Objet WP_Post ( [ID] => 136950 [post_author] => 38 [post_date] => 2026-02-05 09:00:23 [post_date_gmt] => 2026-02-05 09:00:23 [post_content] =>
Les organisations s'inquiètent des risques liés à la sécurité et à la confidentialité. Plus récemment, elles se sont intéressées aux risques liés à l'IA. Mais combien de fois abordent-elles ces trois aspects simultanément ?Il devient de plus en plus évident qu'ils le devraient. Les lois relatives à la protection des données, à la cybersécurité et à l'IA ont
quadruplé depuis 2016 Aux États-Unis, dans l'UE, au Royaume-Uni et en Chine, la SEC a déjà prouvé son engagement en matière de cybersécurité. Ses règles, applicables dès décembre 2023, redéfinissent d'ores et déjà la manière dont les sociétés cotées gèrent la divulgation des violations de données. Le formulaire 8-K, article 1.05, est désormais concerné.
a besoin Les entreprises sont tenues de divulguer les incidents de cybersécurité importants dans un délai de quatre jours ouvrables à compter de la détermination de leur importance, et non à compter de leur découverte. Le formulaire 10-K, article 106, impose la publication annuelle des processus de gestion des risques et des structures de surveillance du conseil d'administration. La Commission n'hésite pas à sanctionner les entreprises qui, selon elle, ont minimisé les incidents de sécurité. Il y a un peu plus d'un an, en octobre 2024, la SEC a conclu des accords à l'amiable avec quatre sociétés cotées en bourse (Unisys, Avaya, Check Point et Mimecast) pour avoir induit les investisseurs en erreur quant à l'impact de la cyberattaque de SolarWinds en 2020. Le montant total des amendes avoisinait les 7 millions de dollars. Unisys a, à elle seule, payé 4 millions de dollars pour avoir qualifié les cyber-risques d'« hypothétiques » dans ses documents, alors que ses équipes internes avaient connaissance d'intrusions réelles. Entre décembre 2023 et janvier 2025, 55 incidents de cybersécurité ont été signalés via les formulaires 8-K. Au-delà des sanctions liées à SolarWinds, Flagstar a écopé d'une amende de 3.55 millions de dollars en décembre 2024 pour avoir qualifié de simple « accès » une violation de données affectant 1.5 million de personnes, alors qu'une exfiltration de données avait en réalité eu lieu. Ces amendes soulignent la nécessité d'intégrer la communication sur la cybersécurité à une gestion des risques d'entreprise plus globale. La création par la SEC d'une nouvelle unité dédiée à la cybersécurité et aux technologies émergentes (CETU) en février 2025 indique que cette surveillance se poursuivra. Cette unité a remplacé l'unité dédiée aux crypto-actifs et à la cybersécurité. La CETU met également en lumière l'importance de prendre en compte l'intelligence artificielle dans l'évaluation des risques, puisqu'elle inclut explicitement les pratiques liées à l'IA et à la cybersécurité dans son mandat.
La fragmentation de la gouvernance engendre une exposition cumulative.
Les entreprises américaines ayant des activités en Europe subissent également une pression accrue du fait de la loi européenne sur l'IA, entrée en vigueur en août 2024. Cette loi, dont les échéances de mise en conformité sont échelonnées jusqu'en 2027, s'applique de manière extraterritoriale. Les entreprises américaines qui mettent sur le marché de l'UE des systèmes d'IA ou qui déploient une IA dont les résultats affectent les utilisateurs européens doivent s'y conformer. Les enjeux sont considérables. Les sanctions pour pratiques d'IA interdites peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les catégories à haut risque, qui couvrent l'IA utilisée pour les décisions d'embauche, l'évaluation du crédit et les diagnostics médicaux, exigent des évaluations de conformité, une documentation technique et des mécanismes de contrôle humain. L'interdiction des systèmes d'IA présentant un risque inacceptable est entrée en vigueur en février 2025.
L'IA apparaît dans les documents de divulgation
Les attentes des investisseurs évoluent au rythme de ces risques. Les autorités de réglementation et les actionnaires indiquent clairement que l'ancien modèle d'équipes distinctes gérant la cybersécurité, la protection de la vie privée et l'IA comme des domaines séparés est désormais obsolète. L'IA est passée, à une vitesse remarquable, des discussions en salle de réunion aux facteurs de risque des rapports annuels. Soixante-douze pour cent des entreprises du S&P 500
divulguer maintenant les risques importants liés à l'IA, contre seulement 12 % en 2023. Les préoccupations les plus fréquemment citées sont l'atteinte à la réputation (38 % des entreprises ayant divulgué ces informations), les implications en matière de cybersécurité et l'incertitude réglementaire. La surveillance des conseils d'administration s'en est suivie. Selon
ISS-Corporation31.6 % des entreprises du S&P 500 ont indiqué dans leurs déclarations de procuration de 2024 que leur conseil d'administration supervisait l'IA. Cela représente une augmentation de 84 % par rapport à l'année précédente. Celles qui n'imposent pas une telle supervision risquent de causer un préjudice important aux actionnaires, ce qui pourrait entraîner des recommandations de vote négatives. L'année dernière, Glass Lewis, une société de conseil en vote qui accompagne les actionnaires institutionnels, a publié de nouvelles lignes directrices de référence portant directement sur la gouvernance de l'IA. La difficulté de gérer séparément la cybersécurité, la protection de la vie privée et l'IA réside dans le fait que les incidents liés à chacun de ces domaines ont des répercussions sur les autres. Une seule violation de données peut déclencher simultanément des obligations de déclaration auprès de la SEC, des exigences de notification au titre du RGPD, des lois étatiques sur la protection de la vie privée et (si des données personnelles ont servi à entraîner un système d'IA) des réglementations émergentes en matière d'IA. Il est donc temps d'intégrer la prise en compte de ces domaines de risque, mais rien de tout cela n'est simple.
Selon D'après les perspectives de gouvernance de juillet 2025 de la National Association of Corporate Directors, l'IA est désormais un sujet de discussion courant pour 61 % des conseils d'administration, pourtant rares sont ceux qui l'ont correctement intégrée à leurs structures de gouvernance. Pourquoi ? Les frictions culturelles en sont une des raisons. Les équipes chargées de la sécurité, de la protection de la vie privée et de l'IA ont traditionnellement utilisé des vocabulaires, des cadres de gestion des risques et des structures de reporting différents. L'intégration technologique complexifie encore la situation : le cloisonnement des outils GRC engendre des approches fragmentées en matière d'évaluation des risques, de documentation d'audit et de collecte de preuves. Les contraintes budgétaires imposent des compromis difficiles entre la mise en place d'une infrastructure intégrée et le respect des échéances de conformité immédiates.
Les cadres de normes offrent une voie à suivre
Bonne nouvelle : les principaux organismes de normalisation avaient anticipé cette convergence. La structure de haut niveau de l’ISO garantit que les normes ISO 27001 (sécurité de l’information), ISO 27701 (protection des données) et la plus récente ISO 42001 (systèmes de management de l’IA) partagent des architectures compatibles, permettant ainsi aux organisations de mettre en place des systèmes de management unifiés plutôt que des bureaucraties parallèles. L’intégration pratique commence généralement par des comités de pilotage transversaux réunissant des représentants des domaines de la protection des données, de la cybersécurité, des affaires juridiques et de l’IA. À partir de là, les organisations élaborent des taxonomies de risques partagées et, lorsque leur budget le permet, des plateformes GRC unifiées qui éliminent les évaluations redondantes. Les frontières entre les rôles s’estompent déjà : selon une enquête menée par l’IAPP et EY, 69 % des responsables de la protection des données ont également acquis des responsabilités en matière de gouvernance de l’IA. Les organisations qui ne font pas évoluer leurs pratiques dans ce sens s’exposent à des problèmes réglementaires. Celles qui le font bénéficieront d’une réduction des contraintes réglementaires, d’une diminution de la charge d’audit et d’une confiance accrue des investisseurs. [post_title] => Pourquoi les régulateurs et les investisseurs attendent des entreprises qu'elles prennent en compte un triple risque [post_excerpt] => [post_status] => publié [comment_status] => fermé [ping_status] => ouvert [post_password] => [post_name] => pourquoi-les-régulateurs-et-les-investisseurs-attendent-à-ce-que-les-entreprises-prennent-en-compte-un-triple-risque [to_ping] => [pinged] => [post_modified] => 2026-02-04 10:20:03 [post_modified_gmt] => 2026-02-04 10:20:03 [post_content_filtered] => [post_parent] => 0 [guid] => https://fr.isms.online/?p=136950 [menu_order] => 0 [post_type] => article [post_mime_type] => [comment_count] => 0 [filter] => brut )
Objet WP_Post ( [ID] => 136950 [post_author] => 38 [post_date] => 2026-02-05 09:00:23 [post_date_gmt] => 2026-02-05 09:00:23 [post_content] =>
Les organisations s'inquiètent des risques liés à la sécurité et à la confidentialité. Plus récemment, elles se sont intéressées aux risques liés à l'IA. Mais combien de fois abordent-elles ces trois aspects simultanément ?Il devient de plus en plus évident qu'ils le devraient. Les lois relatives à la protection des données, à la cybersécurité et à l'IA ont
quadruplé depuis 2016 Aux États-Unis, dans l'UE, au Royaume-Uni et en Chine, la SEC a déjà prouvé son engagement en matière de cybersécurité. Ses règles, applicables dès décembre 2023, redéfinissent d'ores et déjà la manière dont les sociétés cotées gèrent la divulgation des violations de données. Le formulaire 8-K, article 1.05, est désormais concerné.
a besoin Les entreprises sont tenues de divulguer les incidents de cybersécurité importants dans un délai de quatre jours ouvrables à compter de la détermination de leur importance, et non à compter de leur découverte. Le formulaire 10-K, article 106, impose la publication annuelle des processus de gestion des risques et des structures de surveillance du conseil d'administration. La Commission n'hésite pas à sanctionner les entreprises qui, selon elle, ont minimisé les incidents de sécurité. Il y a un peu plus d'un an, en octobre 2024, la SEC a conclu des accords à l'amiable avec quatre sociétés cotées en bourse (Unisys, Avaya, Check Point et Mimecast) pour avoir induit les investisseurs en erreur quant à l'impact de la cyberattaque de SolarWinds en 2020. Le montant total des amendes avoisinait les 7 millions de dollars. Unisys a, à elle seule, payé 4 millions de dollars pour avoir qualifié les cyber-risques d'« hypothétiques » dans ses documents, alors que ses équipes internes avaient connaissance d'intrusions réelles. Entre décembre 2023 et janvier 2025, 55 incidents de cybersécurité ont été signalés via les formulaires 8-K. Au-delà des sanctions liées à SolarWinds, Flagstar a écopé d'une amende de 3.55 millions de dollars en décembre 2024 pour avoir qualifié de simple « accès » une violation de données affectant 1.5 million de personnes, alors qu'une exfiltration de données avait en réalité eu lieu. Ces amendes soulignent la nécessité d'intégrer la communication sur la cybersécurité à une gestion des risques d'entreprise plus globale. La création par la SEC d'une nouvelle unité dédiée à la cybersécurité et aux technologies émergentes (CETU) en février 2025 indique que cette surveillance se poursuivra. Cette unité a remplacé l'unité dédiée aux crypto-actifs et à la cybersécurité. La CETU met également en lumière l'importance de prendre en compte l'intelligence artificielle dans l'évaluation des risques, puisqu'elle inclut explicitement les pratiques liées à l'IA et à la cybersécurité dans son mandat.
La fragmentation de la gouvernance engendre une exposition cumulative.
Les entreprises américaines ayant des activités en Europe subissent également une pression accrue du fait de la loi européenne sur l'IA, entrée en vigueur en août 2024. Cette loi, dont les échéances de mise en conformité sont échelonnées jusqu'en 2027, s'applique de manière extraterritoriale. Les entreprises américaines qui mettent sur le marché de l'UE des systèmes d'IA ou qui déploient une IA dont les résultats affectent les utilisateurs européens doivent s'y conformer. Les enjeux sont considérables. Les sanctions pour pratiques d'IA interdites peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les catégories à haut risque, qui couvrent l'IA utilisée pour les décisions d'embauche, l'évaluation du crédit et les diagnostics médicaux, exigent des évaluations de conformité, une documentation technique et des mécanismes de contrôle humain. L'interdiction des systèmes d'IA présentant un risque inacceptable est entrée en vigueur en février 2025.
L'IA apparaît dans les documents de divulgation
Les attentes des investisseurs évoluent au rythme de ces risques. Les autorités de réglementation et les actionnaires indiquent clairement que l'ancien modèle d'équipes distinctes gérant la cybersécurité, la protection de la vie privée et l'IA comme des domaines séparés est désormais obsolète. L'IA est passée, à une vitesse remarquable, des discussions en salle de réunion aux facteurs de risque des rapports annuels. Soixante-douze pour cent des entreprises du S&P 500
divulguer maintenant les risques importants liés à l'IA, contre seulement 12 % en 2023. Les préoccupations les plus fréquemment citées sont l'atteinte à la réputation (38 % des entreprises ayant divulgué ces informations), les implications en matière de cybersécurité et l'incertitude réglementaire. La surveillance des conseils d'administration s'en est suivie. Selon
ISS-Corporation31.6 % des entreprises du S&P 500 ont indiqué dans leurs déclarations de procuration de 2024 que leur conseil d'administration supervisait l'IA. Cela représente une augmentation de 84 % par rapport à l'année précédente. Celles qui n'imposent pas une telle supervision risquent de causer un préjudice important aux actionnaires, ce qui pourrait entraîner des recommandations de vote négatives. L'année dernière, Glass Lewis, une société de conseil en vote qui accompagne les actionnaires institutionnels, a publié de nouvelles lignes directrices de référence portant directement sur la gouvernance de l'IA. La difficulté de gérer séparément la cybersécurité, la protection de la vie privée et l'IA réside dans le fait que les incidents liés à chacun de ces domaines ont des répercussions sur les autres. Une seule violation de données peut déclencher simultanément des obligations de déclaration auprès de la SEC, des exigences de notification au titre du RGPD, des lois étatiques sur la protection de la vie privée et (si des données personnelles ont servi à entraîner un système d'IA) des réglementations émergentes en matière d'IA. Il est donc temps d'intégrer la prise en compte de ces domaines de risque, mais rien de tout cela n'est simple.
Selon D'après les perspectives de gouvernance de juillet 2025 de la National Association of Corporate Directors, l'IA est désormais un sujet de discussion courant pour 61 % des conseils d'administration, pourtant rares sont ceux qui l'ont correctement intégrée à leurs structures de gouvernance. Pourquoi ? Les frictions culturelles en sont une des raisons. Les équipes chargées de la sécurité, de la protection de la vie privée et de l'IA ont traditionnellement utilisé des vocabulaires, des cadres de gestion des risques et des structures de reporting différents. L'intégration technologique complexifie encore la situation : le cloisonnement des outils GRC engendre des approches fragmentées en matière d'évaluation des risques, de documentation d'audit et de collecte de preuves. Les contraintes budgétaires imposent des compromis difficiles entre la mise en place d'une infrastructure intégrée et le respect des échéances de conformité immédiates.
Les cadres de normes offrent une voie à suivre
Bonne nouvelle : les principaux organismes de normalisation avaient anticipé cette convergence. La structure de haut niveau de l’ISO garantit que les normes ISO 27001 (sécurité de l’information), ISO 27701 (protection des données) et la plus récente ISO 42001 (systèmes de management de l’IA) partagent des architectures compatibles, permettant ainsi aux organisations de mettre en place des systèmes de management unifiés plutôt que des bureaucraties parallèles. L’intégration pratique commence généralement par des comités de pilotage transversaux réunissant des représentants des domaines de la protection des données, de la cybersécurité, des affaires juridiques et de l’IA. À partir de là, les organisations élaborent des taxonomies de risques partagées et, lorsque leur budget le permet, des plateformes GRC unifiées qui éliminent les évaluations redondantes. Les frontières entre les rôles s’estompent déjà : selon une enquête menée par l’IAPP et EY, 69 % des responsables de la protection des données ont également acquis des responsabilités en matière de gouvernance de l’IA. Les organisations qui ne font pas évoluer leurs pratiques dans ce sens s’exposent à des problèmes réglementaires. Celles qui le font bénéficieront d’une réduction des contraintes réglementaires, d’une diminution de la charge d’audit et d’une confiance accrue des investisseurs. [post_title] => Pourquoi les régulateurs et les investisseurs attendent des entreprises qu'elles prennent en compte un triple risque [post_excerpt] => [post_status] => publié [comment_status] => fermé [ping_status] => ouvert [post_password] => [post_name] => pourquoi-les-régulateurs-et-les-investisseurs-attendent-à-ce-que-les-entreprises-prennent-en-compte-un-triple-risque [to_ping] => [pinged] => [post_modified] => 2026-02-04 10:20:03 [post_modified_gmt] => 2026-02-04 10:20:03 [post_content_filtered] => [post_parent] => 0 [guid] => https://fr.isms.online/?p=136950 [menu_order] => 0 [post_type] => article [post_mime_type] => [comment_count] => 0 [filter] => brut )
