs et prendre conscience des défaillances parfois systémiques de son organisation.

Mettre en œuvre des mesures techniques et organisationnelles

La mise en place de mesures techniques et organisationnelles permet de répondre aux enjeux de NIS 2. En effet la réglementation s’accompagne de la liste des mesures à mettre en place ainsi que des éléments acceptables pour les implémenter.

Bien que la traduction opérationnelle de ces éléments soit à la discrétion de l’entité concernée, les jalons sont clairs et posés par NIS 2.

Développer une capacité de réponse aux incidents

Une organisation doit être prête à gérer efficacement les incidents de cybersécurité. Cela passe par l’élaboration d’un plan de gestion des incidents, testé régulièrement via des exercices, et par la mise en place de solutions de continuité et de reprise d’activité pour minimiser les interruptions.

Piloter la conformité et l’amélioration continue

Des formations régulières sensibilisent les collaborateurs aux bonnes pratiques. Une revue annuelle garantit que les mesures de sécurité restent adaptées aux évolutions technologiques et réglementaires, tout en intégrant les leçons tirées des incidents passés.

Une démarche d’amélioration continue permet de faire évoluer le référentiel interne qui s’adapte aux évolutions et aux besoins de l’entreprise.

La Directive NIS 2 représente une avancée significative dans le renforcement de la cybersécurité au sein de l’Union européenne, en étendant et en approfondissant les mesures instaurées par la Directive NIS 1. Face à des menaces de plus en plus sophistiquées et omniprésentes, cette directive impose aux entités essentielles et importantes, qu’elles soient publiques ou privées, de se conformer à des exigences rigoureuses en matière de gestion des risques, de partage d’informations et de déclaration d’incidents.

La mise en œuvre de la Directive NIS 2 requiert un engagement stratégique de la part des entreprises, incluant la désignation de responsables dédiés, la réalisation d’analyses de risque régulières, et l’adoption de mesures techniques et organisationnelles robustes. Bien que la transposition de la directive dans les législations nationales puisse soulever des défis, elle offre également une opportunité de renforcer la résilience des infrastructures critiques et de promouvoir une culture de cybersécurité proactive.

En définitive, la Directive NIS 2 ne doit pas être perçue comme une simple obligation réglementaire, mais comme un cadre permettant aux entreprises de transformer la cybersécurité en un avantage compétitif. En adoptant une approche systématique et en intégrant la cybersécurité dans leur culture organisationnelle, les entreprises peuvent non seulement se conformer aux exigences de la Directive, mais aussi se préparer efficacement aux cybermenaces futures, assurant ainsi la continuité et la sécurité de leurs opérations.

Besoin d’assistance pour agir ?

Si vous avez besoin d’assistance pour comprendre et mettre en œuvre les exigences de la Directive NIS 2, n’hésitez pas à nous contacter.

Nous sommes à votre disposition pour vous aider à naviguer dans ce cadre réglementaire complexe et à renforcer la sécurité de vos systèmes d’information.

Article écrit le 28 novembre 2024.


Références (certains sites sont dans leur langue locale. Veuillez utiliser le module Google translate pour la traduction en français) :

  1. https://www.ejustice.just.fgov.be/cgi/article.pl?language=fr&sum_date=2024-05-17&lg_txt=n&pd_search=2024-05-17&s_editie=1&numac_search=2024202344&caller=sum&2024202344=4&view_numac=2024202344f ↩︎
  2. https://njt.hu/jogszabaly/en/2023-23-00-00 ↩︎
  3. https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG ↩︎
  4. https://url.us.m.mimecastprotect.com/s/3UKLCYE582CLMZq1gc0fGFxEZs9?domain=e-seimas.lrs.lt ↩︎
  5. https://monespacenis2.cyber.gouv.fr/simulateur ↩︎
  6. https://digital-strategy.ec.europa.eu/fr/library/nis2-commission-implementing-regulation-critical-entities-and-networks ↩︎
  7. Référentiel de cybersécurité pour les futurs acteurs économiques assujettis à NIS 2 ↩︎

Les indicateurs chiffrés de taxonomie environnementale ont pour objectif d’identifier les activités durables qui n’aggravent pas le changement climatique. Ce dispositif est présenté au niveau européen comme une « véritable boussole environnementale ». Est-ce une voie intéressante pour faciliter le travail des évaluateurs lorsqu’ils construisent les échantillons de sociétés cotées comparables ? A ce stade, l’approche est tentante mais encore trop souvent inopérante. Voici pourquoi.

L’évaluateur justifie la composition des échantillons de sociétés cotées comparables en utilisant non seulement des critères liés aux activités exercées, à leur géographie, à la taille des groupes, mais aussi des analyses de taux de rentabilité et de croissance de chiffre d’affaires. Cette liste n’est pas limitative car l’exercice du jugement est toujours nécessaire pour la qualité des résultats attendus.

La prise en compte de critères ESG dans l’appréciation de la pertinence d’un échantillon de sociétés comparables fait partie de travaux des évaluateurs, et en particulier les impacts climatiques.

1. Une réglementation applicable aux entreprises européennes

La taxonomie européenne, comme son nom l’indique, est applicable aux entreprises européennes, celles qui sont cotées, puis progressivement celles dépassant les seuils. Toute comparabilité sera exclue pour des entreprises américaines ou de pays hors UE.

2. Une comparabilité ciblée sur les activités « éligibles » les plus exposées

La taxonomie cible une classification d’activité, certes étendue et détaillée, mais limitative[1]. Toutes les activités susceptibles d’être évaluées, notamment dans les services, ne sont pas couvertes.

3. Une classification résultant de choix politiques

La classification d’une activité comme éligible dépend des choix politiques conduits par la Commission, le Parlement et le Conseil européens. Certaines activités ont par exemple fait l’objet de nombreuses discussions entre pays membres (exemple des activités nucléaire) tandis que d’autres n’ont pas encore été analysées (cas de l’agriculture). Des sociétés opérant dans ces secteurs se retrouvent donc exclues de l’analyse.

4. Un choix à opérer entre les indicateurs Chiffre d’affaires, Opex et Capex

La taxonomie vise trois indicateurs distincts. Lequel privilégier comme critère de comparabilité ? Une moyenne arithmétique entre ces indicateurs a-t-elle du sens ? En admettant la parfaite fiabilité des indicateurs, publiés sous le contrôle des auditeurs, mais au sein de juridictions avec des pratiques et des sensibilités différentes, les indicateurs de chiffre d’affaires et de capex semblent plus pertinents. Retenir l’un ou l’autre aboutirait-il à des conclusions différentes pour l’évaluateur ?

5. Un critère d’alignement parfois peu pertinent ou difficile à interpréter

La logique de la taxonomie conduit à isoler un pourcentage d’alignement pour un objectif environnemental défini, au sein d’une activité éligible, pourvu que ce que cette activité ne porte pas préjudice aux autres objectifs environnementaux et respecte les garanties minimales (droits humains, corruption, etc.). Qu’observe-t-on ?

Dans les secteurs le plus exposés, les pourcentages d’alignement peuvent servir de base à des analyses pertinentes, notamment dans l’immobilier, l’énergie et le transport.

Par exemple, dans le secteur des énergies renouvelables, Neoen, Voltalia, Grenergy Renovales, etc. affichent sans surprise des pourcentages d’éligibilité et d’alignement proche de 100%. Dans l’automobile : Renault et BMW affichaient en 2023 plus de 90% d’activité de fabrication bas carbone éligible (revenus et capex) et entre 10% et 20% d’activités alignées (revenus et capex). L’absence de divergence majeure des critères de taxonomie renforce la congruence des échantillons. Au moins pour une vision à date : les risques des stratégies à long terme ne sont pas reflétés dans ces indicateurs.

Dans la plupart des autres activités, les indicateurs sont beaucoup moins étendus, très souvent inférieurs à 5% et donc moins pertinents.

Que faire si les indicateurs divergeaient significativement ? Une analyse approfondie s’imposerait notamment sur la méthodologie décrite dans les commentaires qualitatifs qui sont obligatoirement joints aux tableaux de chiffres. Puis une analyse de la dynamique pourrait limiter un constat à date. Au final, la comparabilité de la société pourrait être si dégradée, qu’il faudrait l’exclure de l’échantillon.

En conclusion, à ce jour, la taxonomie environnementale n’est en général pas adaptée pour servir de critère systématique de comparabilité au sein d’un échantillon de sociétés cotées parce que ces indicateurs ne sont significatifs que dans un nombre limité de secteurs, et uniquement pour des sociétés européennes. Cet exercice à trou rend encore nécessaire l’utilisation d’autres informations pour intégrer le climat à la pertinence des échantillons des évaluateurs.

[1] Cf. Règlement délégué 2021-2139 et ses actualisations.

Le Règlement sur l’intelligence artificielle (“AI Act”) est une législation de l’Union européenne visant à encadrer l’utilisation de l’intelligence artificielle. Il a été proposé par la Commission Européenne en avril 2021. Le 1er août 2024, l’Europe a franchi une étape clé avec son entrée en vigueur.

Comment se présente le Règlement ?

L’AI Act comporte 13 chapitres et 113 articles, complétés par 13 annexes. Il établit des règles claires pour classer les systèmes d’IA selon leur niveau de risque et précise les responsabilités des différents acteurs. Un préambule de 180 sections présente le contexte et explique les choix effectués lors de la rédaction de cet acte.

Pourquoi est-ce important ?

Avec l’essor de l’IA, des risques tels que la surveillance excessive des citoyens ou les biais algorithmiques ont été identifiés comme potentiellement dangereux pour nos sociétés. L’AI Act fixe des règles précises avec l’objectif de garantir des systèmes sûrs, éthiques et transparents, tout en favorisant l’innovation et un marché européen harmonisé.

Trois niveaux de risque pour les systèmes d’IA

Le Règlement repose sur une approche par les risques, catégorisant les systèmes d’IA selon leur niveau de dangerosité : risque inacceptable, haut risque, ou risque mineur.

  • Risque inacceptable : l’utilisation de systèmes d’IA présentant un danger grave pour les droits fondamentaux. Ainsi, par exemple, la reconnaissance faciale en temps réel sans encadrement légal est strictement interdite. (Chapitre II, article 5)
  • Haut risque : les systèmes d’IA présentent un potentiel important de nuire aux droits fondamentaux tels par exemple ceux pouvant être utilisés dans le recrutement ou les diagnostics médicaux soumis à des exigences strictes de type transparence, audit, marquage CE, … (Chapitre III)
  • Risque mineur : obligations légères, telles que la notification des utilisateurs quant à l’utilisation d’IA dans un système proposé sur le marché, comme par exemple un système d’IA intégré dans des jeux vidéo. (Chapitre IV)

Quelles sont les entités créées dans le cadre du Règlement ?

  • Bureau de l’IA :
    • Créé en février 2024 au sein de la Commission Européenne et basé à Bruxelles et au Luxembourg (140 collaborateurs en cours de recrutement), cette structure coordonne la mise en œuvre du Règlement.
    • Le Bureau de l’IA sera chargé de garantir l’harmonisation des approches des Etats membres quant à l’application du Règlement. (Chapitre VII, article 64).
  • Groupe scientifique d’experts indépendants :
    • Ce groupe conseille et soutient le Bureau de l’IA en évaluant les risques systémiques potentiels des modèles d’IA à usage général, en élaborant des outils et méthodes pour analyser leurs capacités et en contribuant à leur classification (Chapitre VII, article 68).
  • Comité de l’IA :
    • Le Comité conseille et assiste la Commission et les Etats membres afin de faciliter l’application du Règlement. (Chapitre VII, article 65 et 66).
  • Forum consultatif :
    • Le forum fournit une expertise technique et conseille le Comité IA et la Commission. (Chapitre VII, article 67)
  • Autorités nationales compétentes :
    • Chaque Etat membre établit ou désigne au moins une autorité notifiante et au moins une autorité de surveillance du marché (Chapitre VII, section 2).
    • Bacs à sable réglementaires : les autorités compétentes mettent en place avant le 2 août 2026 au moins un bac à sable offrant un environnement « contrôlé » qui favorise l’innovation et facilite le développement, l’entraînement, la mise à l’essai et la validation de systèmes d’IA avant leur mise en œuvre sur le marché (Chapitre VI, article 57).
  • Organismes notifiés :
    • Les autorités notifiantes désignent les organismes responsables d’évaluer la conformité au Règlement des systèmes d’IA à haut risque (Chapitre III, article 31).

Etes-vous concernés par l’AI Act ?

L’AI Act définit les acteurs de marché potentiellement assujettis au Règlement, en fonction de leur activité :

  • Fournisseur : développe ou fait développer un système d’IA. Il doit pouvoir prouver la conformité de son système par une évaluation rigoureuse et/ou une certification auprès d’un organisme notifié. Une fois validé, le fournisseur peut apposer le marquage “CE” attestant que le système répond aux normes européennes en matière de sécurité, de transparence, et de fiabilité accompagnée de documentations détaillées avant de le distribuer sur le marché (Chapitre III, article 16).
  • Déployeur : utilise un système d’IA sous son autorité. Il doit mettre en œuvre une surveillance humaine et veiller à l’utilisation responsable des systèmes d’IA dans ses opérations (Chapitre III, article 26).
  • Importateur : met sur le marché européen un système d’IA établi dans un pays tiers. Il doit vérifier que les systèmes d’IA importés respectent les normes européennes avant leur mise sur le marché (Chapitre III, article 23).
  • Distributeur : autre que le fournisseur ou l’importateur, met un système d’IA à disposition sur le marché européen. Il doit contrôler la conformité des systèmes avant distribution (Chapitre III, article 24).
  • Utilisateur : respecte les consignes et signale les incidents éventuels.

Méthodologie pour se conformer au Règlement

En tant qu’acteur assujetti au Règlement, quelles sont les exigences principales de conformité qui doivent être respectées ?

  • Transparence : veiller à informer les personnes physiques, dans certaines circonstances, de leur interaction avec un système d’IA (Chapitre IV).
  • Identification et classification des systèmes d’IA : évaluer le niveau de risque de vos systèmes selon leur niveau de dangerosité i.e. risque inacceptable, haut risque, ou risque mineur (Chapitre III et chapitre V, section 1).
  • Documentation technique : préparer un dossier complet décrivant les spécifications techniques, les données utilisées, les tests effectués et les mesures de réduction des biais (Chapitre III, article 11).
  • Surveillance et audit : mettre en place une évaluation indépendante pour valider la sécurité et l’éthique de vos systèmes.
  • Formation et supervision humaine : former vos équipes sur les nouvelles exigences et intégrer une supervision humaine là où cela est pertinent.

Quelles sont les dates clés du déploiement des différentes parties du Règlement ?

(Chapitre XIII, article 113)

Dates clésPrincipaux jalonsChapitres concernés
2 février 2025 Interdictions relatives aux systèmes d’IA présentant des risques inacceptables.Chapitre I (Dispositions Générales),

Chapitre II (Activités Interdites), S’appliquent.
2 août 2025 – Application des règles pour les modèles d’IA à usage général*.
*Ce sont des IA conçues pour accomplir plusieurs tâches dans des secteurs variés et ayant demandé plus de 10²⁵ FLOPS pour leur entrainement). Un exemple marquant est GPT-4, entraîné avec des ressources importantes (≈ 2,1 × 10²⁵ FLOPS). Ces modèles doivent respecter des critères stricts en matière de transparence, gouvernance des données et biais.

– Nomination des autorités compétentes au niveau des Etats membres.  		Chapitre III, section 4 (Autorités notifiantes et organismes notifiés),

Chapitre V (Modèles d’IA à usage général),

Chapitre VII (Gouvernance),

Chapitre XII (Confidentialité), s’appliquent, à l’exception de l’article 101 (Amendes applicables aux fournisseurs de modèles d’IA à usage général).
2 août 2026Le Règlement de l’IA rend applicables toutes ses dispositions, avec un accent particulier sur les règles pour les systèmes d’IA à haut risque. Les Etats membres doivent également mettre en place au moins un « bac à sable réglementaire ».Le Règlement dans son ensemble devient applicable.
2 août 2027Application des règles relatives aux systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostics in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.).L’article 6, paragraphe 1, et les obligations correspondantes du présent Règlement s’appliquent. (Article 6 : Règles relatives à la classification de systèmes d’IA comme systèmes à haut risque.)

L’objectif de l’AI Act est de permettre de développer des IA au service des citoyens, en protégeant leurs droits fondamentaux. Son respect nécessite (i) de bien comprendre la réglementation et (ii) d’anticiper les phases d’analyse et de mise sous contrôle.

Que pensez-vous de la pertinence de ce Règlement ? Votre entreprise est-elle concernée ? Si oui, est-elle prête ?

IASB a publié en avril 2024 une nouvelle norme IFRS18 Etats financiers : Présentation et informations à fournir.

IFRS 18 a vocation à remplacer la norme IAS 1 Présentation des états financiers. Elle renforce les obligations relatives à la présentation des états financiers, avec pour objectif d’aider les investisseurs dans leur compréhension de la performance financière des entreprises, en leur fournissant des informations plus pertinentes, transparentes et comparables.

La norme introduit trois principaux changements :

  • une présentation plus structurée du compte de résultat comprenant des sous-totaux obligatoires et optionnels ;
  • une explication des indicateurs de performance utilisés par les entités ;
  • et également une explication des principes d’organisation des informations dans les états financiers primaires et les notes d’annexes.

Les investisseurs pourront ainsi bénéficier d’une présentation plus uniforme des états financiers, notamment entre le compte de résultat et le tableau des flux de trésorerie.

Une présentation du compte de résultat autour de trois catégories

Jusqu’à présent avec la norme IAS 1, la structure du compte de résultat était peu normée. La norme IFRS 18 impose une structuration du compte de résultat, proche de celle du tableau des flux de trésorerie, comprenant trois catégories : exploitation, investissement et financement. Les sociétés devront déterminer, en fonction de leurs activités principales, à quelle catégorie appartiennent leurs charges et produits.

La catégorie Exploitation inclut les produits et charges issus des activités principales de l’entité, qui peuvent être plurielles. Il s’agit de la catégorie par défaut incluant tous les produits et charges non classés dans les autres catégories, y compris les éléments non récurrents.

Les sociétés peuvent présenter leurs charges d’exploitation soit par nature, soit par fonction, soit selon une présentation mixte.

Dès lors que l’entité choisit une présentation par fonction, les nouvelles obligations d’information complémentaire s’imposent. Le coût des ventes devra obligatoirement être présenté dans un poste distinct à la face du compte de résultat. Une description qualitative de la nature des charges incluses dans chaque fonction devra être communiquée. De plus, une note annexe devra présenter des informations quantitatives et qualitatives des charges par nature relatives aux amortissements des actifs corporels et incorporels, à la dépréciation des actifs et des stocks et enfin, aux avantages au personnel.

La catégorie Investissement doit présenter les produits et charges liés :

  • aux entités mises en équivalence,
  • aux autres investissements, incluant les produits et les charges issus d’actifs générant un rendement largement indépendant des autres ressources détenues par l’entité, comme les titres non consolidés ou encore les immeubles de placement,
  • à la trésorerie et aux équivalents de trésorerie,

Enfin, la catégorie Financement comprend les produits et les charges liés aux passifs de financement, ainsi que les produits et les charges d’intérêts liés aux autres passifs, tels que les charges d’intérêts issues de la désactualisation des engagements retraite, des dettes de loyers…

Cette nouvelle présentation implique qu’il n’est plus possible de présenter à la face du compte de résultat une ligne « coût de l’endettement net », les produits issus de la trésorerie étant dorénavant présentés dans la catégorie Investissement.

Des sous totaux obligatoires et optionnels

Les entités seront dans l’obligation de présenter les deux sous totaux suivants :

  • le résultat d’exploitation, tel que explicité plus haut et constitué des charges et des produits d’exploitation,
  • le résultat avant financement et impôt sur le résultat, constitué du résultat d’exploitation et du résultat d’investissement.

Les charges et les produits de financement sont présentés à la suite du sous total Résultat avant financement et impôt pour aboutir au résultat net avant impôt, puis sont présentés les effets d’impôts et le résultat des activités abandonnées.

Des sous totaux optionnels prévus ou non par IFRS 18 pourront être présentés à la face du compte de résultat, tels que la marge brute, le résultat d’exploitation avant amortissements et dépréciation, résultat avant impôt ou encore résultat des activités poursuivies.

Indicateurs de la mesure de la performance choisis par la Direction (MPCD)

Les entités auront désormais la possibilité d’inclure dans les états financiers des indicateurs de mesure de la performance, dans une note annexe. Elles devront indiquer en quoi ces indicateurs fournissent une information utile et comment ils sont déterminés. Un rapprochement des MPCD avec les totaux et sous-totaux spécifiés par la norme devra être effectué, ce qui impliquera nécessairement des efforts supplémentaires.

Autres changements

Le tableau des flux de trésorerie est également impacté par la norme IFRS 18. Son point de départ sera dorénavant obligatoirement le résultat d’exploitation. De même, les intérêts et dividendes reçus sont présentés en flux d’investissement, les intérêts et dividendes versés sont présentés en flux de financement.

Au bilan, le goodwill est présenté sur une ligne spécifique.

La nouvelle norme est d’application obligatoire à compter du 1er janvier 2027 dès lors qu’elle aura été adoptée par l’Union Européenne, et ce de façon rétrospective aux états financiers 2026. Les changements induits sont très importants et les entreprises doivent commencer à en évaluer les incidences sur la présentation des états financiers et des notes annexes, mais également sur les systèmes d’information et le processus de collecte de l’information.

Nous avons le plaisir de vous annoncer l’arrivée de Mirella Venti en tant que directrice associée !

Mirella Venti

Mirella a débuté sa carrière en audit, entre la France et l’Italie. Cette expérience lui a permis de développer une solide expertise en audit et en finance, tout en travaillant avec une diversité de clients et de secteurs.

Elle a également géré des équipes financières, supervisé des processus de consolidation selon les normes internationales IFRS, Italian GAAP et French GAAP, et mené des opérations de fusions et acquisitions. Elle a également travaillé sur l’optimisation des flux de trésorerie et du besoin en fonds de roulement (BFR), ainsi que sur le pilotage de l’évolution des systèmes d’information.

Avec près de 23 années d’expérience en finance d’entreprise, acquises auprès de sociétés cotées et non cotées en France et en Italie, Mirella s’est spécialisée dans plusieurs domaines clés :

  • Consolidation en normes internationales IFRS, Italian GAAP, et French GAAP
  • Fusions et acquisitions
  • Gestion des opérations de croissance externe
  • Optimisation des flux de trésorerie et du BFR
  • Pilotage de l’évolution des systèmes d’information

Mirella apportera son expertise et son expérience pour accompagner les PME et ETI françaises ainsi que les filiales de groupes étrangers dans leurs besoins d’implantation et leurs problématiques d’externalisation comptable, fiscale et financière.

Nous sommes convaincus que les compétences et l’expérience de Mirella contribueront significativement à la croissance et au développement d’Advolis-Orfis.

Nous lui souhaitons la bienvenue et beaucoup de succès dans ses nouvelles fonctions.

Cette nomination renforce la volonté d’Advolis-Orfis de s’inscrire dans un contexte international et de se positionner comme un acteur de référence dans le domaine de l’expertise comptable.

L’ESMA et l’AMF ont publié fin octobre leurs habituelles recommandations pour la préparation des comptes 2024. Ces priorités traduisent les enjeux actuels de la communication des entreprises.

La communication des entreprises est désormais financière et extra-financière. Le volume des informations a plus que doublé. De même, les recommandations de l’ESMA sont désormais composées à moitié par des sujets de durabilité. Les recommandations de l’AMF restent centrées sur les seuls aspects financiers et conservent toute leur pertinence pour les émetteurs français. Sur le fond, trois lignes récurrentes se dégagent clairement.

1. Le poids du jugement dans les états financiers

La sophistication des normes comptables impose des jugements et estimations dont les impacts peuvent être critiques à tous les niveaux de la préparation des comptes : application des principes comptables à des opérations spécifiques (IAS 1§122), comptabilisation des actifs et des actifs (IAS 1§125), prise en compte d’estimations (IAS 1§129) soumises aux aléas macroéconomiques, technologiques, sociaux, géopolitiques ou climatiques.

Avez-vous fait l’exercice de savoir quelles sont les rubriques des états financiers qui reposent sur des jugements et estimations ? Savez-vous identifier les facteurs dont l’évolution peut causer des impacts significatifs et indiquer dans quelles mesures et quand ces facteurs sont susceptibles d’évoluer ?

Les exemples d’applications qui figurent dans les recommandations sont nombreux (et non exhaustifs) : tests de dépréciation, instruments financiers à la juste valeur, situations complexes d’appréciation du contrôle de filiales, reconnaissance des marges de contrats à long terme, qualification de la position d’agent ou de principal au sein d’une chaîne de valeur, mais aussi les situations pouvant menacer la continuité d’exploitation.

2. La lisibilité du risque de liquidité et de la trésorerie

La liquidité est une information prisée parce qu’elle est un indicateur en apparence simple et de la situation financière et qu’elle ne semble pas dépendre de traitements comptables élaborés.

Les régulateurs rappellent en premier lieu la transparence exigée sur les impacts des contrats d’affacturage inversé, en lien avec les nouvelles obligations issues des amendements d’IAS 7 et IFRS 7.

En deuxième lieu, les régulateurs insistent sur la correcte présentation des situations de bris de covenant. Lorsqu’un convenant n’est pas respecté avant ou à la date de clôture, la dette correspondante est reclassée en passif courant. L’amendement d’IAS 1 applicable à partir de janvier 2024 prévoit notamment que les éventuelles négociations intervenues entre la date de clôture et la date d’arrêté des comptes ne permettent pas de modifier ce traitement comptable et impose de nouvelles informations détaillées sur le risque d’exigibilité dans les douze prochains mois.

En dernier lieu, les régulateurs reviennent une nouvelle fois sur la présentation du tableau de flux de trésorerie. Au niveau français, l’AMF évoque la présentation perfectible des dettes locatives. Ce dernier point est essentiel pour permettre des analyses financières pertinentes après l’application d’IFRS 16 sur les contrats de location.

3. La cohérence des informations

Le volume des informations et l’émergence des données extra-financières sont à l’origine d’une préoccupation forte des régulateurs.

La connectivité entre les rapports annuels et les rapports de durabilité issus de la CSRD a déjà fait l’objet de recommandations au cours des années passées. Encore insuffisamment définie, elle se traduit par des informations croisées :

  • Le rapport de durabilité doit notamment lister les points d’ancrage qui sont repris des états financiers et en donner les références précises ;
  • Les rapports annuels doivent intégrer les conséquences des stratégies et des engagements pris, en particulier pour le climat (mais pas seulement), sur les données de taxonomie verte, les tests de dépréciation, les coûts et provisions supportées, l’information sectorielle, etc.

En attendant que les normes IFRS et la doctrine de l’IFRIC ne fixent un cadre plus contraignant[1], les informations détaillées dans les comptes sont rares ou peu transparentes. Les attentes sont cependant grandes d’une continuité de lecture entre la performance financière comptable et la vision à long terme affichée dans les rapports de durabilité, au risque de décrédibiliser l’un et l’autre.

Les recommandations des régulateurs ne font donc que rappeler que parmi les qualités fondamentales de la communication financière figurent la prise de conscience de l’ampleur des impacts du jugement, la transparence sur la situation de trésorerie et de liquidité et, désormais, la cohérence des engagements de durabilité avec les décisions prises dont certaines sont d’ores et déjà visibles dans les comptes.

[1] EFRAG juin 2024 : première réflexion sur les enjeux de connectivité. IASB juillet 2024 : exposé sondage « Information sur les changements climatiques et d’autres incertitudes dans les états financiers » à partir de 8 exemples illustratifs. IFRC IC avril 2024 : conditions à respecter pour enregistrer une provision au titre d’un engagement de trajectoire carbone.

Retrouvez le dernier numéro de Finance & Gestion, la revue éditée par la DFCG et consacré aujourd’hui aux différentes facettes du DAF et son rôle en constante évolution.

Aurore Coillard, associée Advolis Orfis, a contribué à ce numéro, et vous en dira plus le DAF holistique et le rôle qu’il peut jouer dans la stratégie de l’entreprise, à six mois des premières CSRD.

Ce que vous découvrirez dans l’article :

  • la  nécessité d’un travail d’équipe transversal, souvent avec des binômes Direction Financière/Direction RSE, et un contrôle interne robuste pour produire un rapport fiable.
  • comment les directions financières, déjà impliquées dans les états financiers et les décisions d’investissements, collaborent avec d’autres directions clés et intègrent les systèmes d’information pour la CSRD.
  • les bénéfices de l’exercice de la double matérialité qui pousse à explorer de nouvelles thématiques et à investiguer les conséquences environnementales et sociales de l’ensemble de la chaîne de valeur, enrichissant ainsi les réflexions sur le modèle d’affaires à moyen et long terme.
  • l’accès facilité à des levées de fonds et à des appels d’offres grâce à une transparence des informations.
  • l’importance mais aussi la complexité de la prise en compte des enjeux ESG (Environnement, Social, Gouvernance) dans les modèles de valorisation.
  • le un rôle central du DAF dans cette transformation, en intégrant les enjeux ESG dans la performance économique.

Pour en savoir plus sur ces enjeux cruciaux et découvrir comment les directions financières peuvent piloter cette transformation, retrouver l’article au complet :

Finance & Gestion n°412_Novembre & Décembre 2024Télécharger
Nous contacter